Token认证问题

最新推荐文章于 2022-05-02 14:24:50 发布
最新推荐文章于 2022-05-02 14:24:50 发布
阅读量284 收藏
点赞数
分类专栏: Java
原文链接:https://blog.csdn.net/u013123635/article/details/78478682
版权

自己按自己的理解做个一个Token认证
首先有个Token对象,具有以下属性

private long id;
private long exp;   //有效时间
private long createtime;
private String power;   //权限

1.登陆

当用户登陆时生成一个Token对象,把属性转换成字符串

String temp = tokenBean.getId()+";"+tokenBean.getCreatetime()+";"+tokenBean.getExp()+";"+tokenBean.getPower();

进行aes加密 

/**
  * AES加密字符串
  * 
  * @param content
  *            需要被加密的字符串
  * @param password
  *            加密需要的密码
  * @return 密文
  */
  public static byte[] encrypt(String content, String password) {
        try {
            KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创建AES的Key生产者

            kgen.init(128, new SecureRandom(password.getBytes()));// 利用用户密码作为随机数初始化出
                                                                    // 128位的key生产者
            //加密没关系,SecureRandom是生成安全随机数序列,password.getBytes()是种子,只要种子相同,序列就一样,所以解密只要有password就行

            SecretKey secretKey = kgen.generateKey();// 根据用户密码,生成一个密钥

            byte[] enCodeFormat = secretKey.getEncoded();// 返回基本编码格式的密钥,如果此密钥不支持编码,则返回 null。

            SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥

            Cipher cipher = Cipher.getInstance("AES");// 创建密码器

            byte[] byteContent = content.getBytes("utf-8");

            cipher.init(Cipher.ENCRYPT_MODE, key);// 初始化为加密模式的密码器

            byte[] result = cipher.doFinal(byteContent);// 加密

            return result;

        } catch (NoSuchPaddingException e) {
            logger.debug("{}",e);
        } catch (NoSuchAlgorithmException e) {
            logger.debug("{}",e);
        } catch (UnsupportedEncodingException e) {
            logger.debug("{}",e);
        } catch (InvalidKeyException e) {
            logger.debug("{}",e);
        } catch (IllegalBlockSizeException e) {
            logger.debug("{}",e);
        } catch (BadPaddingException e) {
            logger.debug("{}",e);
        }
        return null;
    }

再用base64加密,保存到数据库

BASE64Encoder encoder = new BASE64Encoder();
String token = encoder.encodeBuffer(tokenbytes);

同时请求头添加属性 Authorization,返回登陆成功。

response.addHeader("Authorization",token);

2.拦截

对于请求先进行base64解码

 byte[] tokenbytes = decoder.decodeBuffer(Authorization);

在aes解码

 /**
   * 解密AES加密过的字符串
   * 
   * @param content
   *            AES加密过过的内容
   * @param password
   *            加密时的密码
   * @return 明文
   */
   public static byte[] decrypt(byte[] content, String password) {
        try {
            KeyGenerator kgen = KeyGenerator.getInstance("AES");// 创建AES的Key生产者
            kgen.init(128, new SecureRandom(password.getBytes()));
            SecretKey secretKey = kgen.generateKey();// 根据用户密码,生成一个密钥
            byte[] enCodeFormat = secretKey.getEncoded();// 返回基本编码格式的密钥
            SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES");// 转换为AES专用密钥
            Cipher cipher = Cipher.getInstance("AES");// 创建密码器
            cipher.init(Cipher.DECRYPT_MODE, key);// 初始化为解密模式的密码器
            byte[] result = cipher.doFinal(content);  
            return result; // 明文   

        } catch (NoSuchAlgorithmException e) {
            logger.debug("{}",e);
        } catch (NoSuchPaddingException e) {
            logger.debug("{}",e);
        } catch (InvalidKeyException e) {
            logger.debug("{}",e);
        } catch (IllegalBlockSizeException e) {
            logger.debug("{}",e);
        } catch (BadPaddingException e) {
            logger.debug("{}",e);
        }
        return null;
    }

然后根据解码后的id在数据库进行查询
同时Token的有效期要在当前时间内
如果已经失效,但是和数据库保存的token一致,重新刷新Token,不进行拦截
不一致则进行拦截

另外
放上一个MD5加密的方法

import org.springframework.util.DigestUtils;
public static String getMD5(String str){
     String slat="haha";
     String base=str+"/"+slat;
     String md5=DigestUtils.md5DigestAsHex(base.getBytes());
     return md5;
}
dreaming317
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信公众号服务配置--验证token
cinqing
08-12 4万+
1 登陆公众号后台:https://mp.weixin.qq.com2 鼠标滑到最底部的《开发–基本配置》 3 填写相关服务配置信息: 这里的token要跟服务的验证文件里的token一致。4 写一个验证文件放进服务,验证token,看是否连接成功。附上验证代码:<?php/** * wechat php test */ //define your tokendefine("T
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
微信测试号token验证
陈德优的博客
10-18 986
package com.yg.controller; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import javax.servlet.http.HttpServletRequest; import java...
Token的验证流程以及用法
successLadder的博客
07-18 3176
一、身份验证流程 1、用户向服务发送用户名和密码。 2、服务端收到请求,去验证用户名与密码 3、验证成功后,服务端会签发一个 Token,将这个 Token 发送给客户端。 4、客户端收到 Token 以后可以把它存储起来,放在 Cookie 里或者 Local Storage 里 5、用户随后的每一次请求,都会通过 Cookie,将 token 传回服务。 6、服务端收到请求,然后去验证客户...
Composer 提示输入token的解决方法
qq_38421226的博客
11-21 6963
1、问题描述 在执行composer update 或者 install 指令的时候,有时会提示输入token。当然也可以不输入直接回车,指令也会往下执行,只是有时候不免会出现一些问题,甚至影响项目的正常运行。 2、解决办法 第一步,进入https://github.com/settings/tokens页面; 第二步,点击“Generate new token”按钮(左上角...
公众号:正确响应微信发送的Token验证
qq_41399976的博客
06-27 5967
直接把下面代码复制到你要填写的url地址 <?php //定义常量token define('TOKEN','weixin'); //检查标签 function checkSignature() { //先获取到这三个参数 $signature = $_GET['signature']; $nonce =...
Token认证签名加密
09-10
在IT行业中,Token认证签名加密是一种常见的安全机制,主要用于确保数据传输的安全性和验证请求的合法性。这个主题涉及了几个核心概念,包括Token、加密和签名,这些都是构建安全网络服务的关键要素。 1. **Token**...
Java实现基于token认证的方法示例
08-25
Java实现基于token认证的方法示例 一、 token认证的优势 在介绍 Java 实现基于 token 认证的方法示例之前,我们首先需要了解 token 认证相比传统的 cookie 认证的优势。token 认证有以下几个优势: 1. 支持跨域...
Laravel实现ApiToken认证请求
10-16
首先,要实现ApiToken认证,需要修改用户表结构,以便能够存储token。这通常通过修改数据库迁移文件来完成。在Laravel中,所有数据库迁移文件都存放在`database/migrations`目录下。对于本例,打开`2014_10_12_...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
解决Shiro jwt并发刷新token问题
大爱仙尊
05-02 2万+
使用shiro jwt做应用系统的权限校验,网上通用的方式是这样的。 在用户登录时候会生成两份token,一份AccessToken用于返回给前端,前端带上这个令牌去请求后台接口,通常过期时间较短5分钟左右,一份RefreshToken放在Redis中,两个Token的加密值都是当前时间戳,当用户的AccessToken过期时,就去从Redis中通过用户名取得Redis中的RefreshToken,比较AccessToken和RefreshToken中的时间戳是否一致,如果一致就重新生成一...
微信测试号的URL和Token原理
小破孩的博客
10-31 5096
在我们提交URL和Token信息后,微信服务将发送GET请求到填写的URL上,GET请求携带四个参数: Signature(微信加密签名)、timestamp(时间戳)、nonce(随机数)、echostr(随机字符串)。 Signature 结合了开发者填写的Token参数和请求中的timestamp参数、nonce参数。 $_GET是php的全局数组变量,存储了GET请求携带的变量名称和
微信公众号开发者中心配置 Token验证失败 终极解决方案
热门推荐
lihuang319的专栏
06-24 6万+
有时候我们发现所有的配置都设置好了,网上也查了不少的资料,还是不行 请您检查这几项: 1. 在您的URL(服务地址)页面里,直接Get获取echostr参数打印到页面上。 在火狐浏览里Firebug里面看到echostr前面多了几个乱码。 把您开发者设置的URL页面,用NotPad++打开,转为UTF-8无BOM编码格式。 前面的乱码应该是在文件有BOM的原因。 2. 注...
你的服务没有正确响应Token验证的解决方法
weixin_34326558的博客
01-31 981
你的服务没有正确响应Token验证,请阅读消息接口使用指南 微信 微信公众平台开发模式 平台 消息 接口 启用 URL Token作者:http://txw1958.cnblogs.com/ 原文:http://www.cnblogs.com/txw1958/archive/2013/01/31/weixin-if2-enable.html    你的服务没有正确响应Token验证的解决...
redis-token认证
最新发布
09-08
Redis-Token认证是一种在Redis服务中进行用户权限验证的方式。传统的Redis使用非常简单,没有用户认证机制,任何人只要连接到Redis服务,就可以执行任意操作。这在一些开放的环境中存在一定的安全风险。 为了解决这个问题,Redis引入了Redis-Token认证机制。Redis-Token可以看作是一个密码,只有知道正确的Token才能成功连接到Redis服务。当客户端连接到Redis服务时,需要提供Token进行身份验证。如果Token不匹配,连接就会被拒绝。 通过使用Redis-Token认证,管理员可以为每个用户或应用程序分配独立的Token,并设置相应的权限。这样可以限制用户对Redis服务的访问和操作,提高数据的安全性。 在实际使用中,可以通过修改redis.conf配置文件,启用Token认证功能。管理员可以使用命令"AUTH <Token>"来设置Token,同时可以使用命令"CONFIG SET requirepass <Token>"设置Redis服务的默认Token。客户端连接时,可以使用命令"AUTH <Token>"进行身份验证。 Redis-Token认证是一个简单而有效的保护Redis服务的方法。它能够在一定程度上防止未经授权的访问和操作,保护数据的安全性。然而,管理Token仍然需要谨慎处理,以免造成潜在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值