![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
签名与安全
文章平均质量分 76
# 签名与安全
C18298182575
跳出舒适区
展开
-
OAuth认证流程、Access Token以及Refresh Token简介
为 Refresh Token 是保存在客户端的服务器上的,当前的 Access Token 失效或者过期时,Refresh Token 就会去获取一个新的 Token,Refresh Token 也是一个对客户端不透明的字符串。很多的网站、APP 都弱化了甚至没有搭建属于自己的账号体系,而是使用其它社会化的第三方登陆的方式,比如在登陆某个网站的时候选择通过 github 或者微信、微博等方式登陆,这样不仅免去了用户注册账号的麻烦,还可以获取用户的好友关系来增强自身的社交功能。原创 2024-06-07 16:52:20 · 718 阅读 · 0 评论 -
认证、授权、鉴权和权限控制
目录1. 认证 2. 授权 3. 鉴权 4. 权限控制 5. 认证、授权、鉴权和权限控制的关系 6. 认证和鉴权的关系 7. 小结 8. 参考文献本文将对信息安全领域中认证、授权、鉴权和权限控制这四个概念给出相应的定义,并对这个概念之间的相互关系进行梳理。本文给出的概念定义将有助于后续文章中对互联网应用开发用户登录功能的更多讨论。注:本文讨论的互联网应用开发,主要是指web应用和移动应用的开发。1. 认证认证是指根据声明者所特有的识别信息,确认声明者的身份。认证在英文...转载 2021-09-09 14:32:01 · 1117 阅读 · 0 评论 -
springSecurity jwt 如何融合
springSecurity:用于认证(token有没有,正确与否),通过jwt实现的与鉴权(调接口有没有权限)的,只是走了jwt过滤器(获取用户权限),实现是自己实现的。jwt:用于签名与验签的,为了接口安全。与以前的token比较相似。所以:认证主要jwt实现鉴权:springSecurity实现。-------------------------------------------实现过程中疑问,待整理0.jwt 加签->验签 加签中包含:头部()负载(用户原创 2021-08-21 17:29:12 · 152 阅读 · 0 评论 -
springSecurity jwt 认证与鉴权及异常
如图红色框问题:1.认证1.1 什么是认证,什么时候认证,认证什么东西,怎么算成功,怎么算失败1.2 认证失败怎么处理1.3 与jwt关系2.鉴权1.1 什么是鉴权,如何鉴权,鉴权什么东西,怎么算成功,怎么算失败1.2 鉴权失败怎么处理1.3 与jwt关系----------------------------------------------------------------------------------------------------..原创 2021-08-21 16:59:07 · 2807 阅读 · 1 评论 -
在Spring Security框架下JWT的实现细节原理
一、回顾JWT的授权及鉴权流程在笔者的上一篇文章中,已经为大家介绍了JWT以及其结构及使用方法。其授权与鉴权流程浓缩为以下两句话授权:使用可信用户信息(用户名密码、短信登录)换取带有签名的JWT令牌鉴权:解签JWT令牌,校验用户权限。具有某个接口访问权限,开放该接口访问。二、Spring Security授权细节说明我相信大家都能理解上面的授权与鉴权的整体流程,但是具体到使用Spring Security 如何实现授权,其中细节及原理还是需要单独提出来说明一下。2.1.授权流程细节:转载 2021-08-20 17:59:07 · 199 阅读 · 0 评论 -
带你弄懂JWT原理
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的https://your.app.com/make-friend/?from_user=B&target_user=A上面的URL主要通过URL来描述这个当然这样做有一个弊端,那就是要求用户B用户是一定要先登录的。可不可以简化这个流程,转载 2021-08-19 13:41:21 · 332 阅读 · 0 评论 -
Spring Security 工作原理概览
https://blog.csdn.net/u012702547/article/details/89629415转载 2021-08-14 17:00:19 · 88 阅读 · 0 评论 -
body签名json序列号乱序,null参数问题
最近在对接视频直播,签名算法要求对post 请求参数进行编码,让后作为签名参数。问题:1.当post请求,body多个参数时,不分参数为空,导致签名失败2.body乱序,导致签名失败问题原因:1.签名的时候需要对body进行编码,在body字段排序时,json序列号默认过滤掉为null的字段,导致客户端编码没有为null字段,传给服务端的请求参数,编码时包含为null参数,导致签名参数不一致。处理方案:加签,编码时,为null字段也进行编码。代码如上图reqBody1的处...原创 2021-07-23 12:46:59 · 952 阅读 · 0 评论 -
开放API接口签名验证,让你的接口从此不再裸奔
原文:https://www.jianshu.com/p/ad410836587a最近在对接移动云直播,签名参数中包含一个值,签名过期时间expire=当前时间+过期时间,不明白为什么加这个值,服务端怎么用,下文中给出了答案。接口安全问题请求身份是否合法? 请求参数是否被篡改? 请求是否唯一?AccessKey&SecretKey (开放平台)请求身份为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜.转载 2021-07-21 15:12:34 · 196 阅读 · 0 评论 -
微信公众号验签过程详解--前端和后端的操作
本人为后台java开发一,需求:微信分享二,在开发过程中有几点疑问1.验签流程:后台生成签名,时间戳,随机数给前端,前端怎么验签。是用同样的验签规则,也生成一个签名,与后台比较吗2.入参url是个啥:前端调用该接口的域名3.下图这个鸟玩意,要不要填,填什么三,依赖<dependency> <groupId>com.github.binarywang</groupId> <artifactId>weixin-ja原创 2021-05-18 15:47:02 · 1331 阅读 · 1 评论 -
SpringBoot整合Spring Security
请访问原文:https://baijiahao.baidu.com/s?id=1674779816702031880&wfr=spider&for=pc前言Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登转载 2021-05-17 15:13:26 · 145 阅读 · 0 评论 -
HTTP和HTTPS及 Fiddler抓包原理
我是这样理解HTTP和HTTPS区别的为何要用https?http协议的缺点通信使用明文,内容可能被窃听(重要密码泄露) 不验证通信方身份,有可能遭遇伪装(跨站点请求伪造) 无法证明报文的完整性,有可能已遭篡改(运营商劫持)用https能解决这些问题么?https是在http协议基础上加入加密处理和认证机制以及完整性保护,即http+加密+认证+完整性保护=httpshttps并非应用层的一种新协议,只是http通信接口部分用ssl/tls协议代替而已。通常http直接和tcp通信,转载 2020-09-15 15:38:29 · 652 阅读 · 0 评论 -
《大前端进阶 安全》系列 HTTPS详解(通俗易懂)
此文转载请访问原文:https://juejin.im/post/6844904127420432391前言Coding 应当是一生的事业,而不仅仅是 30 岁的青春�饭本文已收录 GitHub https://github.com/ponkans/F2E,欢迎 Star,持续更新网上很多文章对 HTTPS 的讲解云里雾里,看完这篇,如果还不理解,你直接加怪怪微信,骂我渣男好了(很多细节请教了蚂蚁金服做安全的朋友)~整个 HTTPS 的演变跟流程细思极恐,有很多思想可以借鉴学习。.转载 2020-09-15 14:54:54 · 401 阅读 · 1 评论 -
企业微信应用权限签名api记录
签名权限逻辑1.生成签名(客户端):参与签名的参数有四个: noncestr(随机字符串), jsapi_ticket(如何获取参考“获取企业jsapi_ticket”以及“获取应用的jsapi_ticket接口”), timestamp(时间戳), url(当前网页的URL, 不包含#及其后面部分)2.票据生成jsapi_ticket,两个票据企业/app通过token生成3.获取toke)corpid 是 企业ID,获取方式参考:术语说明-corpidcorpsecret...原创 2020-08-18 18:32:57 · 908 阅读 · 0 评论 -
企业API接口设计(token、timestamp、sign)之具体实现
一:token 简介Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。Token的值一般是UUID,服务端生成Token后需要将t...转载 2019-10-31 09:28:03 · 1468 阅读 · 0 评论 -
记录一个对外接口签名问题
场景:一,本公司一个项目支付中心,需要和另外一个系统oracle进行交互流程是:支付中心推送数据到oracle系统,oracle系统再推送返回结果到支付中心前者是:调用oracle接口,webservice实现后者是:支付中心对外暴露一个restful接口,供oracle调用因为项目发布到公网,别人如果拿到url可参数就可以直接调用接口,存在风险怎么解决:就是调用者需要签名...原创 2019-10-31 09:10:53 · 331 阅读 · 0 评论