基于 Token 的身份验证问题

最新推荐文章于 2024-02-27 16:34:54 发布
最新推荐文章于 2024-02-27 16:34:54 发布
阅读量352 收藏
点赞数
分类专栏: Java 文章标签: Java --  Token

基于 Token 的身份验证问题

首先声明,此文章并非原创,只是在学习的过程中做一个记录,下次需要的时候方便寻找查阅。直接转载肯定没有看的仔细透彻,所以便手动写一遍。原文地址:
https://blog.csdn.net/z69183787/article/details/79160368

传统身份的验证方法

HTTP是一种无状态的协议,也就是说它不知道是谁在访问应用。这里我么把应用看作是客户端,客户端使用用户名和密码通过了身份验证,不过下回客户端发送请求的时候还得再验证一下。
解决的办法就是,当用户请求登陆的时候,如果没有问题,我们在服务端生成一条记录,这个记录可以说明一下登陆的用户是谁,然后把这条记录的ID号发给客户端,客户端收到以后把这个ID号存储在cookie中,下次这个用户再向服务端发送请求的时候,可以带着这个cookie,这样服务端会验证一下这个cookie里的信息,看看能不能在服务端中找到对应的记录,如果可以说明用户已经通过验证

基于 Token 的身份验证方法

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
1.客户端使用用户名密码请求登陆;
2.服务端收到请求,去验证用户名和密码;
3.验证成功后,服务端会签发一个 Token ,再把这个 Token 发给客户端;
4.客户端收到 Token 后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里;
5.客户端每次向服务端请求资源的时候需要带着服务端签发的 Token;
6.服务端收到请求,然后去验证客户端请求里面带着的 Token ,如果验证成功,就向客户端返回请求的数据。

JWT

实施 Token 验证的方法挺多的,还有一些标准的方法,比如 JWT,读作 jot,表示 Jsone Web Tokens。JWT标准的 Token 有三部分:

  • header
  • payload
  • signature
    中间用点分隔开,并且都会使用Base64编码,所以真正的 Token 看起来像这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
Header

header 部分主要是两部分内容,一个是 Token 的类型,另一个是使用的算法,比如下面的类型就是JWT,使用的算法就是 HS256

{
  "typ": "JWT",
  "alg": "HS256"
}

上面的内容要用 Base64 编码一下,所以就变成这样

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload

payload 里面是 Token 的具体内容,这些内容里面有一些是标准字段,你也可以添加其他需要的内同。下面是标准字段:

  • iss: Issuer,发行者
  • sub:Subject,主题
  • aud:Audience,观众
  • exp:Expiration time,过期时间
  • nbf:Not before
  • iat:Issue at,发行时间
  • jti:JWT ID

比如下面这个 Payload ,用到了 iss 发行人,还有 exp 过期时间。另外还有两个自定义的字段,一个是 name ,还有一个是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 Base64 编码以后就变成了这个样子:

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ
Signature

JWT的最后一部分是Signature,这部分内容有三个部分,先是用Base64编码的 header.payload ,再用加密算法加密一下,加密的时候要放进去一个 secret,这个相当于是一个密码,这个密码秘密的储存在服务端。

  • header
  • payload
  • secrect
var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

处理完成以后看起来像这样:

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后这个在服务端生成并且要发送给客户端的 Token 看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客户端收到这个 Token 以后把它存储下来,下回向服务端发送请求的时候就带着这个 Token 。服务端收到这个 Token ,然后进行验证,通过以后就会返回给客户端想要的资源。

相关链接

相关课程

1.《JWT:JSON Web Token》
2.《Node.js:基于 Token 的身份验证》
3.《WordPress 开发:身份验证(JWT)》
4.《微信小程序:应用后台__身份验证 #3》

White_BaiSmall
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于token身份验证
wengqt的博客
06-09 5218
关于token what is tokentoken相当于是一个令牌,在用户登录的时候由服务器端生成(基于用户名、时间戳、过期时间、发行者等信息进行签名),然后发放给客户端,客户端将令牌保存,在以后需要登录验证的请求中都需要将令牌发送到服务器端进行验证,如果验证成功,则返回数据。目前很多大型网站都在使用基于token的验证方式:github,Facebook,Twitter… why...
Token身份验证
博客
03-19 852
1.首先定义一个可以对Token进行操作的类 public class TokenUtil { //用于存储所有令牌 private static Map<String,User> tokenMap = new HashMap<>(); //生成token,存储token-user对应关系 public static String generateToken(User user){ String token = UUID...
基于 Token身份验证方法
DACBE的博客
03-31 1601
毕设在做一个移动端的app,遇到了一个小问题,如何记住当前的登录状态。之前做过一个php的小demo,是用session实现的,功能是实现了,但是总感觉怪怪的,于是上网百度了一下,发现了一个基于Token身份验证方法,大致浏览了一下,感觉挺不错的,于是就马上实现了一下。 使用基于 Token身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使...
你的服务器没有正确响应Token验证的解决方法
weixin_34326558的博客
01-31 966
你的服务器没有正确响应Token验证,请阅读消息接口使用指南 微信 微信公众平台开发模式 平台 消息 接口 启用 URL Token作者:http://txw1958.cnblogs.com/ 原文:http://www.cnblogs.com/txw1958/archive/2013/01/31/weixin-if2-enable.html    你的服务器没有正确响应Token验证的解决...
自用笔记(1)——windos连接特定网络时,“选择身份验证方法”,没有“EAP-Token”选项的原因与解决方法
最新发布
FHXYXYP的博客
02-27 346
原因:部分无线网(比如DHU)的身份认证采用PEAP-GTC进行加密认证,MAC OS只需连接后输入统一身份认证账号密码,无需特殊配置;Windows操作系统不支持PEAP-GTC认证协议,需安装PEAP-GTC驱动程序(也包括之前安装过驱动,但是重装系统后忘了这事的情况)解决方法:自己在学校信息化办公室的下载专区下载驱动,并从头执行无线网登录操作。
分享一个关于token的bug
qq_60944109的博客
12-17 143
一个获取信息的bug,后台给的data里面包含 由于浏览器存储必须是字符串所以要转换一个格式,下面是正确写法 下面是错误写法,偷懒没有对vuex的token转换字符串的处理 结果请求拦截器解构的时候第一次直接报错,因为后面又使用了json.parse来转换成对象取token 因为第一次好像是直接取得vuex里面的user,本来就是对象再转换当然会报错 全部内存浏览器转换成字符串后正常可以使用json.parse ...
基于Token身份验证的原理
一土宁的博客
05-06 4万+
目录 1 发展史 2 Cookie 3 Session 3.1cookie和session的区别 4 Token 4.1 传统方式——基于服务器的验证 4.2 基于服务器验证方式暴露的一些问题 4.3 基于Token的验证原理 4.5 Tokens的优势 参考文献 1 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某...
基于Token身份验证的方法
10-18
基于Token身份验证是一种现代的、安全的认证方式,尤其适用于Web应用和移动应用。这种方式避免了传统的Session存储用户登录状态的需求,减少了服务器的负担,并提高了系统的可扩展性。Token,中文通常被译为“令牌...
JAVA中的Token 基于Token身份验证实例
08-24
JAVA中的Token基于Token身份验证实例 本文档主要介绍了JAVA中的Token基于Token身份验证实例,具有很好的参考价值。本文将详细介绍基于Token身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
node实现基于token身份验证
08-27
"Node实现基于Token身份验证" Node.js是目前最流行的服务器端编程语言之一,而身份验证是 Node.js 应用程序中最重要的部分之一。本文将主要介绍 Node.js 实现基于 Token身份验证,并对 Token 验证机制进行详细...
基于token身份验证-2.0版本
09-19
如何做到防止伪造,就是说即使算法泄露,服务端也能识别出来。要做到这一点,服务端就要缓存token的存根,当请求到达时,比较请求中的token和服务端同一个用户的token存根是否匹配。
基于token身份验证方法
weixin_30417487的博客
07-17 319
1、用户向服务器发送用户名和密码 2、服务端收到请求,验证用户名和密码 3、验证成功后,服务端会签发一个Token,再把这个Token发送给客户端。 4、客户端收到Token以后可以把它存储起来,比如放在Cookie里或者Local storage里。 5、用户随后的每一次请求,都会通过Cookie,将Token传回服务器。 6、服务端收到请求,然后去验证客户端请求里面带着的T...
了解基于Token身份验证的来龙去脉
让我们荡起双桨的博客
03-29 9430
简介 在Web领域基于Token身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。 以下几点特性会让你在程序中使用基于Token身份验证 1.无状态、可扩展  2.支持移动设备  3.跨程序调用  4.安全   那些使用基于Token身份验证的大佬们 大部分你见到过的API和Web应用
接口请求身份认证的Token和RefreshToken的解决方案
weixin_33967071的博客
04-18 1万+
前言 最近公司在改造接口的请求的验证,之前是登陆后返回一个token,在请求的时候动态添加到header中,以此来验证身份,当返回401直接去重新登录;现在登录返回token和refreshToken两个参数,拿token去添加header,当返回401时并不直接去登录而是拿refreshToken去请求一个接口,刷新得到新的token和refreshToken,拿到新的token再去请求当前返...
Web渗透测试中常见漏洞修复建议
weixin_46236101的博客
10-28 1022
看各大发布漏洞的平台,发现众多挖洞大神精彩的漏洞发掘过程,但在修复建议或者修复方案处,给出千奇百怪神一般的回复,故而总结一下修复建议(才疏学浅不算太全敬请谅解,希望在不断成长中补全),希望对存在漏洞厂商有帮助。 SQL注入 在服务器端要对所有的输入数据验证有效性。 在处理输入之前,验证所有客户端提供的数据,包括所有的参数、URL和HTTP头的内容。 验证输入数据的类型、长度和合法的取值范围。 使用白名单验证允许的输入字符而不是黑名单。 在危险字符输入后进行转义或编码。 明确所有输入正确的字符集。 不使用动态
Understanding 802.1X authentication for wireless networks 了解无线网络的 802.1X 身份验证
耕耘——从菜鸟到高手的蜕变
01-30 807
Understanding wireless provisioning services             This topic has not yet been rated - Rate this topic Updated: January 21, 2005 Applies To: Windows Server 2003, Windows Server 2003 R2, Wind
OC - 正则表达式(身份证号详细验证和粗略验证两种表示,后期会持续添加)
LJ·杨的博客
03-31 3286
目前公司项目中,有这么一个需求。输入身份证号,当此输入框失去焦点时,判断如果身份证号是错误的,要在身份证号后面,显示一个红色的小叉号。可能会有人觉得很简单嘛,只要写个正则就好了。我开始也是这么想的,因为之前有整理过身份证号的正则表达式。然后我就自然而然的写上去了,但是悲剧的一幕发生了。我这时才知道,原来之前我整理的身份证号的正则表达式,只是最基本的判断是否是15位和18位和最后一位是否是x。首先给出
解决无效token的方法
热门推荐
HuangJunJun的博客
06-08 5万+
解决无效token的方法 在调用API接口时遇到了无效token问题,网上搜了一大圈还以为是token时效的问题,最后发现是给需要授权的 API ,必须在请求头中使用Authorization 字段提供 token 令牌。 需要在main.js文件里添加axios拦截器 axios.interceptors.request.use(config => { console.log(config); config.headers.Authorization = window.sessionSt
EAP协议类型
布谷鸟
05-17 2万+
EAP协议类型 ——*——Stonex CWNP无线网络 可扩展身份认证协议(Extensible Authentication Portocol,EAP)最早定义在RFC2284中,是一种支持多种认证方法的认证框架,而不是一个认证机制。EAP最初被设计用于PPP,后来被RFC 3748更新,用于基于端口的802.1X访问控制,最后又被RFC 5247所更新。 EAP是一种非常灵活的
基于 token身份验证方法
06-11
基于 Token身份验证方法是一种常见的身份验证方式,它通过在用户登录成功后生成一个 Token,并将其返回给用户。用户在之后的请求中将 Token 携带在请求头或请求参数中,服务端则利用 Token 来验证用户的身份。 具体实现方式可以是: 1. 用户登录成功后,服务端生成一个 Token,并将其存储在服务端的数据库或缓存中。 2. 将 Token 返回给用户,用户在之后的请求中将 Token 携带在请求头或请求参数中。 3. 服务端在接收到请求后,从请求中获取 Token,并在数据库或缓存中查找对应的 Token 是否存在。 4. 如果存在,则验证通过,否则验证不通过。 需要注意的是,在使用 Token 进行身份验证时,为了避免 Token 被截获并被恶意使用,需要对 Token 进行加密和签名,以及设置合理的过期时间等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值