app登陆token设计

最新推荐文章于 2024-08-18 16:52:32 发布
最新推荐文章于 2024-08-18 16:52:32 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: redis 文章标签: token app
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hw120219/article/details/84673308
版权

下面是本人的一点对安全登陆的体会,如有错误,还请大佬斧正。
token的特点有两个 1.唯一性,可以标志一个用户。2.也可以按照一定规则生成,本身可携带一些有效信息。
为何不能用用户id代替token呢?因为同一用户每次登陆,生成的token可能不一致。

我们项目的token是用uuid生成的,将用户id作为key,token作为value,放入redis中。
通过redis管理,可以设置token的有效时间。

securityKey = UUIDUtils.genUUID();
redis.set(key,securityKey);
redis.expire(key, Integer.parseInt(securityKeyExpireTime));

后台通过aop 拦截每次请求,请求的路径设置为open与login,如果是open开头则直接放过,如果是login则需要token校验。

 public void before(HttpServletRequest request, JSONObject jsonObject) throws LoginValidateException {
        logger.info("[#requestUrl#]:{}\t[#requestJson#]:{}", request.getRequestURI(), StringUtil.formatJson(jsonObject.toString()));
        String requestUri = request.getRequestURI();
        String contextPath = request.getContextPath();
        String url = requestUri.substring(contextPath.length());
        if (url.startsWith("/open")) { //如果是不拦截的地址直接放行
            return;
        }
}

 String securityKey = RedisUtil.getSecurityKey((String) jsonObject.get(BaseQUERYHead.MERCHANT_ID), (String) jsonObject.get(BaseQUERYHead.USER_ID));

因为login请求都会携带用户id,通过用户id在redis中查找token,如果查找不到或token不一致,则直接返回错误信息,不进入方法。token合法则重新刷新token的有效时间。

   if (securityKey != null && securityKey.equals(jsonObject.get(BaseQUERYHead.SECURITY_KEY))) {
            RedisUtil.flushSecurityKey((String) jsonObject.get(BaseQUERYHead.MERCHANT_ID), (String) jsonObject.get(BaseQUERYHead.USER_ID));
        } else {
            logger.warn("securityKey校验失败,userId={},requestId={}", jsonObject.get(BaseQUERYHead.USER_ID), jsonObject.get(BaseQUERYHead.REQUEST_ID));
            baseDTO = BaseDTO.genErrBaseDTO(MemberError.E99_SECURITY_ERROR);
            if (baseDTO.getRequestId() == null) {
                baseDTO.setRequestId(String.valueOf(new Date().getTime()));
            }
            throw new LoginValidateException(JSONObject.fromObject(baseDTO).toString());
        }
hw120219
关注
专栏目录
app登录的token设计
LiuLeQ
12-06 1万+
下面我来说一下我自己的思路: 1.登录的时候,登录成功之后,我们需要给他分配一个token。(1)token可以是文件的形式存着;(2)也可以存在数据库,但是存放在数据库,我个人不推荐,因为每次调用api接口都会对比,这样做法会加重服务器压力;(3)用redis存放token。 我个人强烈推荐的用redis,其次就是文件形式。今天我们重点说文件形式(放在下文去讲),不管什么形式,都一样
app接口设计token的php实现
空白_回忆的博客
11-25 3万+
app接口设计token的php实现1、token设计目的: 因为APP端没有和PC端一样的session机制,所以无法判断用户是否登陆,以及无法保持用户状态,所以就需要一种机制来实现session,这就是token的作用,token是用户登陆的唯一票据,只要APP传来的token和服务器端一致,就能证明你已经登陆(就和你去看电影一样,需要买票,拿着票就能进了)2、token设计时的种类: (1
Token在移动端开发中的设计
俗人世界
01-05 2762
目录 一: Token运用 二: Token实现流程 一: Token运用 1.app登陆成功,生成一个token; (1)token可以是文件的形式存着; (2)也可以存在数据库,但是不建议存放在数据库,因为每次调用api接口都会对比,这样做法会加重服务器压力; (3)用redis存放token,推荐;   2.登录成功之后,服务端返回token,让安卓或者ios去保存这个tok...
Token 设计
最新发布
qyhua的专栏
08-18 1034
Token设计Token 的有效期,很多大厂有关Token设计的有效期像都被设置 2 小时。有效期的计算实际就是指从调用接口获取 Token 的时间开始算,而不是指服务器每 2 小时统一更新一次 Token
user token设计
buyue
03-11 820
方案一: 双token: access_token 和 refresh_token CREATE TABLE `user_token` ( `id` bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT, `user_id` bigint(20) NOT NULL, `access_token` bigint(20) UNSIGNED NOT NULL, `access_token_expired` datetime NOT NULL, `refre
关于登录 token设计
liaowenxiong的博客
03-10 1822
设计要点: APP 和 小程序 的登录 token 不需要时效性,PC端的登录 token 需要时效性 token不要加入到期时间,因为每次有效请求,都要更新 token 的到期时间, 如果把到期时间加入到 token 中,那么每次请求就要生成新的 token ,并且随同请求数据返回给客户端替换旧的 token,这样实在是太麻烦了,也没有必要吧~ 可以把 token 保存在 redis 等缓存数据库中,设置记录的时效,每次请求就拿着 token 去 redis 查询,查询到数据就说明 token 是有
Apptoken机制
weixin_30410999的博客
03-15 197
这只是网上看来的后期可能还会修改。 理论版的描述如下:   (1) 服务器接收到app发送的用户名和密码后,验证用户名和密码是否正确。   如果错误则返回错误信息。   如果验证正确,生成一个随机的不重复的token字符串(例如"daf32da456hfdh"),在redis或memcache中维护一个映视 表,建立token字符串和用户信息的对应关系表,例如,把...
app令牌的一个token实现
06-20
本文主要讲解 App 令牌的一个 Token 实现,解决了使用 session 来判断登陆验证的不足,通过定义一个 Token 类来存储 token,包括字符串和时间戳,并实现了 Token 的管理类来维护 TokenToken 类的实现 在 Token....
App登陆java后台处理和用户权限验证
09-02
App登陆java后台处理和用户权限验证】 在开发App时,后台处理和用户权限验证是不可或缺的环节。本文将深入探讨如何在Java后台上实现这一功能,以满足App的登录需求,并确保用户权限的安全管理。 首先,对于登录...
uni 登录token方法_uni-app实现登录保存Token
weixin_39994296的博客
12-19 6622
全功能WordPress API接口工具已出全功能WordPress API接口工具已出只为前端开发者的你设计,详情查看:Sliver Rest Wp api:全功能的WordPress api工具引言在上一小节中我向大家展示了如何在uni中判断用户是否登录,在本小节中我将利用前面的登录代码实现token的存储。开始后端打开我们的主题目录下面的login.php文件:将代码替换如下://引入WP加...
App (客户端)登录接口设计Token探究(一)
yundashi168.com
12-02 6444
Token 的的特性: 通过随机算法生成(Hash),里面包含这个 Token 对应用户的基本信息有生命周期,(TODO)可获得剩余的生命周期可延续生命周期(TODO)可主动销毁 先看效果图: 基本符合规范的验证token的接口: { code: 100, message: "成功", content:  { expire: 116
【Uniapp】小程序携带Token请求接口+无感知登录方案
C站全栈优质创作者、阿里云受邀博主专家,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
02-07 9825
我们来说说为什么不能用access_token作为token所以说,access_token 只是用来调用一些微信提供的api服务的,并且access_token 只有两个小时,你把access_token当作小程序的token?不仅不满足暴露这个问题,时间上也有限制我们再来说说checkSession是用来检测什么的?所以!checkSession是用来检测session_key而不是access_token的,access_token是根据小程序的appid和secret确定的,没有单一用户代表性tok
app Token
weixin_30398227的博客
08-15 288
public class Config { private static final String TOKEN_KEY = "token"; private static final String APP_ID = "com.jiangcun.secret"; public static String getCacheToken(Context context){...
token设计方案,这个厉害!
Java和Android架构
08-05 364
相关阅读:一个90后员工猝死的全过程作者:做个前端 链接:https://www.jianshu.com/p/e07f51c5c8bd 网上关于移动客户端与服务器数据传输之间的 toke...
构建安全高效的用户登录系统:登录流程设计Token验证详解
qq_33665793的博客
04-01 1651
在今后的系统设计和开发中,我们应不断探索新的技术和方法,提升用户登录系统的安全性和可靠性,为用户提供更加安心、便捷的服务。2. **生成Token**:服务器验证用户身份后,生成一个唯一的Token,并将其返回给客户端。1. **简洁明了**:登录页面应简洁清晰,用户能够快速找到登录入口,并填写必要的信息进行登录。2. **安全可靠**:采用加密传输和安全存储用户凭证的方式,确保用户的账号和密码不会被泄露。3. **错误处理**:及时提示用户输入错误的地方,并给出友好的提示信息,提高用户体验。
原生app登录 后台方案(token方案)
Andy Tools
11-06 1万+
原来经常用oauth2 的password方案来做登录,自己给自己app做授权没毛病呀,但后面一下有点不对,这里应该是有问题的。于是学习了原生app登录的方案。并学习一系列登录有关知识。特此记录,这是第一篇。 PS:注意,标题中的token即不是oauth2 中的toekn。也不是JSON WEB Token(JWT)中的token 文章目录1 web端-session cookies方案1.1 ...
详解APPToken验证机制
热门推荐
u014526891的博客
09-11 4万+
由于最近负责的一个互联网APP项目中需要用到Token验证机制,所以这边抽空整理下整体流程。 我们知道现在最通用的Token是基于JWT来实现,简单来说其实就是用PublicKey来进行加密,生成的Token里面包含用户Id等信息,但是作为APP这种C/S体系结构来说,存在这样的问题: 1、PublicKey由客户端来存储,涉及版本更新迭代问题,并不好更改PublicKey; 2、各个用户的......
token实现登录功能(具体实现)
qq_64680177的博客
10-02 3924
具体的验证过程,使用服务端的秘钥和指定的加密算法(如HS256)对Header和Payload进行验证签名,得到一个签名结果。此时看这个签名结果和前端传过来的token中的签名是否一样,如果一样就说明这个token是有效,并不是伪造的,此时要进行判断这个token是否过期,这个行为我们可以再创建token时就将其放入的redis当中,并给它设置过期时间。用户在以后的请求中都要将token放入请求当中,服务端会验证Token的有效性,并根据Token中的信息来判断用户是否有权限发起这个请求。
10.用户登录——什么是token、生成tokentoken获取用户信息免密登录、登录装饰器
m0_63953077的博客
11-10 3779
什么是token、生成tokentoken获取用户信息免密登录、登录装饰器
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值