鉴权实现

最新推荐文章于 2024-01-28 03:23:45 发布
最新推荐文章于 2024-01-28 03:23:45 发布
阅读量722 收藏
点赞数
文章标签: 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misszhoudandan/article/details/108816365
版权

参考:码农翻身篇章

背景

现在你做了一个“信用卡管家”应用,可以帮助用户整理邮件,前提是需要读取邮件,那么就需要获取用户的账号密码进行登录邮箱,但是用户肯定不会信任你的应用,那么如何让用户信任是个问题。

2.0 迭代

使用 token 进行身份认证

用户不信任你的应用没有关系,但是用户肯定是信任网易邮件的吧,在用户访问信用卡管家时,提示用户是否使用网易邮箱账号登录,用户点击同意之后会跳转到网易邮箱的登录页面以及会询问用户是否同意“信用卡管家”访问你的邮箱,用户使用账号密码授权登录成功之后会返回到信用卡管家。这期间由网易邮箱来判断用户信息是否正确,登录成功后,会返回给你一个 token,信用卡管家带上这个 token 就可以正常访问网易邮箱的 API 了。
这中间还有个点,网易邮箱为什么要相信信用卡管家。这个需要提前向网易邮箱申请认证,会得到app_id、 app_key 和 app_secret, 当重定向到网易邮箱的时候,需要将 app_id信息 带过去,网易邮箱就知道是信用卡管家在申请授权了。

app_id、app_key, app_secret ,token 理解

app_id, app_key, app_secret 就是网易邮箱给信用卡管家开发者账号分配对应的权限,可以理解为应用标识、账号和密码,app_id:应用的唯一标识,app_key公匙(相当于账号),app_secret私匙(相当于密码),token 相当于令牌(过期失效)。

1、向第三方服务器请求授权时,带上AppKey和AppSecret(需存在服务器端)
2、第三方服务器验证AppKey和AppSecret在DB中有无记录
3、如果有,生成一串唯一的字符串(token令牌),返回给服务器,服务器再返回给客户端
4、客户端下次请求敏感数据时带上令牌

上面的用户登录过程图解如下:

在这里插入图片描述
这样的话,用户不用担心将账号密码暴露给信用卡管家了,信用卡管家只需要根据 token 就可以正常请求网易邮箱的 API 了。上面可以看出获取 token 是最终目的了,所以说 token 很重要,要好好保存,仔细观察发现获取 token 完全是前端完成的,没有后端什么事,以及注意到 第 6 步中,产生的 token 是已明文的方式返回给浏览器的,这是不是有些不太安全呢?

3.0 迭代

后端根据授权码获取 token

引入中间层 Authorization Code ,在网易邮箱认证后不直接下发 token ,而是下发一个授权码,信用卡管家根据这个授权码,再次请求网易进行认证获取 token。

实现流程如下:

在这里插入图片描述

困得睁不开眼
关注
开发常用的一种鉴权方案-JWT实践教程
分享技术,记录思考和感悟
06-24 992
JWT(JSON Web Token)是目前最流行的跨域认证解决方案,被广泛应用于认证和授权场景,尤其是在无状态的 RESTful API 中。本文将主要介绍 JWT 的概念、原理,并通过 Java 示例展示其实际应用。并通过微信小程序登录的场景,实战演练JWT在项目中的应用。
【华为云会议开发指南】App ID鉴权介绍
HWCloudDeveloper的博客
03-28 3569
为了降低第三方应用集成华为云会议难度,并且提升开放接口的安全性,华为云会议开放能力中支持基于App ID的鉴权方式。App ID是一个应用的标识,同一个App ID可以同时在第三方的桌面终端、移动终端、Web应用上使用。 App ID鉴权原理 图1 第三方客户端App ID鉴权流程 鉴权前提: 开发者在华为云会议控制台上为自己的应用申请AppID,并获取App ID和App Key。 开发者在自己的服务端集成Signature生成算法,请参考“第三方服务集成Signature生成算法”。 SDK初始化时传
过滤器实现鉴权
11-20
过滤器实现分目录权限控制 servlet+jsp 没加数据库
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口鉴权实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
开放api接口平台:appid、appkeyappsecret
qq_45042752的博客
04-11 1万+
目录 一、什么是appid、appkeyappsecret 二、云服务AppId或AppKeyAppSecret生成策略 三、API接口开发安全性 四、基于AccessToken方式实现API设计 五、常见问题总结 六、参考 一、什么是appid、appkeyappsecret AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码) token:令牌(过期失效) app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id 在
项目中的鉴权是如何实现的?
田兴的博客
09-17 4904
一、token 验证登录流程 使用基于 Token 的身份验证方法,大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
鉴权 OAuth 2.0的实现(Spring_Security_Oauth2)
最新发布
qq_25156781的博客
01-28 2880
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有鉴别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
项目中的用户鉴权是如何实现的?
前端与计算机相关知识的分享,博主的qq523235674
11-07 1234
主流的前后端分离项目中用户鉴权最常用的是目前最流行的跨域认证解决方案---JWT(JSON WEB TOKEN)
方法实现原理_3种常用鉴权方法原理与实现
weixin_31894867的博客
12-13 436
cookie诞生HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。为解决这个问题,有了cookie出现cookie介绍Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),(通知浏览器设置一下cookie),浏览器自动会将Cookie以进行保存(以key/value的形式)。当下次请求同一网站时也会自动发送该C...
手把手教你前后分离架构(六) 系统认证鉴权实现
dehuisun的专栏
05-26 1617
手把手教你前后分离架构(六) 系统认证鉴权实现 使用 SpringBoot+shiro+jwt的方式实现
开放平台中的鉴权实现
热门推荐
HEL_WOR的博客
06-14 2万+
转载请注明:http://blog.csdn.net/HEL_WOR/article/details/51660979 在描述鉴权和流控之前,可能需要先描述为什么需要搭建开放平台。 开放平台最先由FB推出,而后在2012年左右,国内比较大型的互联网公司都开始搭建自己的开放平台。搭建属于自己的开放平台的原因,一般是以下几点:1.借助第三方满足用户的零碎需求 2.借助第三方提升自己的影响力 3.作为渠
接口鉴权功能的实现
noaman_wgs的博客
12-10 1万+
一、背景 随着系统的发展,单体应用主键演化成微服务架构。系统微服务化之后,若干个微服务之间会有调用。同个部门内实现的服务会被内部调用,一般风险是可控的。但是如果服务提供给别的部门使用之后,在不了解对方的使用场景,接口调用QPS等,如果对方接口调用量过大,会影响整个使用该服务的调用方,且对接口的安全性也会有风险。在这种情况下,每个微服务都需要对调用者进行鉴权。 基本的鉴权维度有: 应用鉴权:对方在...
测试开发【Mock平台】04实战:前后端项目初始化与登录鉴权实现.doc
07-08
【Mock 平台】实战教程主要分为前后端项目初始化与登录鉴权实现。这个教程旨在帮助测试开发者从零开始构建一个基于 Spring Boot 和 Antd React 的测试工具平台。通过这个实战项目,你可以学习到如何有效地组织代码...
JWT鉴权实现
kerolalala的博客
02-04 1266
1.JWT构成 头部(header) 有效载荷(Payload) 签名(signature) 2.header(header是一段json,经过base64编码变成一段字符串,编码前后对比图如图所示:) typ:token的类型,这里固定为JWT alg:使用的hash算法,例如:HMAC SHA256或者RSA 3.payload 存储需要传递的信息,如用户ID、用户名等 还包含元数据,如过期时间、发布人等 与header不同,payload可以加密 4.signature .
基于JWT的接口鉴权实现
本文将介绍基于JWT的接口鉴权实现,包括JWT的工作原理、接口鉴权实现步骤、JWT在实际项目中的应用、安全性考量、总结等内容,旨在帮助读者了解JWT接口鉴权的原理和实践应用。 # 2. JWT的工作原理 JWT
spring boot鉴权实现代码
06-13
以下是一个简单的 Spring Boot 鉴权实现代码示例: 1. 定义用户实体类 ```java @Entity @Table(name = "users") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long ...
如何实现用户登录鉴权?两种方式手把手教会你!
weixin_57569942的博客
08-10 1965
利用Session和Jwt生辰的token实现用户登录鉴权
多系统间接口调用安全鉴权App-Key、Timestamp、App-Sign)
Oo骑着猪去买西瓜-杨清oO的博客
07-30 3324
多系统间接口调用安全鉴权App-Key、Timestamp、App-Sign) 将secretKey发给调用系统,以备调用系统调用门户系统接口鉴权使用 调用系统的请求头中有App-Key调用系统名称)、Timestamp(时间戳)、App-Sign appSign生成规则:DigestUtils.md5Hex(appKey + timestamp + secretKey) 在收到请求后,解析请求头字段,并在本地生成appSign, 规则:DigestUtils.md5Hex(appKey + .
通用AppKey签名验证软件
我就是我不一样的美男子!
05-31 1271
签名验证是一种技术,用于确保数据完整性和身份验证。在Java应用程序中,签名通常是由开发人员提供的一个字符串,它基于请求的内容和一些密钥信息生成。这个签名可以被认为是一种指纹,它唯一地标识了请求的内容,同时也确保了请求的完整性。在接收到请求后,应用程序会使用相同的密钥信息和相同的算法来生成签名,然后将其与请求中提供的签名进行比较。如果两个签名匹配,则请求被认为是有效的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值