RESTful登录设计(基于Spring及Redis的Token鉴权)

转载 2015年11月18日 10:48:00

什么是REST

REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POST、PUT、DELETE请求方法对资源进行查询、创建、修改、删除操作 – 客户端与服务端的交互必须是无状态的

关于RESTful的详细介绍可以参考这篇文章,在此就不浪费时间直接进入正题了。

使用Token进行身份鉴权

网站应用一般使用Session进行登陆用户信息的存储及验证,而在移动端使用Token则更加普遍。它们之间并没有太大区别,Token比较像是一个更加精简的自定义的Session。Session的主要功能是保持会话信息,而Token则只用于登录用户的身份鉴权。所以在移动端使用Token会比使用Session更加简易并且有更高的安全性,同时也更加符合RESTful中无状态的定义。

交互流程

  1. 客户端通过登陆请求提交用户名和密码,服务端验证通过后生成一个Token与该用户进行关联,并将Token返回给客户端。
  2. 客户端在接下来的请求中都会携带Token,服务端通过解析Token检查登录状态。
  3. 当用户退出登录、其他终端登录同一账号(被顶号)、长时间未进行操作时Token会失效,这时用户需要重新登陆。

程序示例

服务端生成的Token一般为随机的非重复字符串,根据应用对安全性的不同要求,会将其添加时间戳(通过时间判断Token是否被盗用)或url签名(通过请求地址判断Token是否被盗用)后加密进行传输。在本文中为了演示方便,仅是将User Id与Token以”_”进行拼接。

Redis是一个Key-Value结构的内存数据库,用它维护User Id和Token的映射表会比传统数据库速度更快,这里使用Spring-Data-Redis封装的TokenManager对Token进行基础操作:

RESTful中所有请求的本质都是对资源进行CRUD操作,所以登录和退出登录也可以抽象为对一个Token资源的创建和删除,根据该想法创建Controller:

这个Controller中有两个自定义的注解分别是@Authorization@CurrentUser,其中@Authorization用于表示该操作需要登录后才能进行:

这里使用Spring的拦截器完成这个功能,该拦截器会检查每一个请求映射的方法是否有@Authorization注解,并使用TokenManager验证Token,如果验证失败直接返回401状态码(未授权):

@CurrentUser注解定义在方法的参数中,表示该参数是登录用户对象。这里同样使用了Spring的解析器完成参数注入:

一些细节

  • 登陆请求一定要使用HTTPS,否则无论Token做的安全性多好密码泄露了也是白搭
  • Token的生成方式有很多种,例如比较热门的有JWT(JSON Web Tokens)、OAuth等。

源码发布

本文的完整示例程序已发布在我的Github上,可以下载并按照readme.md的流程进行操作。


转载:http://www.scienjus.com/restful-token-authorization/

redis操作token

创建一个常量TOKEN_LIST_NAME="tokenList" 创建一个常量TOKEN_STRING_NAME="token" getTokenList从服务器获得tokenList集...
  • popping_kai
  • popping_kai
  • 2017年04月02日 08:36
  • 2352

利用redis来实现身份验证的一种方法,类似session机制

HTTP协议是一种没有状态的协议,也就是说它不记录请求消息是谁发送的。这里我们把发送请求的称为客户端,接收请求并根据请求返回数据的称为服务端。 HTTP协议传输就导致了一个问题:一个服务端,只要有请...
  • ClareQi
  • ClareQi
  • 2016年09月28日 11:37
  • 6022

springboot+redis+token

  • 2017年09月06日 17:53
  • 1.9MB
  • 下载

Redis实现单点登录

单点登录功能分析 请求的url:/user/login 请求的方法:POST 参数:username、password,表单提交的数据。可以使用方法的形参接收。 返回值:json数据,包含一个...
  • WuCourage
  • WuCourage
  • 2017年09月02日 18:17
  • 2787

Redis+接口+token+Sign+时间戳 Demo

  • 2017年03月24日 16:15
  • 5.68MB
  • 下载

关于redis实现单点登录的一点思路

先简单说一下单点登录: 把登录的部分单独拿出来作为一个项目,专门用来登录。 当我想访问某个子项目或者模块的时候,会先请求登录的部分,如果登录过了,就不需要再登录了。 这个和单独项目时,把userId放...
  • Angry_Mills
  • Angry_Mills
  • 2017年06月29日 08:54
  • 2937

Cookie、Token、Redis混合使用

在集群中,我们一般不会使用session,我们一般构造一个Cookie放入cookie和redis中。 Cookie的生命周期如果创建时不指定(也就是默认值 controller中doLogin()方...
  • u011302734
  • u011302734
  • 2017年07月31日 15:14
  • 444

基于redis的分布式ID生成器

项目地址https://github.com/hengyunabc/redis-id-generator基于redis的分布式ID生成器。准备首先,要知道redis的EVAL,EVALSHA命令:ht...
  • hengyunabc
  • hengyunabc
  • 2015年03月13日 19:22
  • 24999

app与后台的token、sessionId、RSA加密登录认证与安全解决方案

一、登录机制 粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是...
  • jack85986370
  • jack85986370
  • 2016年05月10日 13:07
  • 20730

App RESTful登录设计(基于Spring及Redis的Token鉴权)

什么是REST REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的...
  • yu870646595
  • yu870646595
  • 2016年07月13日 17:33
  • 5894
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:RESTful登录设计(基于Spring及Redis的Token鉴权)
举报原因:
原因补充:

(最多只允许输入30个字)