基于令牌方式防止篡改数据

最新推荐文章于 2022-01-22 20:45:24 发布
最新推荐文章于 2022-01-22 20:45:24 发布
阅读量493 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/103107213
版权 
package com.learn.api.controller;

import java.util.UUID;

import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import com.learn.base.BaseApiService;
import com.learn.base.BaseRedisService;
import com.learn.base.ResponseBase;

@RestController
public class PayController extends BaseApiService {
	@Autowired
	private BaseRedisService baseRedisService;

	private static final Long TOKENTIME = (long) (30 * 60);

	// 先获取参数接口,返回令牌
	// 使用令牌传递参数 (不是前端调用是服务器调用)
	@RequestMapping("/getPayToken")
	public String getPayToken(Long userId, Long money) {
		// 生成令牌
		String payToken = UUID.randomUUID().toString();
		// 存放在redis中
		baseRedisService.setString(payToken, userId + "---" + money, TOKENTIME);
		return payToken;
	}

	@RequestMapping("/pay")
	public ResponseBase pay(String payToken) {
		if (StringUtils.isEmpty(payToken)) {
			return setResultError("token 不能为空!");
		}
		String result = (String) baseRedisService.getString(payToken);
		if (StringUtils.isEmpty(result)) {
			return setResultError("参数不能为空!");
		}
		// 直接处理操作数据库
		return setResultSuccessData(result);
	}

}

package com.learn.base;

import java.util.concurrent.TimeUnit;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;

@Component
public class BaseRedisService {

	@Autowired
	private StringRedisTemplate stringRedisTemplate;

	public void setString(String key, Object data, Long timeout) {
		if (data instanceof String) {
			String value = (String) data;
			stringRedisTemplate.opsForValue().set(key, value);
		}
		if (timeout != null) {
			stringRedisTemplate.expire(key, timeout, TimeUnit.SECONDS);
		}
	}

	public Object getString(String key) {
		return stringRedisTemplate.opsForValue().get(key);
	}

	public void delKey(String key) {
		stringRedisTemplate.delete(key);
	}

}

localhost:8080/getPayToken?userId=1&money=10

071b08e9-8fd7-4f54-8005-db05481d1030

localhost:8080/pay?payToken=071b08e9-8fd7-4f54-8005-db05481d1030

{
	rtnCode: 200,
	msg: "success",
	data: "1---10"
}

 

Leon_Jinhai_Sun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
jwt如何防止token被窃取_五分钟带你了解啥是JWT
weixin_39640417的博客
12-03 4033
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。2. 什么时候你应该用JSON Web Token下列场景中使用JSON Web Token是很有用的:Authorization (授权) : 这是使用JW...
令牌窃取及
weixin_45007073的博客
06-04 1140
令牌窃取什么是令牌伪造令牌原理令牌窃取 什么是令牌 令牌(Token)是指系统中的临时密钥,相当于账户和密码,用于决定是否允许当前请求及判断当前请求是属于哪个账户的。获得了令牌,就可以在不提供密码或其他凭证的情况下访问网络和系统资源。令牌会持续存在于系统内部,除非操作系统重新启动。 令牌最大的特点是随机性和不可预测性。一般的攻击者或软件都无法将令牌猜测出来。访问令牌(Access Token)代表访问控制操作主题的系统对象。密保令牌(Security Token)也叫作认证令牌或硬件令牌,是一种用于实现计算
互联网安全架构平台设计之防止抓包篡改数据
李永志的博客
01-22 7261
抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全,抓包也经常被用来进行数据截取等。 抓包工具是拦截查看网络数据包内容的软件,通过对抓获的数据包进行分析,可以得到有用的信息。
互联网开放平台API安全设计
weixin_30719711的博客
01-24 91
互联网开放平台设计1.需求:现在A公司与B公司进行合作,B公司需要调用A公司开放的外网接口获取数据,如何保证外网开放接口的安全性。2.常用解决办法:2.1 使用加签名方式防止篡改数据2.2 使用Https加密传输2.3 搭建OAuth2.0认证授权2.4 使用令牌方式2.5 搭建网关实现黑名单和白名单 案例:A公司调用B公司的外网接口获取数据,如何保证外网开放接口的安全性。 如...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
通过在POST请求中添加令牌验证,可以防止恶意用户篡改数据。 - 使用令牌,服务器可以检查每个请求是否携带有效的令牌,从而拒绝未授权的请求。 3. **Nginx集群与SSL证书**: - Nginx是一个高性能的反向代理服务器...
learnauth:使用EmberJS和Golang学习基于令牌的身份验证
05-20
在本文中,我们将深入探讨如何使用EmberJS前端框架和Golang后端语言来实现基于令牌的身份验证。这种身份验证方式通常称为JWT(JSON Web Tokens)身份验证,它是一种安全、标准化的方法,允许用户在不泄露敏感信息的...
anguar-jwt:使用 AngularJS 和 NodeJS 进行基于令牌的身份验证
06-12
本文将深入探讨如何使用AngularJS(一个强大的前端JavaScript框架)和NodeJS(一个基于Chrome V8引擎的JavaScript运行环境)来实现基于令牌(JWT,Json Web Token)的身份验证。 首先,AngularJS 提供了一个强大的...
行业分类-设备装置-针对复制写入的基于令牌的准入控制.zip
09-12
"针对复制写入的基于令牌的准入控制"是一种先进的安全策略,它主要用于防止未经授权的数据访问、复制和写入操作,尤其是在涉及敏感信息的行业分类中。这一机制的核心是令牌(Token-based Access Control),它是一种...
couchdbday:为基于令牌的 URL 重用 Couchdb cookie。 我的演讲的代码示例
06-26
1. **JWT(JSON Web Tokens)**:一种常见的基于令牌的认证方法,它将用户信息编码为一个自包含的、不可篡改的字符串。JWT 包含三个部分:头部、载荷和签名,可以使用公钥/私钥对进行加密和验证。 2. **CouchDB 的...
HTTP代理实现请求报文的拦截与篡改--目录
weixin_30340353的博客
03-10 203
HTTP请求报文的拦截与篡改--目录 HTTP代理实现请求报文的拦截与篡改1--开篇 HTTP代理实现请求报文的拦截与篡改2--功能介绍+源码下载 HTTP代理实现请求报文的拦截与篡改3--代码分析开始 HTTP代理实现请求报文的拦截与篡改4-...
解决msg:token无效
qq_41792374的博客
06-25 1万+
msg:‘无效token’,status:400 原因:用第三方组件element-ui或者其他组件的单个功能上传图片,没有用到axios发请求,而是组件内部自己封装了一个ajax去发请求,组件内部封装的ajax不携带Authorization字段. 解决方案:1.首先在上传组件中手动添加 :headers:"headerObj" 2.再设置上传组件的请求头,添加Authorization字段: 就解决了。 ...
redis使用lua脚本防止并发修改redis数据解决脚本
AYOJIEJIE的博客
01-08 1019
local function Split(szFullString, szSeparator) local nFindStartIndex = 1 local nSplitIndex = 1 local nSplitArray = {} while true do local nFindLastIndex = string.find(szFullString, szSe...
jwt如何防止token被窃取_Token令牌不是后端万能解药!8个漏洞,有1个你就得爬起来加班了...
热门推荐
weixin_39849054的博客
12-03 1万+
“日,家贼难。”“打铁还需自身硬!”养成铁的纪律,有助于铸造坚固的城池。本文从八个方面全面排查你的令牌系统。1 - ​注意OAuth凭据的泄漏你把应用程序代码推到GitHub了?OAuth应用程序凭据是否也存储在仓库里,特别是客户端密码?这可是当今头号凭据泄漏来源。如果那些凭证被窃取了,任何人都可以冒充你。如果你察觉凭据可能已被破坏,请立即重新生成。2 - 不要在应用程序中硬编码令牌为了长...
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交
致虚极POLE守静笃
02-27 1万+
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。2.解决方法:①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。②后端处理:对于每次提交到后台的数...
SpringMvc实现一个账号只能在一个地方登陆,其他地方强制下线
alan_liuyue的博客
08-28 1万+
一.前言 在处理项目登录问题的时候,为了账号的安全性以及信息的同步性,有时我们需要做到同一个账户只允许在一处地方登录,如果一个账户在一个处地方登录之后,之后在另一个地方也使用同一个账户登录,则前一个登录的账户就强制下线; 做到这种效果的方式有很多种,比如使用redis、memcache等缓存机制就能轻松实现分布式状态下,控制账户登录的单一性; 本篇博客主要讲解的是在不用redis等缓存机...
Token令牌实现sso单点登陆和防止请求篡改
weixin_44211784的博客
04-25 1488
实现思路: 1.开发环境:SpringBoot +Shiro+layUi。 2.导入layUi的文件和jquery.cookie文件。 3.准备一个登陆页面和首页并导入相应的jquery文件。 4.后台接口设计:登陆接口。 5.shiro整合SpringBoot的配置类。 6.前台代码:localStorage和SessionStorage对象的使用。$...
jwt如何防止token被窃取_JWT令牌
weixin_39678163的博客
12-03 2570
6.3.1 JWT介绍通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。解决上边问题:令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了用户相关的信息,客户端只需要携带JWT访问资源服务,资源服务根据事先约定的算法自行完成令牌校验,...
基于python的安全即时通讯系统
最新发布
12-06
基于Python的安全即时通讯系统可以采用多种技术来实现,以下是一种可能的方案: 首先,我们可以使用Python编写系统的后端。后端可以使用一些流行的Python框架来处理用户注册、登录和消息传递等功能。这些框架可以提供易于使用的API,并与前端实现进行交互。 其次,为了确保通信的安全性,我们可以使用Transport Layer Security (TLS)协议来加密数据传输。Python的ssl模块可以用于在网络连接中实现TLS。基于TLS的通信可以确保信息不会被窃听或篡改。 此外,我们还可以使用端到端加密来保护通信内容的隐私。端到端加密意味着只有发送方和接收方可以读取和理解消息内容,即使通信通道中的中间人也无法解密。Python的cryptography库提供了一套强大的加密算法和协议,可以用于实现端到端加密。 为了进一步增强系统的安全性,我们可以引入身份验证机制。例如,我们可以使用基于令牌的身份验证,生成和验证用户的访问令牌,以确保只有合法用户可以访问系统。 最后,我们还可以考虑添加防止攻击的措施,如限制请求频率、检测并阻止恶意代码执行等。 总之,基于Python的安全即时通讯系统可以通过TLS加密、端到端加密、身份验证和御措施来保护用户和数据的安全。这些措施可以提供保密性、完整性和身份验证,从而确保通信系统的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值