不可不学系列(其二): Token认证机制让你的Web项目插入梦想的翅膀

最新推荐文章于 2022-11-16 16:03:31 发布
最新推荐文章于 2022-11-16 16:03:31 发布
阅读量166 收藏
点赞数
分类专栏: 筑基之石 文章标签: redis java
你不知道是你,所以你是你
本文链接:https://blog.csdn.net/lkg5211314/article/details/108923510
版权

文章目录

Token认证机制

Token的优势

  • 可实现多种客户端的统一会话管理
  • 降低与其业务系统的耦合
  • 很容易加入第三方认证的支持

生成Token

服务器端 : 按规则生成token信息缓存在redis中, 同时返回给客户端

客户端: 请求登录成功保存token, 并附加在下次请求的http信息头中, 以供服务器验证

置换Token

设置定期刷新会话, 防止被恶意盗取

Token数据结构

客户端标识-USERCODE - USERID -CREATIONDATE-RONDEM(6位)

Token示例

  • TokenService
@Service
public class TokenServiceImpl  implements  TokenService{

    @Resource
    private RedisAPI redisAPI;

    /**
     * token: 客户端标识-USERCODE - USERID -CREATIONDATE-RONDEM(6位)
     * @param userAgent
     * @param admin
     * @return
     */
    @Override
    public String generateToken(String userAgent, WebAdmin admin) {
        StringBuilder sb = new StringBuilder();

        UserAgent agent = UserAgent.parseUserAgentString(userAgent);
        //移动设备
        if(agent.getOperatingSystem().isMobileDevice()) {
            sb.append("MOBILE-");
        } else
            sb.append("PC-");

        sb.append(MD5Util.getMD5(admin.getLoginCode(), 16)).append("-");
        sb.append(admin.getId().toString()).append("-");
        sb.append(new SimpleDateFormat("yyyyMMddHHmmsss").format(new Date())).append("-");
        sb.append(MD5Util.getMD5(userAgent, 6));
        return sb.toString();
    }


    /**
     * 需要针对不同的客户端 需要不同的过期处理
     * @param token
     * @param admin
     */
    @Override
    public void save(String token, WebAdmin admin) {
        if(token.startsWith("PC-")) {
            redisAPI.set(token,  JSONObject.toJSONString(admin), 2 * 60 * 60);
        } else {
            //移动端不需要过期
            redisAPI.set(token,  JSONObject.toJSONString(admin));
        }

    }
    
      @Override
    public boolean validate(String userAgent, String token) {
        if(!redisAPI.keyExist(token)) {
            return false;
        }

        String md5Agent = token.split("-")[4];
        //判断是不是同一个浏览器
        if(!md5Agent.equals(MD5Util.getMD5(userAgent, 6))) {
            return  false;
        }

        //不需要考虑过期时间 一方面如果是pc端过期 redis会直接清理 如果是移动端也不用考虑
        return  true;

    }
}

注: 需要引入1个依赖: 至于redis和MD5,你使用token肯定是引入了,这里就不赘述了

<dependency>
    <groupId>nl.bitwalker</groupId>
    <artifactId>UserAgentUtils</artifactId>
    <version>1.2.4</version>
</dependency>

验证Token

客户端: 将token附加到请求的header中

服务端: 从header取出token, 将其和redis中key-value进行比对

代码在validate方法中

删除Token

直接手动调用redis的del的方法即可

重置Token

这个场景是, 用户每次请求业务时,都应该校验其token的有效期, 如果约定时间有效(一般是半个小时) 那么你可以访问, 如果无效那么 我需要置换token 具体细节如下

 	//保护期30分钟
    private long protectedTime = 30 * 60 * 1000;
	//延迟
    private int delayTime = 2 * 60;
    @Override
    public String reload(String userAgent, String token) throws Exception {
        //1验证token是否有效
        if (!redisAPI.keyExist(token)) {
            throw  new Exception("token 无效!");
        }
        //2.是否到了置换时间
        String genDateStr = token.split("-")[3];
        Date genDate = new SimpleDateFormat("yyyyMMddHHmmsss").parse(genDateStr);
        //经过的时间
        long pass = Calendar.getInstance().getTimeInMillis() - genDate.getTime();
        //判断是否在保护期之内
        if(pass < protectedTime) {
            throw new Exception("token置换保护期, 无法置换! 剩余" + (protectedTime - pass ) / 1000);
        }

        //生成新的tokne
        WebAdmin admin = JSONObject.parseObject(redisAPI.get(token), WebAdmin.class);
        String newToken = generateToken(userAgent, admin);
        //3.老的token 延迟2分钟过期
        redisAPI.set(token,  redisAPI.get(token), delayTime);
        //4.新的token保存
        save(newToken, admin);
        return newToken;
    }

一般置换Token是放在定时任务中

说说心里话

最近又到了秋招的环节了, 笔者作为一名即将步入职场的新盆友, 正在疯狂吸收"全(栈)站"的知识, 虽然有些疲倦 但是每次掌握一个技能然后分享给大家这个阶段还是挺快乐的, 希望我的童鞋们多多捧场 让我更有信心更新下去, I need You!

浮~沉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web前端处理token
你如今的气质里,藏着你走过的路,经历过的事,读过的书,和爱过的人。
02-20 9059
一 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务...
关于tokentoken登录,token登录置换退出
肖肖的博客
03-27 3334
@TOC 1、基本概念 为什么要使用token 优点 后台不用保存token,只需要验证是否是自己签发的token 支持多种前段,如移动端和浏览器 缺点和解决方法 每次都要去数据库查询权限信息验证token 解决: 将查询到的权限数据保存到session中,之后可以直接从session中获取 也可以使用redisJ解决 2、代码实操 tokenVo 过期时间:方便前端人员判断是否置换,在快过期但用户又有新操作时需要置换 package com.bean.vo; import java.io.Serial
Azure AD认证和Azure AD B2C的token获取
右先生、的博客
11-16 1782
B2C认证拿到的code只能换取idToken, 就算拿到了access_token也是属于web_token,不能用于调用graph api。个人理解比较浅显,我认为Azure AD和Azure AD B2C都可作为用户管理的系统,他们提供了自己的登录认证画面,统一使用Graph API对自己的用户和其他功能做管理。B2C不能使用认证code获取access_token,所以采用了Azure AD免登录的方式获取了access_token。这里主要贴一下,当时使用的认证相关获取token的代码。
unexpected token function 错误
zeroJustGG的博客
03-20 8646
使用koa要求node版本在(node v7.6+),因为Node.js 从 7.6 开始支持async 函数特性。 使用koa要求node版本在(node v7.6+),因为Node.js 从 7.6 开始支持async 函数特性。 使用koa要求node版本在(node v7.6+),因为Node.js 从 7.6 开始支持async 函数特性。 ...
javaweb
RzhenDwo的博客
11-13 919
javaweb
浅谈基于TokenWEB后台认证机制
08-26
基于TokenWEB后台认证机制Web开发中,认证机制是非常重要的一部分。今天,我们来讨论基于TokenWEB后台认证机制。该机制的主要思想是,在用户认证成功后,服务器端将生成一个Token,并将其返回给客户端。...
Vue项目报错:Uncaught SyntaxError: Unexpected token <
10-17
主要介绍了Vue项目报错:Uncaught SyntaxError: Unexpected token <,在引入第三方依赖的 JS 文件时,遇到的一个问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
web api JWT token认证
04-24
Web API JWT Token认证是现代Web应用中一种常见的安全机制,用于保护API接口免受未经授权的访问。JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,它允许客户端通过在请求头中发送一个令牌来证明其身份。...
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和...测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
浅谈常见的web攻击以及如何防范
HongHu-ing的博客
06-08 615
浅谈常见的web攻击以及如何防范
Node报错 unexpected token: function
Kiritow的学园
08-01 3694
最近在写代码的时候偶遇的一个问题,项目编译打包发布后,访问回报500,查看后台日志发现Node进程启动失败,报告unexpected token: function错误。经排查发现是发布时Node版本选择错误(可能是发布工具的Bug),Node 7.6(V8版本 5.5)后才完全支持async, await关键字,低版本Node虽然有兼容方案,但本质上都是以函数实现的polyfill,所以不能完全...
token的常用业务处理:生成/保存/置换/读取/获取登录状态
yiXin_Chen的博客
02-24 593
package cn.itrip.service.token; import cn.itrip.beans.pojo.ItripUser; import cn.itrip.beans.vo.token.Token; import cn.itrip.util.MD5; import cn.itrip.util.RedisUtil; import cn.itrip.util.UserAgentUtil; import com.alibaba.fastjson.JSONObject; import org.s.
web认证中使用token
金溪的博客
11-20 726
几种常用的认证机制 1、Http Basic Auth 简单点说就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API使用的最简单的认证方式,只需要提供用户名密码即可,但由于把用户名密码暴露给第三方客户端的风险,在生产环境被使用越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Aut...
使用koa报错 Unexpected token function
七度温温的博客
07-24 2281
使用koa起服务时,报错 /koaDemo/node_modules/koa-static/index.js:39     return async function serve (ctx, next) {                  ^^^^^^^^ SyntaxError: Unexpected token function     at createScript (vm.js:56...
Token的详解与应用
qq_42920440的博客
12-25 1648
@Token的详解与应用 什么是TokenToken是服务端生成的一串字符串,充当客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 为什么要用Token? 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理...
【DRP】——错误提示:"Syntax error on token "function" , delete this token"
王萌萌
09-09 7873
今天做添加用户模块时,在JSP中有这样一段代码: function document.onkeydown() { if(event.keyCode == 13 && event.srcElement.type != "button") { event.keyCode = 9; } }     因为已有的内容中跳转文本框只能用tab键,而代码的目的是为
Web基础:Token
热门推荐
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
web安全防护的一些方法
focus on security
06-03 1128
使用不同的CSRF防御策略。 • 登陆CSRF。我们建议使用严格的Referer验证策略来防御登陆CSRF,因为登陆的表单一般都是通过HTTPS发送,在合法请求里面的Referer都是真实可靠的。如果碰到没有Referer字段的登陆请求,那么网站应该直接拒绝以防御这种恶意的修改。 • HTTPS。对于那些专门使用HTTPS协议的网站,比如银行类,我们也建议使用严格的Referer验证策略来防御CSRF攻击。对于那些有特定跨站需求的请求,网站应该建立一份白名单,比如主页等。 • 第三方...
iframe带了token不显示_深入理解令牌认证机制token
最新发布
05-19
如果您在使用iframe时带了token却无法显示,可能是由于以下原因: 1. 跨域问题:如果您的iframe和主页面不在同一个域下,那么在请求时会受到同源策略的限制,导致无法获取到token。解决方法可以是在主页面中设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值