无状态WEB HTTP Service安全性方式之一

最新推荐文章于 2022-11-23 21:22:00 发布
最新推荐文章于 2022-11-23 21:22:00 发布
阅读量2k 收藏 1
点赞数
分类专栏: Java

http://jinnianshilongnian.iteye.com/blog/2041909

在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消息摘要。注意该密钥只有客户端和服务端知道,其他第三方是不知道的。访问时使用该消息摘要进行传播,服务端然后对该消息摘要进行验证。如果只传递用户名+密码的消息摘要,一旦被别人捕获可能会重复使用该摘要进行认证。解决办法如:

1、每次客户端申请一个Token,然后使用该Token进行加密,而该Token是一次性的,即只能用一次;有点类似于OAuth2的Token机制,但是简单些;

2、客户端每次生成一个唯一的Token,然后使用该Token加密,这样服务器端记录下这些Token,如果之前用过就认为是非法请求。

ksgt00016758
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RESTful API无状态理解
etrpaul的博客
11-17 2080
这里写自定义目录标题欢迎使用Markdown编辑器Paul新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章1UML 图表FLowchart流程图导出与导入导出导入 欢...
moqui-framework:使用Moqui Framework构建基于Java的企业应用程序。 它包括用于数据库(关系,图形,文档),本地和Web服务,具有屏幕和表格的Web和其他UI,安全性,文件资源访问,脚本,模板,l10n,缓存,日志记录,搜索,规则,工作流,多工具的工具。实例和集成
02-04
有关Moqui Framework当前和不久的将来状态的信息,请参见文件。 有关功能的概述,请参见: 可以通过以下教程快速开始Moqui开发: 有关Moqui Framework的全面文档,请参阅moqui.org上基于Wiki的文档(在Moqui ...
状态java服务在k8s下流量无缝切换
夜星
10-19 1021
java在k8s下流量无缝切换
JAVA的有状态和无状态
阿狸来了,哇咔咔
10-16 2413
1.有状态对象和无状态对象 1.1有状态对象 简单说,就是普通java类,带有属性,并且属性是可以修改的,也就是这种对象是可以进行数据存储的。注意属性一定要可以修改,那么这个类的实例就是有状态。也就是你拿到这个对象,有可能被人修改过,也就是可能发生过状态 1.2无状态对象 简单说,就是对象中的属性不会被更改,不管谁拿过去用过之后没有任何变 。一般而言,spring中使用 @service注解标注的类所产生的对象就是无状态的。 这里其实引出了另外一个概念,在spring中什么样的bean可以被设置为单
如何理解“RESTfulAPI是无状态
芙蓉帐暖的博客
03-17 629
在REST应用程序中,每个请求必须包含服务器需要理解的所有信息,而不是依赖于服务器记住先前的请求。 在服务器上存储会话状态违反了REST体系结构的无状态约束。因此,会话状态必须完全由客户端处理。
JWT有状态登陆与无状态登陆
程序员小明1024
11-23 1890
单点登录与JWT JWT全称:Json Web Token 。作用:JWT 的作用是用户授权(Authorization),而不是用户的身份认证(Authentication)。用户认证指的是使用用户名、密码来验证当前用户的身份,即用户登录。用户授权指用户登录成功后,当前用户有足够的权限访问特定的资源。 传统的Session登录: 用户登录后,服务器会保存登录的Sess...
面向.NET的WEB应用程序设计课件
10-08
第1章 Microsoft .NET Framework 概述 第2章 使用 Microsoft Visual...第17章 Web 应用程序安全性规划 第18章 验证用户输入 第19章 Internet 信息服务身份验证 第20章 保护 Web 页面安全 第21章 保护文件系统数据的安全
RESTful Web Services 中文版.rar
07-09
安全性...................................310 可靠消息传递.............................311 事务.....................................312 BPEL、ESB和SOA...........................313 小结...............
论文研究-基于WS-BPEL过程的Web服务依赖关系分析.pdf
09-12
以基于WS-BPEL(Web Service Business Process Execution Language)的软件系统为例,通过分析WS-BPEL过程与其成员服务间的依赖关系,提出了一种可预判成员服务是否动态更新的算法。实验结果表明,依赖分析算法可以...
演示如何将多租户设施管理和住宿预订应用程序实现为本机AzureServiceFabric可靠服务的示例 -C#-JavaScri
03-15
状态和有状态服务 ASP.NET Core 2.x Web API 和 Web 前端 服务架构 与 ASP.NET Core 基础结构集成的每个环境配置 基于ServicePartitionClient和反向代理的服务客户端 应用洞察 事件流 安全 多租户Azure AD 组织...
REST架构设计约束中的“无状态
weixin_33962923的博客
09-27 166
2019独角兽企业重金招聘Python工程师标准>>> ...
第二十章 无状态Web应用集成——《跟我学Shiro》
jinnianshilongnian的专栏
04-08 500
  目录贴: 跟我学Shiro目录贴   在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认...
http协议和web应用有状态和无状态
Perry小佛
03-06 2822
1、什么是Web应用程序的无状态性? 说基于http协议的web应用程序是请求——应答模式是无状态的,我们可以这样理解:每次的请求都是独立的,它的执行情况和结果与前面的请求和之后的请求是无直接关系的,它不会受前面的请求应答情况直接影响,也不会直接影响后面的请求应答情况。 2、如何使我们的web应用是有状态? 在http协议的基础上,web应用引入cookies, session,applic
你的API有“状态”吗?
大白日梦想家的专栏
10-22 1164
我相信有不少人还不明白有状态和无状态(Stateful and Stateless)的概念,那么我们今天就来谈谈有状态和无状态,一方面不断总结提高自我,另一方面兼扫盲。
java无状态登录实现方式之ThreadLocal+Cookie
敲码农的小代码   ;
07-06 5001
注:本文提到的无状态指的是无需session完成认证、取用户封装信息。 无状态的好处:   1,多应用单点登录:在多应用的时候只需在登录服务器登录后,各子应用无需再次登录。   2,多服务器集群:无需制作会话共享的缓存即可实现。 此方案的缺点:   1,依赖于cookie,虽然现在主流浏览器都支持cookie。   2,单点登录需要各子应用属于同一主域名下(跨主域名无法实现)。 实现
状态登录和无状态登录的概念
随风而欲的博客
12-17 8655
1,这是有状态登录 缺点是什么? • 服务端保存大量数据,增加服务端压力 • 服务端保存用户状态,无法进行水平扩展 • 客户端请求依赖服务端,多次请求必须访问同一台服务器(如果集群了,相当于启动了多个tomcat,就需要在多个tomcat之间共享数据) 简单来说,用之前无状态登录的方式难以共享session,所以用单点登录 1.2.什么是无状态 服务器不保存用户的登录信息! 微服务集群中的每个服...
状态服务 VS 有状态服务
热门推荐
mysee1989的专栏
05-12 1万+
服务器程序来说,究竟是有状态服务,还是无状态服务,其判断依旧是指两个来自相同发起者的请求在服务器端是否具备上下文关系。如果是状态请求,那么服务器端一般都要保存请求的相关信息,每个请求可以默认地使用以前的请求信息。而对于无状态请求,服务器端所能够处理的过程必须全部来自于请求所携带的信息,以及其他服务器端自身所保存的、并且可以被所有请求所使用的公共信息。         无状态服务器程序,最著
深入RESTful无状态原则
weixin_34187862的博客
01-05 422
目录 目录 前言 无状态原则 Web服务状态 基于状态Web服务 基于无状态Web服务 总结两者的区别 前言 在上篇RESTful基础知识中整体的介绍了RESTful架构设计思想的框架,在往后的RESTful主题博文中,我们在这个框架的基础上不断的为其填充更加深入的知识材料。 RESTful基础知...
webservicehttp和RPC的区别
最新发布
04-01
1. Web ServiceWeb服务):Web Service是一种基于Web技术实现的分布式系统的方法,通过网络协议如HTTP,SOAP...4. Web Service具有更好的安全性和可靠性,RPC的安全性和可靠性比较低,HTTP安全性和可靠性也比较低。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值