Token的生成、Token的作用及Base编码的注意事项

最新推荐文章于 2024-07-08 09:27:29 发布
最新推荐文章于 2024-07-08 09:27:29 发布
阅读量776 收藏
点赞数
分类专栏: Java相关 文章标签: java servlet 后端 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291503/article/details/126592189
版权

Token的生成方式或常见样式有:

  • 随机字符串(UUID)
  • 按照JWT标准生成(按一定标准生成加密串)
  • 直接将相关信息做加密
  • SpringSecurity生成:在过滤器中过滤请求,生成或校验Token,默认用UUID生成,并将Token存于Cookie或Session中

Token常见作用:

  • 防止表单重复提交,保证请求的幂等性:

处理一个请求,将其Token存入“已处理请求”中,再次进来的请求,如果其Token已在“已处理请求中”,则不再重复处理(该Token需要尽量保证全局唯一)

  • CSRF防御:

Token由服务端返回,将Token存入Cookie或者Session中,并存入到返回的html中表单的hidden字段中,等提交表单时,服务端对比表单提交的请求参数中的token与cookie或session中存储的token是否一致。

场景:服务端收到访问/login页面请求时

  1. 先检查Cookie或Session中是否已经存在Token,存在则直接将该Token存入返回的html表单中;不存在则通过SpringSecurity生成(其他方式生成也行),将Token存入Cookie或Session中,并将该Token存入返回的html表单中
  2. 浏览器显示/login的页面
  3. 在/login中提交表单,会把隐藏字段中的Token一并提交
  4. 服务端校验请求参数中的Token与Cookie或Session中存储的Token是否一致

Token是动态变化的,CSRF的表单无法确定当前的Token是什么,也就无法提前准备请求参数,一定程度上实现了CSRF的防御。

  • 单点登录(SSO)

初次登陆,服务端按照指定字段生成Token(直接加密,或者用JWT标准加密都行),并返回,下次访问时请求中带上指定字段和Token,服务端将Token解密,如果解密结果与请求中携带的指定字段一致,则允许访问。(此Token存于请求头中,因此跨域访问也会生效,如果存在Cookie中,跨域访问Cookie会失效)

以加密方式生成Token的好处:

分布式中,每个服务端存储加密算法及密钥即可,无需通过Session存储,减轻服务端压力。

使用加密算法的注意点:

无论是JWT标准中的加密,还是用AES或者3DES等加密算法,加密后都需要用base32,或者base64编码,同理解密前,也要先用base解码,再解密。

因为,加密后的字符串有很多计算机无法显示的乱码,通过url返回时,甚至后续如果要将加密串存入数据库,这些计算机无法识别的字符都有可能出现问题,因此需要用base编码。

同时也要注意,用base64编码时,主要base64中的‘+’、‘/’及最后自动生成的占位符‘=’,这些都是在url中的特殊字符,在存入url时会产生异议,因此需要做额外的特殊处理。

cyc头发还挺多的
关注
专栏目录
token令牌常用的四种加密方式
weixin_49612239的博客
07-05 6074
1.base64 ‘防君子不防小人’ 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ 参数对应的明文,类型为bytes;例:b’guoxiaonao’ urlsaf
token生成原理 使用方法!
CJamenc的博客
11-04 7973
什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。   基于 Token 的身份验证 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到
token生成和应用
热门推荐
丶拾慌
08-09 6万+
接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录才能访问; 4、有点接口不需要用户登录就可访问;   针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。 第一个token是针对接口的(api_token); 第二个
【解读大模型(LLM)的token
最新发布
2401_85375151的博客
07-08 1351
在 LLM 中,token代表模型可以理解和生成的最小意义单位,是模型的基础单元。根据所使用的特定标记化方案,token可以表示单词、单词的一部分,甚至只表示字符。token被赋予数值或标识符,并按序列或向量排列,并被输入或从模型中输出,是模型的语言构件。一般地,token可以被看作是单词的片段,不会精确地从单词的开始或结束处分割,可以包括尾随空格以及子单词,甚至更大的语言单位。token作为原始文本数据和 LLM 可以使用的数字表示之间的桥梁。
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 966
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
Token生成和使用
qq_35334804的博客
07-02 8220
Token的组成header.poyload.sign header:头部,包括参数类型(JWT),签名算法(HS256); poyload:负荷,存放信息(信息容易暴漏,不应该在载荷里面加敏感数据); sign:签名,Hs256(header(base64)+poyload(base64))加密; token生成方式两种  *不借助第三方jar,自己生成token;          ...
Token的详解与应用
qq_42920440的博客
12-25 1707
@Token的详解与应用 什么是TokenToken是服务端生成的一串字符串,充当客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 为什么要用Token? 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理...
token生成规则
weixin_33798152的博客
08-02 2507
1.token生成规则要添加时间戳,timestamp,以便解析token时,可以根据判断时间超过30分钟不予处理。像session过期时间一样。
令牌Token生成和使用详解 通过用前端原生ajax网络请求和后端node.js的expres库模拟demo来实现
weixin_40669758的博客
11-05 795
令牌Token作用和使用场景 Token主要是用于登录模块使用,实现在设置的一段时间内来实现自动登录,减少再次输入账号密码,提高用户体验 为什么不使用cookie和session来实现自动登录而使用令牌Token 不使用cookie是因为cookie数据保存在浏览器上数据不加密容易被伪造数据不安全,加上cookie数据手动可以删除数据。 不使用session的原因是因为session数据以文件的形式保存在服务器,如果用户数量大,这样增加造成服务器压力,和session数据在不同服务器上数据不共享,因..
JWT Token生成及验证
07-16
2. **签名生成**:签名是通过将头部和载荷进行Base64Url编码后,使用一个密钥(secret key)和指定的签名算法(如HMAC SHA256)进行计算得到的。这个过程确保了JWT的完整性和不可篡改性。 3. **C#库:System....
JWT(java web Token)
01-22
### JWT的安全性和注意事项 - **不安全的HTTP**:JWT应通过HTTPS发送,防止中间人攻击。 - **过期时间管理**:合理设置JWT的过期时间,避免长时间有效的令牌造成安全风险。 - **刷新令牌**:配合刷新令牌使用,当JWT...
Token验证的代码
09-08
基于spring框架,数据交互是依据URLConnection进行数据传递的,参数在传递的过程使用RAS进行数据加密和MD5加密。
Token生成规则以及工具相关代码
06-26
此资源是针对“Token生成规则以及工具”这篇文章的相关代码文章地址:https://blog.csdn.net/kai_1215/article/details/78477146
JWT web token
04-26
### 注意事项 - **安全性**:尽管 JWT 提供了安全性,但必须妥善管理密钥,避免被泄露。此外,JWT 不应存储敏感信息,因为它们可能在客户端被查看。 - **过期时间**:为了避免永久性会话,应该设置合理的过期时间。...
JWT(JSON Web Token
m0_46364778的博客
04-02 1610
JWT
基于Servlet的前后端分离(跨域+Token)
weixin_43546450的博客
07-13 2811
基于Servlet的前后端分离一、知道为什么要用前后分离的开发模式传统开发的缺陷前后端分离开发的优点二、原生Servlet+html代码demo三、demo不能解决的问题 一、知道为什么要用前后分离的开发模式 传统开发的缺陷 前端无法单独调试, 开发效率低 前后端耦合性太强 JSP由于本身属于Servlet, 需要将JSP代码转为Java代码, 再编译成浏览器能识别的html语言, 本身运行速度慢, 并且并发能力差 后端开发不能专注逻辑还要开发页面 传统开发模式不适用于分布式架构, 云架构, 微服务架构
Token详解以及应用原理
Better_Xing的博客
07-01 2546
Token详解以及应用原理
javatoken原理及生成使用机制
weixin_57176230的博客
05-21 7345
常用认证机制介绍 1、HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth 这种认证方法的优点是简单,容易理解。 缺点有: 不安全:认证身份信
java token生成规则_token生成原理 使用方法!
weixin_32822843的博客
02-27 7273
什么是token?Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:1.客户端使用用户名跟密码请求登录2.服务端收到请求,去...
OpenStack Horizon Token 生成代码深度解析
"openstack生成token的代码解析" OpenStack是一个开源的云计算平台,它提供了多种服务,如计算、存储和网络资源的管理。在OpenStack中,Token是一种身份验证机制,用于验证用户或服务的身份,并授权其访问OpenStack...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cyc头发还挺多的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值