使用JWT Token进行RestFul API权限验证

最新推荐文章于 2024-08-12 15:55:52 发布
最新推荐文章于 2024-08-12 15:55:52 发布
阅读量6.2k 收藏 4
点赞数
分类专栏: SpringMVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1203177935/article/details/80875562
版权
本文探讨了在Restful API中如何避免使用Session,转而采用JWT Token进行权限验证。阐述了使用Token的原因,并提供了一个Java Web示例,展示了在SpringMVC框架下如何生成和验证JWT Token,以及如何通过自定义拦截器实现API权限控制。
摘要由CSDN通过智能技术生成

问题

后端提供的RestFul API一般都需要进行权限验证,而Web框架一般采用Cookies+Session来进行认证。但RestFul API属于无状态协议,而在后台使用Session的话,由于Session本身需要服务端进行维持,这样就破坏了Rest的无状态性。

解决方案

抛弃Cookie+Session的认证架构,选用Token作为认证手段。在登录验证时,后台收集账号信息、IP、访问时间等信息,生成对应Token,通过cookies传回客户端。之后的每次请求API,都需要带上Token;后台对Token进行解码与鉴权操作。这样就可以在服务端本身不维护登录状态的情况下,进行权限认证,不会破坏RestFul的特性。

Java Web 示例

由于Web后台框架是SpringMVC,这里选择使用JWT作为Token生成工具。

编写一个Token生成工具类,完成两个方法:Token生成以及Token验证。

package com.example.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * 用于JWT Token的生成与解码验证
 */
public class JwtTokenUtils {
   

    // 加密用的私钥
    private static String TOKEN_KEY = "keys";

    /**
     * 生成返回给客户端的token
     * @param username 登录用户名
     * @
最低0.47元/天 解锁文章
a1203177935
关注
专栏目录
restful风格请求,基于token鉴权实例
01-03 479
点赞再看,养成习惯 开发环境: jdk 8 intellij idea maven 3.6 所用技术: springboot restful 项目介绍 基于restful风格做的设计实例,即可jwttoken效验,实现增删查改,同时搭配自定义注解,方便过滤token验证 自定义注解 1.需要做验证的注解 @Target({ElementType.METHOD, ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) public @interf
restful api 权限设计 - 快速搭建认证鉴权项目,真的只要10分钟
tomsun28
01-24 2317
restful api 权限设计 - 快速搭建认证鉴权项目 现在很多网站都进行了前后端分离,后端提供rest api,前端调用接口获取数据渲染。这种架构下如何保护好后端所提供的rest api使得更加重视。 认证-请求携带的认证信息是否校验通过,鉴权-认证通过的用户拥有指定api权限才能访问此api。然而不仅于此,什么样的认证策略, jwt, basic,digest,oauth还是多支持, 权限配置是写死代码还是动态配置,云原生越来越火用的框架是quarkus不是spring生态,http实现不是ser
restful apitoken验证
08-31 400
可以在spring mvc里设置一个全局拦截器来作为token验证,可以设置指定路径才拦截,例如/api/**路径才拦截。 <mvc:interceptors> <mvc:interceptor> <mvc:mapping path="/api/*" /> <bean clas...
【开端】使用JWTUtil工工具制作token
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
08-12 2106
JWT是一种开放标准(open standard),它定义了一种紧凑且自包含的方式来在不同的应用程序之间安全地传递信息。JWT由三部分组成:头部(header)、载荷(payload)和签名(signature)。头部包含算法和令牌类型,载荷包含有关用户的信息,签名是对头部和载荷进行哈希处理的结果,以确保它们在传输过程中没有被篡改。JWTUTIL工具类//自定义密钥,越复杂安全性越高// 生成JWT令牌/*** 生成JWT令牌。
框架中的RESTful api快速领悟(中):token认证
01-16 9362
我们讲一下RESTful api中很重要的环节—token认证。本课程主要演示如何快速借助YII2配置出简单的token认证方法,并给出扩展的思路 1.创建一个用来作权限验证的表 CREATE TABLE `clients` ( `client_id` int(11) unsigned NOT NULL AUTO_INCREMENT, `client_appid` varchar(25
权限验证-JWT认证
Hello_super的博客
06-11 1204
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
Django JWT Token RestfulAPI用户认证详解
01-21
一般情况下我们Django默认的用户系统是满足不了我们的需求的,那么我们会对他做一定的扩展 创建用户项目 python manage.py startapp users ...# 全局认证from rest_framework.authentication import Token
使用JSON Web Token进行RESTful API身份验证
RESTful API使用HTTP请求来进行通信,通过对资源的增删改查来操作数据,并使用HTTP的GET、POST、PUT、DELETE等方法来实现统一接口。 ## 1.2 为什么需要对RESTful API进行身份验证? 在现代网络应用中,安全性和...
RESTful API使用JWT做无状态的身份认证
云中采薇
12-30 7727
JWT设计RESTful架构的前后端,天然要求API是无状态的,JWT(JSON Web Token)简单易用,适合在分布式系统中做API无状态的身份认证。jwt由Header、Payload、Signature三部分组成,使用 . 分割开,一个JWT形式:Header.Payload.Signature这三部分分别对应的是加密算法、携带的用户信息、加密后的字符串(签名)。jwt自带签名,能够防止伪
RESTful APIRESTful API的身份验证权限控制
weixin_52553215的博客
11-10 298
RESTful API是一种常用的互联网应用程序接口设计风格。在实际开发中,为了保护API的安全性,我们通常需要对用户进行身份验证RESTful 服务客户端必须向服务器证明其身份才能确立信任。RESTful Web 服务必须首先对请求进行身份验证,然后才能发送响应。
restful风格请求,token鉴权实例
01-14
基于restful风格做的设计实例,即可jwttoken效验,实现增删查改,同时搭配自定义注解,方便过滤token验证
servlet实现restful风格调用
shawemou的博客
06-25 4150
新建立一个web项目,并导入jar包 jar包下载 或者新建一个maven项目,导入以下依赖 2.建立web入口 &amp;amp;lt;?xml version=&amp;quot;1.0&amp;quot; encoding=&amp;quot;UTF-8&amp;quot;?&amp;amp;gt; &amp;amp;lt;web-app xmlns:xsi=&amp;quot;http://www.w3.org/2001
RESTful登录(基于token鉴权)的设计实例
热门推荐
lucasma的博客
04-06 6万+
使用场景 现在很多基于restfulapi接口都有个登录的设计,也就是在发起正式的请求之前先通过一个登录的请求接口,申请一个叫做token的东西。申请成功后,后面其他的支付请求都要带上这个token,服务端通过这个token验证请求的合法性。这个token通常都有一个有效期,一般就是几个小时。 比如我之前接入过一个支付宝和微信支付的通道,他们提供的api就要求先登录获取token然后才能使用...
Spring Boot 2 + Spring Security 5 + JWT 的单页应用 Restful 解决方案
weixin_44421461的博客
10-30 178
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
Spring Security框架下Restful Token验证方案
weixin_30521649的博客
05-26 166
项目使用Restful的规范,权限内容的访问,考虑使用Token验证权限解决方案。 验证方案(简要概括): 首先,用户需要登陆,成功登陆后返回一个Token串; 然后用户访问有权限的内容时需要上传Token进行权限验证 代码方案: Spring MVC + Spring Security + Redis的框架下实现权限验证,此文重点谈谈Spring Security下的Token验证...
移动大脑-SpringMVc搭建RestFul后台服务(四)-添加Token拦截器
ywl5320的专栏
10-16 6985
  我的视频课程(基础):《(NDK)FFmpeg打造Android万能音频播放器》 我的视频课程(进阶):《(NDK)FFmpeg打造Android视频播放器》 我的视频课程(编码直播推流):《Android视频编码和直播推流》   目录:           移动大脑-SpringMVc搭建RestFul后台服务(一)-环境搭建         移动大脑-SpringMVc搭建...
jwt实现登录token
qq_38009397的博客
06-07 282
jwt实现过期登录token
前后端分离,springboot实现token拦截器,注解放行restfulAPI、白名单过滤
qq_28163999的博客
04-07 3797
放行注解定义 @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Inherited public @interface ExcludeInterceptor { } 白名单注解定义 /** @des 白名单验证注解 @author wxg @date 2020年4月7日 */ @Target({ElementTy...
"使用SpringBoot和JWT保护RESTful API接口
3. 后端验证JWT的合法性,如果验证成功,则认为用户具有授权访问API权限;否则,拒绝访问。 三、JWT的结构 JWT由三部分组成: Header、Payload和Signature。其中Header包含了算法和令牌类型,Payload包含了一些...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值