服务器验证——token

最新推荐文章于 2024-05-25 23:16:50 发布
最新推荐文章于 2024-05-25 23:16:50 发布
阅读量9k 收藏 13
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40692753/article/details/84569786
版权

我们知道,http协议是无状态的,所以每次访问服务器的时候,都需要告诉服务器访问者的身份。在以前,我们常用Cookie+Session来完成服务器端验证。

具体过程为在客户端提交表单登录,服务器端通过验证之后,生成一个Session对象,存放用户登录信息,并将SessionID存放到Cookie中,通过Http响应发送到客户端。而客户端会在一定时间内保存cookie,此后的访问请求都会在请求头中带上Cookie的值,用于让服务器端验证,从而达到一次登录,后续不用验证的目的。

Session的缺点:

  • 当服务器访问量增加的时候,会存在很多Session,如果没有设置超时或者销毁的话,很容易造成服务器崩溃等状况。
  • 当服务端为集群或者分布式的时候,用户登陆其中一台服务器,会将session保存到该服务器的内存中,但是当用户的访问到其他服务器时,会无法访问,通常采用缓存一致性技术来保证可以共享,或者采用第三方缓存来保存session,不方便。

先来看看token的介绍:

Json Web Token:简称JWT,俗称token,它是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT传递的信息可以被验证和信任,因为它是数字签名的。JWTs可以使用一个秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对来签名。

JWT 的三个部分依次如下:

Header(头部) Payload(负载) Signature(签名),写成一行,就是下面的样子。

Header.Payload.Signature

下面依次介绍这三个部分。

1. Header  头部

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{ "alg": "HS256", "typ": "JWT" }

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。

最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串。

2. Payload  有效载荷

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{ "sub": "1234567890", "name": "sssssss", "admin": true }

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

3. Signature   签名

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)

payload (base64后的)

secret(这个是服务器端自定义的一个秘钥)

这个部分需要base64加密后的header和base64加密后的payload使用连接组成的字符串,以及秘钥secret构成一个组合,然后通过header中声明的加密方式对这个组合进行加密,然后就构成了jwt的第三部分。

最后我们会得到完整的JWT:字符串1.字符串2.字符串3;

再来看看token是怎么做的:

1、客户端通过用户名和密码登录服务器

2、服务端对客户端身份进行验证;

3、服务端对该用户生成Token,返回给客户端;

4、客户端将Token保存到本地浏览器,一般保存到cookie中;

5、客户端发起请求,需要携带该Token;

6、服务端收到请求后,首先验证Token,之后返回数据。

服务端不需要保存Token,只需要对Token中携带的信息进行验证即可。无论客户端访问后台的那台服务器,只要可以通过用户信息的验证即可。

本人碰到的常用做法是用户登录验证通过后,将用户的uuid保存在JWT的有效载荷中并返回,之后的请求只要通过解析token获得用户的uuid,就可以对用户进行之后的操作。

防干扰:生成token的过程中,ua的充作干扰码。没有相同的ua,就无法解析生成的token字符串。如果客户端是混合开发的模式,生成token和使用token的代理可能不同(比如一个是h5,一个是原生),ua就会不同,token就无法成功的使用。

防过期(刷新):Token管理者负责根据用户的数据生成token和摘要,摘要用来给APP端刷新token用

 

 

 

果子狸的大果果
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于token的身份验证-2.0版本
09-19
2. **双重Token机制**:引入了两种类型的Token——access_token和refresh_token,前者用于日常操作的身份验证,后者用于刷新access_token,以应对Token过期的情况。 #### 三、防止Token伪造的技术细节 **1. 服务端...
token验证
m0_64990797的博客
04-21 3791
为什么使用token验证 在web领域基于token的身份验证随处可变,在大多说使用web API的互联网公司中,tokens是多用户下处理认证的最佳方式 一下几点特性会让你在程序中使用基于Token 的身份验证 无状态、可扩展 支持移动设备 跨程序调用 安全 那些使用基于Token的身份验证的大佬们 大部分你见到过的API和WEB应用都是用tokens,列如facebook, twitter, google+, github等 Token的起源 在介绍基于token的身份验证的原理与优势之前,不
客户端验证server验证
Lyncai的专栏
05-17 1627
今天想实现一个注册、登录界面。所以接触到了客户端控件和server端控件。 客户端控件:主要是一些input控件,type = "text" , "submit"等。这些控件的验证可以使用javascript。 javascript客户端验证server端的验证比较有一下优点: (1)反应快速,节省时间:不需要刷新网页。在server验证需要把内容提交到server。 但是客户端的验证
表单验证-客户端验证服务器验证
最新发布
qq_42222127的博客
05-25 942
验证方式作用:数据验证种类:减少服务器端的工作量和运算量,提高验证效率;代码量太大,太繁琐了,效率低下! 2.jquery的Validate插件验证 jquery的Validate插件封装了验证规则; 1.引入jQuery脚本和Validate插件脚本 或者,使用字节跳动提供的CDN 2.Validate插件脚本实施验证3.Validate插件可提供的验证如下:默认校验规则 一 、模型注解验证服务器验证) 1.基于ASP.NET MVC框架的内置数据验证 1.1验证方式:1.2 用法://正则表达
Token验证怎么验证
大连赵哥的博客
02-25 1529
Token验证怎么验证
服务端验证
weixin_30455023的博客
08-13 110
服务端验证代码: using System; using System.Collections.Generic; using System.Linq; using System.Text; namespace Common.Extensions { using System.Text.RegularExpressions; /// <summary...
前后端的身份认证
weixin_46511008的博客
05-12 966
前后端身份认证1、身份认证1-1. 什么是身份认证1-2. 为什么需要身份认证1-3. 不同开发模式下的身份认证2、Session 认证机制2-1. HTTP 协议的 `无状态性`2-2. 如何突破 HTTP 无状态的限制2-3. 什么是 Cookie2-4. Cookie 在身份认证中的作用2-5. Cookie 不具有 安全性2-6. 提高身份认证的安全性3、在 Express 中使用 Session 认证3-1. 安装 express-session 中间件3-2. 配置 express-sessio
公共自行车管理系统服务器端——毕业设计
12-12
API接口应包括创建新用户、登录验证、查询自行车信息、租借和归还自行车等操作。 3. **会话管理**:在处理用户请求时,服务器端需要维护用户的会话状态,以确保安全性。这可能涉及Cookie、Session或Token等技术,...
详解php curl带有csrf-token验证模拟提交方法
10-18
这里虽然没有给出具体的服务器验证代码,但是基于上述描述,可以理解服务器端将会检查提交的token是否与会话中的token值匹配。 总结以上内容,本文详细解释了使用PHP curl库进行带有CSRF令牌验证的模拟提交方法。...
Spring安全框架——jwt的集成(服务器端)
12-21
在本文中,我们将深入探讨如何将JWT(JSON Web Token)集成到Spring安全框架中,以构建一个基于服务器端的身份验证系统。首先,我们先来看如何建立用户表并进行数据库操作。 1. **创建用户表(users)** - 在...
003 登录rsa+token 登录rsa+token(需改善 私钥不应该硬编码在类中、密码应该存储为哈希值)
05-05
之后,客户端每次请求资源时,都会附带这个Token服务器验证Token的有效性,而不是每次都检查用户名和密码。这种方法减少了密码在网络中的传输次数,提高了安全性。常见的Token实现有JWT(JSON Web Tokens)和OAuth...
使用Token进行身份验证
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
资源服务器验证Token的几种方式
bobozai86的博客
05-25 7715
资源服务器验证Token的几种方式 在微服务中,除了eureka,config,网关等基本的微服务还有认证服务和资源服务, 上图描述了使用了 OAuth2 的客户端请求验证token的流程,是通过资源服务向认证服务验证token。 过程就是客户端用用户名和密码到认证服务获取token,客户端拿着 token 去各个微服务请求数据接口, 当微服务接到请求后,先要拿着 token 去认证服务校验token 的合法性,如果合法,请求成功接口处理返回数据。 这种方式首先要在认证服务的认证服务配置允
如何处理服务器之间的token
Zy000428的博客
10-25 724
JWT 即Json Web Token,将用户登录状态以及数据用加密的json格式存储在客户端,服务端可以完全依靠这个字符串认定用户身份。简单来说,这是一种用户身份认证的解决方案。
什么是tokentoken是用来干嘛的?怎么使用?
热门推荐
JiangLu7的博客
06-10 1万+
使用token机制的身份验证方法
token详解
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
04-11 5115
本篇博客主要从什么是token?为什么要使用token?如何使用token?项目实例这几个方面讲解token,通过本篇博客能够对token能够有更深入的理解,并且有思路应用在具体项目中。多角度看问题,多个维度看问题能够更加深入的理解和学习到该知识点。例如5w2h的方式。
Token详解及安全验证
qq_59125846的博客
05-18 6026
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。
spring security token 有效期_什么是Token验证验证的流程是什么?优点是什么?缺点是什么?...
weixin_39535283的博客
10-26 541
链接:shotCathttps://juejin.im/post/5c6e6063f265da2da53ec8f3什么是TokenToken是用户身份的验证方式,通常叫它:令牌。当用户第一次登录后,服务器生成一个Token并将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。Token由哪几部分组成?uid(用户唯一的身份标识)、time(当前...
从零开始:创建WCF4 RESTful Service与Token验证
作者打算通过一系列的文章详细介绍这个过程,并特别强调了支持Token验证的实现。教程首先介绍了REST的基本概念,然后跳过理论部分,直接进入实践环节,通过创建项目来展示具体步骤。" 在创建RESTful服务时,WCF 4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值