如何设计安全可靠的开放接口---之Token

已于 2022-06-07 08:09:35 修改
阅读量3.5k 收藏 23
点赞数 2
分类专栏: 经验分享 文章标签: java 安全
于 2022-05-12 09:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_WYL2016/article/details/124594875
版权

文章目录

【如何设计安全可靠的开放接口】系列

1. 如何设计安全可靠的开放接口—之Token
2. 如何设计安全可靠的开放接口—之AppId、AppSecret
3. 如何设计安全可靠的开放接口—之签名(sign)
4. 如何设计安全可靠的开放接口【番外篇】—关于MD5应用的介绍
5. 如何设计安全可靠的开放接口—还有哪些安全保护措施
6. 如何设计安全可靠的开放接口—对请求参加密保护
7. 如何设计安全可靠的开放接口【番外篇】— 对称加密算法

前言

Open API是会暴露到公网被访问的接口,那与内网接口最重要的区别就是如何做好安全的问题,常见的安全问题有:合法身份判别、数据防窥、数据防篡改、请求防重放、Dos攻击等等,本文先来看看对于合法身份判别这个问题是如何解决的。

一、Token机制

Token自然是非常好的选择,客户端成功登陆后,服务端就会生成一个Token返回给客户端,之后客户端每次请求只需要带上这个Token即可表明身份,解决了每次登陆的问题(Http是无状态通信协议)。

1. Token生成

关于Token的生成最常见的方式就是使用JWT(JSON Web Token),早期要说解决每次登陆的问题,通过Session就可以做到,那为什么又出现了JWT呢?

我们先来看看使用Session实现的方式

  1. 用户在客户端输入账号、密码。
  2. 服务端验证账号、密码正确后,获取当前session,并在session里面保存需要的数据。
  3. 服务器像客户端返回一个session_id,并将此写入客户端Cookie中。
  4. 之后用户每次在客户端的请求都会从Cookie中把session_id带给服务端。
  5. 服务端只需要根据session_id匹配到之前保存在session里面的数据即可。

2. Session存在的问题

session这种方式最大的问题就是需要服务端保存数据,如果要做跨域访问、集群访问就需要每台服务器都能同步到session信息,当然你可以通过一些分布式的组件来持久化session,但在跨域访问中依然比较棘手,而且代价也较高。

3. JWT是如何解决Session存在的问题的

既然服务端保存session必然存在数据同步的问题,那就干脆不要保存了,这就是JWT的做法,数据只会记录在客户端,当验证完用户的账号、密码后,JWT会生成一种约定好的格式数据,然后服务端把这份数据发送给客户端,客户端之后每次请求带上这份数据即可,JWT自然能够对其进行验证,这样一来,服务端就从有状态变成无状态了,也就能轻松的实现扩展了。

二、JWT中的数据结构

JWT中的数据主要由三部分组成,分别是Header、Payload、Signature

原始数据
在这里插入图片描述

加密后
在这里插入图片描述

三部分数据用'.'隔开

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoieGlhb21pbmciLCJpZCI6MTIzNDUsImV4cCI6MTY1MjA5ODczNX0.7WRvMdrILoSkic1uUhg34Xj31XI0ok4Lrd6qEC99Abg

1. Header

Header通常由两部分组成,例如:

{
  "typ": "JWT",
  "alg": "HS256"
}

"typ": "JWT"令牌类型,即JWT。
"alg": "HS256"使用的签名算法。

2. Payload

Payload是用来存放实际需要保存数据的地方,其中JWT官方也定义了一些字段

在这里插入图片描述
这些字段并不是强制性的,官方只是建议使用,当然你也可以自己定义各种字段,但一定要注意命名规范,避免冲突。

需要额外注意的是,保存在Payload中的信息默认是没有加密的,前面看到的数据只是签名后的结果,签名只能防止数据被篡改,所以,除非是做了二次加密,否则就不能把隐私信息放到Head或者Payload中。

3. Signature

Signature是对前面两部分数据的签名,用于验证数据没有被篡改,签名后的数据就变成如下这样:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoieGlhb21pbmciLCJpZCI6MTIzNDUsImV4cCI6MTY1MjA5ODczNX0.7WRvMdrILoSkic1uUhg34Xj31XI0ok4Lrd6qEC99Abg

三、JWT的工作方式

服务端生成Token后,一般可以保存在HTTP的请求头的Authorization字段中

在这里插入图片描述

四、JWT的使用

引入jar包

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.19.2</version>
</dependency>

1. 生成Token

public static void main(String[] args) {
    String token = createToken();
    System.out.println(token);
}

private static String createToken() {
    try {
        Algorithm algorithm = Algorithm.HMAC256("secret");
        return JWT.create()
                .withIssuer("admin")
                .withClaim("name", "xiaozhang")
                .withClaim("id", 12345)
                .sign(algorithm);
    } catch (JWTCreationException e) {
        e.printStackTrace();
    }
    return null;
}

在这里插入图片描述

在这里插入图片描述

2. token验证

public static boolean verifyToken(String token) {
    try {
        Algorithm algorithm = Algorithm.HMAC256("secret"); //use more secure key
        JWTVerifier verifier = JWT.require(algorithm)
                .withIssuer("admin")
                .withClaim("name", "xiaozhang")
                .withClaim("id", 123456) // 把id由原来的12345修改为123456
                .build();
        verifier.verify(token);
    } catch (JWTVerificationException e) {
        e.printStackTrace();
        return false;
    }
    return true;
}

com.auth0.jwt.exceptions.InvalidClaimException: The Claim 'id' value doesn't match the required one.
	at com.auth0.jwt.JWTVerifier.assertValidClaim(JWTVerifier.java:397)
	at com.auth0.jwt.JWTVerifier.verifyClaimValues(JWTVerifier.java:349)
	at com.auth0.jwt.JWTVerifier.verifyClaims(JWTVerifier.java:315)
	at com.auth0.jwt.JWTVerifier.verify(JWTVerifier.java:300)
	at com.auth0.jwt.JWTVerifier.verify(JWTVerifier.java:283)
	at token.TokenDemo.verifyToken(TokenDemo.java:28)
	at token.TokenDemo.main(TokenDemo.java:16)
false

3. token解析

private static Map<String, Claim> decodeToken(String token) {
    DecodedJWT jwt = JWT.decode(token);
    return jwt.getClaims();
}

{iss="admin", name="xiaozhang", id=12345}

4. 带过期时间的Token

LocalDateTime plus = LocalDateTime.now().plus(3, ChronoUnit.SECONDS);
Date expiresAt = Date.from(plus.atZone(ZoneId.systemDefault()).toInstant());
System.out.println("expiresAt: " + expiresAt);
String expiresToken = createToken(expiresAt);
Thread.sleep(4000);
System.out.println("expiresToken: " + verifyToken(expiresToken));

private static String createToken(Date expiresAt) {
    try {
        Algorithm algorithm = Algorithm.HMAC256("secret
        return JWT.create()
                .withIssuer("admin")
                .withClaim("name", "xiaozhang")
                .withExpiresAt(expiresAt)
                .withClaim("id", 12345)
                .sign(algorithm);
    } catch (JWTCreationException e) {
        e.printStackTrace();
    }
    return null;
}

expiresAt: Mon May 09 20:52:20 CST 2022
com.auth0.jwt.exceptions.TokenExpiredException: The Token has expired on Mon May 09 20:52:20 CST 2022.
	at com.auth0.jwt.JWTVerifier.assertDateIsFuture(JWTVerifier.java:420)
	at com.auth0.jwt.JWTVerifier.assertValidDateClaim(JWTVerifier.java:411)
	at com.auth0.jwt.JWTVerifier.verifyClaimValues(JWTVerifier.java:331)
	at com.auth0.jwt.JWTVerifier.verifyClaims(JWTVerifier.java:315)
	at com.auth0.jwt.JWTVerifier.verify(JWTVerifier.java:300)
	at com.auth0.jwt.JWTVerifier.verify(JWTVerifier.java:283)
	at token.TokenDemo.verifyToken(TokenDemo.java:72)
	at token.TokenDemo.main(TokenDemo.java:39)
expiresToken: false
码拉松
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
这才叫 API 接口设计!【通过token获取淘宝物流订单详情】
2301_79478575的博客
08-29 252
APP 后台逻辑总是处于变化当中,但是 APP 端(如安卓和 ios)因为涉及到应用市场的审核问题,还有这些 2C 端的 APP 应用存在版本碎片化的问题,因此后台暴露的接口需要在一段时间内支持不同版本的接口,一般方法是通过 Nginx 通过配置过滤根据接口的不同版本进行路由分发。Token 是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个 Token 便将此 Token 返回给客户端,以后客户端只需带上这个 Token 前来请求数据即可,无需再次带上用户名和密码。
梯控子系统对外开放接口文档-V1.0.11
08-08
梯控子系统对外开放接口文档V1.0.1是浙江大华技术股份有限公司为第三方厂家、合作伙伴和开发者提供的技术指南,旨在促进与其他系统的集成和开发工作。该文档详细阐述了梯控子系统如何通过API接口与其他软件或设备...
全网最强,接口自动化测试-token登录关联实战总结(超详细)
大佬云集技术答疑交流群:743262921(进群暗号:222)
08-07 1565
在PC端登录公司的后台管理系统或在手机上登录某个APP时,经常会发现登录成功后,返回参数中会包含token,它的值为一段较长的字符串,而后续去请求的请求头中都需要带上这个token作为参数,否则就提示需要先登录。什么是tokentoken 由服务端产生,是客户端用于请求的身份令牌。第一次登录成功时,服务端会生成一个包含用户信息的加密字符串token,返回给客户端并保存在本地,后续客户端只需要带上token进行请求即可,无需带上用户名密码。
API接口设计token、timestamp、sign具体实现
sasa527的专栏
05-31 2084
API接口设计token、timestamp、sign具体实现 内容来源于:https://www.cnblogs.com/red-fox/p/12698599.html 一、token 简介 Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露
token接口设计
最新发布
gongjin28_csdn的博客
04-28 401
一个完善的Token接口体系通常包括身份认证接口Token生成接口(由认证成功自动触发)、Token验证中间件(而非单独接口)以及Token刷新接口(如果有)。在设计具体的接口时,务必遵循安全最佳实践,并依据所采用的认证框架(如OAuth2、JWT)的具体规范来设计
前端设计之——双token设计
Cuichenyang158的博客
10-05 528
自此就完成了token的无痛刷新,在用户访问网站时,用户对于accessToken的刷新是没有体感的,只会在一两周的时间间隔refreshToken也过期的时候进行一次登录操作,就可以正常访问网站了,即降低了用户实际accessToken被劫持的风险,又提升了用户的体验。token是为了防止用户信息传来传去导致被劫持,但是假如token没有过期时间或者过期很长,那么显然token被劫持还是不安全的,token就失去了意义。这时就需要双token来达到无痛刷新token的效果。
一文1600字使用Postman搞定各种接口token实战(建议收藏)
qq_43371695的博客
11-07 1068
这个脚本的意思就是说,你的用户名和密码正确的前提下,访问后端接口会给你返回一个Token,你将这个Token储存在刚刚设置好的环境变量中,当你用别的接口访问时,由于整个项目刚刚已经设置好了访问权限使用的Token,所以你所有的接口都会携带这个token去访问,从而数据权限被后台接收和使用。,校验过用户的用户名和密码后,会向用户响应一段经过加密的token,在这段token中可能储存了数据权限等,在后期的访问中,需要携带这段token,后台解析这段token才允许用户访问接口
精品资料(2021-2022年收藏)计算机网络复习提纲.docx
12-03
计算机网络是信息技术领域的重要组成部分,涉及众多的...这些知识点涵盖了计算机网络的多个方面,包括网络层次结构、协议、数据传输、网络设备、网络服务以及网络安全等方面的内容,对于理解和学习计算机网络非常重要。
NCC-OPEN API使用及测试文档.docx
08-15
Open API 实现了权限控制和 OAuth2 安全控制,确保了数据的安全性和可靠性。在使用 Open API 之前,需要注册第三方应用,关联可用的 Open API,获取 Access Token,并使用 Access Token 访问 Open API。 注册第三方...
开放接口规范模板1
08-08
该规范的目的是为了确保开放接口的开发和使用是安全、可靠、统一的。该规范适用于所有使用开放接口的开发者和用户。 1.1. 传输方式 开放接口规范V1.0建议使用HTTP/HTTPS作为传输协议。HTTP/HTTPS是目前最常用的...
mysql-实验一.docx
06-15
5. 开放的 API 接口:JSON 用于开放的 API 接口,实现数据的共享和交换。 6. 企业间合作的接口序列化:JSON 用于企业间合作的接口序列化,实现数据的交换和共享。 Token 在 MySQL 中的应用 Token 是一种轻量级的...
python+pytest接口自动化:token关联登录这样做,阿里p8都直呼牛逼!!!
MXB_1220的博客
11-23 920
token 由服务端产生,是客户端用于请求的身份令牌。第一次登录成功时,服务端会生成一个包含用户信息的加密字符串token,返回给客户端并保存在本地,后续客户端只需要带上token进行请求即可,无需带上用户名密码。token原理简单概括如下:用户首次登录成功后,服务端会生成一个token值,服务端会将它保存保存在数据库中,同时也会将它返回给客户端;客户端拿到token值后,保存在本地;后续客户端再次发送除登录外的其他请求时,会把保存在本地的token值作为参数一起发送给服务端;
API设计token的思路
weixin_33860553的博客
07-28 150
在API设计中,TOKEN用来判断用户是否有权限访问API.TOKEN首先不需要编解码处理. 一般TOKEN都是一些用户名+时间等内容的MD5的不可逆加密.然后通过一个USER_TOKEN表来判断用户请求中包含的TOKEN与USER_TOKEN表中的TOKEN是否一致即可. API设计中往往需要提供一个沙箱环境,供用户模拟调用. 所以TOKEN也需要分为测试TOKEN与运行TOKEN 复杂一点的...
如何设计安全可靠开放接口---对请求参加密保护
自律使我自由
05-25 1111
文章目录【如何设计安全可靠开放接口】系列前言AES加解密代码实现 【如何设计安全可靠开放接口】系列 1. 如何设计安全可靠开放接口—之Token 2. 如何设计安全可靠开放接口—之AppId、AppSecret 3. 如何设计安全可靠开放接口—之签名(sign) 4. 如何设计安全可靠开放接口【番外篇】—关于MD5应用的介绍 5. 如何设计安全可靠开放接口—还有哪些安全保护措施 前言 前面提到过,到目前为止我们已经基本上实现了一个安全可靠开放接口设计,本节我们再来完善最后一块拼图:对业务参数
服务端 API 接口设计最佳实践
杏树林
09-07 5558
在移动互联网开发领域,我们经常需要针对移动设备,提供数据访问接口。在移动时代以前,接口设计并没有面对这么大的挑战,因为那时期的应用开发,前后端的区分并没有那么明显,需要专门设计接口的场景并不是很多。 然而,进入移动互联网时代,几乎所有的App数据访问,都是走的接口形式。而且,针对已经发布了安卓、iOS客户端版本的接口的重大修改,变得几乎不可能。于是,预先设计正确的、良好的接口,就显得格外重要。
第三方接口开发规范
dly41721的博客
12-12 1395
一、前言 最近公司业务需要希望能够连接东亚银行的接口直接对商家进行转账付款,但由于前期可行性研究的准备工作没有做好,导致在开发进入两周后才发现原先的设计存在重大安全漏洞,不得不停止项目开发。 接口开发是开发中经常遇到的问题,为避免此类问题再次发生,因而结合本次项目的经验及网上查找到的资料整理出本文,希望能够对以后的第三方接口开发交互提供指导。 二、接口开发...
高并发系统设计开放平台API接口调用频率控制系统
每天积累一点,一年后你会发现,自己变化很大
07-27 1万+
开放平台的API接口调用需要限制其频率,以节约服务器资源和避免恶意的频繁调用。这个东西说大不大,但说小也不小,因为所有对开放API接口的调用都需要先流经这个系统。纯属个人观点,欢迎大家指正。    先描述下基本场景: 系统API接口日均调用次数预计1亿次,提供5台服务器。 需要做两种层面的控制: > 单IP、单应用每小时调用次数不超过10000次
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
如何设计一个API接口
qq_35821588的博客
10-07 4761
在日常开发中,总会接触到各种接口。前后端数据传输接口,第三方业务平台接口。一个平台的前后端数据传输接口一般都会在内网环境下通信,而且会使用安全框架,所以安全性可以得到很好的保护。这篇文章重点讨论一下提供给第三方平台的业务接口应当如何设计?我们应该考虑哪些问题? 主要从以上三个方面来设计一个安全的API接口。 一 安全性问题 安全性问题是一个接口必须要保证的规范。如果接口保证不了安全性,那么你的接口相当于直接暴露在公网环境中任人蹂躏。 1.1 调用接口的先决条件-token 获取token一般会涉及到几个参
wp-rest-api jwt
09-13
WP-REST-API 是WordPress 的一种接口,它通过提供标准化的RESTful API,允许开发人员使用HTTP请求来访问和操作WordPress站点的内容和数据。通过这个接口,开发人员可以使用不同的编程语言和技术来与WordPress进行交互,从而使得开发更加灵活和自由。 JWT(JSON Web Token)是一种用于认证和授权的开放标准。它通过将用户信息和权限信息编码成一种加密的令牌,以实现跨服务器和跨域的身份验证。JWT 是由三部分组成的:头部、负载和签名。头部包含令牌的加密算法和类型信息,负载包含用户的相关信息,签名用于验证令牌的真实性和完整性。 WP-REST-API JWT整合了WordPress的REST API和JWT的认证机制,使得在使用WP-REST-API进行开发的过程中,可以增加身份验证和授权的功能。它允许开发人员在请求WordPress REST API时,通过在请求头或参数中提供有效的JWT令牌来验证用户的身份和权限,并根据令牌中的负载信息来进行授权。 WP-REST-API JWT的使用具有很多优势。首先,它提供了一种轻量级的身份验证方式,减少了开发的复杂性。其次,通过JWT令牌的机制,可以实现无状态的认证和授权,提高了性能和可扩展性。此外,JWT还提供了一种可靠的机制来防止伪造和篡改请求数据,增强了系统的安全性。 总而言之,WP-REST-API JWT为开发人员提供了一种方便、灵活和安全的方式来使用WordPress的REST API。它简化了身份验证和授权的过程,并通过使用JWT令牌提高了系统的性能和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码拉松

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值