基于AccessToken方式设计API

最新推荐文章于 2024-04-27 17:30:34 发布
最新推荐文章于 2024-04-27 17:30:34 发布
阅读量348 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/lspkenney/p/11422241.html
版权

目录

应用场景:公司A有一平台需要对外提供接口给其他商户使用,考虑到安全性问题,此时可考虑采用AccessToken方案。商户在公司A平台注册一app,平台分配appId、appSecret给商户,商户使用分配的appId、appSecret获取access_token后,其他接口调用都要带上access_token参数。

数据库设计

CREATE TABLE `t_app`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `app_name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '应用名称',
  `app_id` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT 'appId',
  `app_secret` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT 'appSecret',
  `is_flag` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '标识是否可用:0可用 1不可用',
  `access_token` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT 'token',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 2 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;
INSERT INTO `t_app` VALUES (1, '测试app', 'appID123456789', 'appsecret123456789', '0', '51541b8a07dc47a387f6fb65d2a056a1');

实现方案

  1. 提供一Auth接口,通过appId+appSecret获取access_token(时效2小时左右或者半小时)并将access_token作为key,appId作为value存储到redis缓存中同时将access_token更新到数据表中,如果多次调用auth接口则每次将上一次的access_token从redis缓存中移除。
  2. 提供一拦截器对所有需要通过access_token访问的接口进行拦截,判断aceess_token是否有效,有效则可以访问其他接口,判断为有效时可以同时刷新redis时长,这样可实现用户一直访问则access_token一直有效,类似于session有效时长。

转载于:https://www.cnblogs.com/lspkenney/p/11422241.html

Las2324
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【项目实战】基于access token的加密与鉴权设计方案,如何保证与车机端的接口安全性?
本本本添哥
12-20 393
对接车厂的项目中有很多场景都会需要使用安全的技术来保证云端接口调用的安全性,本文探讨了如何设计出一款基于access token的安全的加密与鉴权设计方案,即只有经过认证之后(合法的)的车机,才能调用云平台接口,没有认证过的(非法的)车机调用云平台发布的接口会被拒绝。
ATM(AccessTokenManager)是OpenHarmony上基于AccessToken构建的统一的应用权限管理能力
01-10
ATM(AccessTokenManager)是...提供基于TokenID的应用权限校验机制,应用访问敏感数据或者API时可以检查是否有对应的权限。提供基于TokenIDAccesstoken信息查询,应用可以根据TokenID查询自身的APL等级等信息。
关于APP开发第三方登录access_token与openid后台处理
热门推荐
liuyang345729154的博客
04-12 1万+
1.流程:App端调用第三方进行登录->第三方返回openid(微博叫uid)与access_token->App端发送openidaccess_token到后台->后台调用第三方提供的校验API进行校验->校验成功返回本应用的访问令牌token2.后台数据库只需要在用户表保存openid即可3.具体校验过程:后台采用Java开发   使用Jfinal框架 HttpKit...
微信小程序获取session_key,access_token,open_id方法
qq_39564315的博客
08-29 1529
1、首先登录微信公众平台,拿到自己的appId,secret,这一步很重要 2、微信小程序客户端,使用wx.login(res)获取code,即res.code,通过wx.request请求到自己搭建的服务器 function requestUserInfo(userInfo){ var that = this; wx.login({ success(res){ ...
微博 access_token 生成
03-31 2916
新浪微博提供的代码:https://github.com/sunxiaowei2014/weibo4j-oauth2-beta3.1.1/ 使用方法 1、 请先填写相关配置:在Config.properties里  client_IDappkey 创建应用获取到的appkey client_SERCRET :app_secret 创建应用获取到的appsecret  redire
Access Token机制学习
qq_43630409的博客
12-24 178
Access Token是客户端访问资源服务器时需要带上的令牌,拥有这个令牌代表得到了用户的授权。
API开发接口设计 采用微信accessToken授权方式
6个日的博客
11-18 1357
accessToken设置开发Api
API开放接⼝设计appIdappSecret,accessToken
weixin_43927639的博客
09-03 1256
API开放接⼝设计appIdappSecret,accessToken
Token多平台身份认证架构设计思路
z_ssyy的博客
04-12 481
1、概述在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。随着移动互联网时代到来,客户端的类型越来越多, 逐渐出现了 一个服务器,N个客户端的格局。不同的客户端产生了不同的用户使用场景,这些场景:有不同的环境安全威胁不同的会话生存周期不同的用户权限控制体系不同级别的接口调用方式综上所述,它们的身份认证方式也存在一定的区别。本文将使用一定的篇幅对这些场景进行一些分析和梳理工作。
互联网安全架构(5)-基于AccessToken方式实现API设计
红烧咸鱼的博客
10-26 1091
以一个小需求开始: 现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据,如何保证外网开放接口的安全性? 如何保证外网开放接口的安全性 (1)搭建API网关接口,控制接口访问权限 (2)开放平台设计,oAuth2.0协议。第三方联合登录的时候会使用,是用来针对API是否能够让外网访问到的权限,做安全认证 (3)采用Https加密传输协议,使用Nginx配置Https证书...
基于AccessToken方式实现API设计
chengyu1769的博客
07-03 1092
基于AccessToken方式实现API设计 说明:这实际类似于Oauth2.0的简化模式 一、举例说明: 需求:   A、B机构需要调用X服务器的接口,那么X服务器就需要提供开放的外网访问接口。 分析:   1...
本项目基于使用accesstoken方式实现了网页版 ChatGPT 3.5的前端.zip
11-13
Chatgpt学习资料项目资料 用于实战ChatgptAI技术 源代码 供参考(代码+使用说明) Chatgpt学习资料项目资料 用于实战ChatgptAI技术 源代码 供参考(代码+使用说明) Chatgpt学习资料项目资料 用于实战ChatgptAI技术 ...
AccessToken.rar
06-19
AccessToken.rar
微信获得accesstoken工具类
08-07
资源可以获得微信的AccessToken,不会每次都重新去服务器请求。使用时需要创建一个wxAccessToken.properties配置文件,在代码中修改路径能够读到就好了。然后在调用String accessToken = AccessTokenUtil....
.net微信开发 如何获取AccessToken
10-20
主要为大家详细介绍了微信开发中AccessToken的获取方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 345
都是符合我们的预期的。
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 422
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1445
c++中string的模拟实现,面试必会知识点
Day25-Java基础之常用类1
最新发布
m0_46053885的博客
04-27 551
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
AccessTokenApiKey模式原理
06-10
AccessTokenApiKey都是用于身份验证和授权的方式,但它们的原理略有不同。 ApiKey是一种简单的身份验证方式,它是一个由服务提供方生成的密钥,用于标识API的调用者身份。当调用API时,通常需要将ApiKey作为参数或者请求头信息发送给服务提供方,服务提供方验证ApiKey的有效性后,便可以授权API的调用者访问相应的资源。 AccessToken则是一种更加安全的身份验证方式。它基于OAuth2.0协议,用于授权第三方应用程序访问受保护的API资源。AccessToken代表了授权的令牌,由授权服务器颁发给客户端,并用于标识授权用户的身份和权限。当客户端调用API时,需要将AccessToken作为参数或者请求头信息发送给API服务器,API服务器验证AccessToken的有效性后,便可以授权API的调用者访问相应的资源。 总体来说,ApiKey是一种简单的身份验证方式,只需要标识调用者身份即可,而AccessToken则是一种更加安全和灵活的身份验证方式,可以标识调用者身份和权限,并且支持授权的撤销、刷新等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值