“token“的验证

最新推荐文章于 2024-06-12 23:40:32 发布
最新推荐文章于 2024-06-12 23:40:32 发布
阅读量464 收藏 3
点赞数 23
分类专栏: 面试 文章标签: java Redis redis springboot spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54059439/article/details/139089654
版权

以下代码中,为什么要验证两次"token"?

if (JwtUtil.validateToken(authToken) && sessionService.isTokenValid(authToken)) {
                    UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(
                            userDetails, null, userDetails.getAuthorities());
                    auth.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(auth);
                }

因为 validateTokenisTokenValid 执行的是不同类型的验证,因此两者都是有其必要性的。下面是各自方法的功能解析:

  1. validateToken(String token)

    • 这个方法使用 Jwts.parserBuilder() 来验证 JWT 令牌的结构、签名、有效性(例如是否过期)。这是基本的 JWT 安全性验证,确保了令牌在技术层面上是合法的。
    • 如果令牌解析成功,说明它至少在创建时是由合法的服务生成,并且在传输过程中没有被篡改。

  2. isTokenValid(String token)

    • 这个方法通过查询 Redis 来检查令牌是否存在。这通常用于实现如会话管理的额外逻辑,例如检查用户是否已经登出或令牌是否被服务端主动废弃。
    • 使用 Redis 进行检查可以帮助实现例如可撤销令牌的功能,即使令牌从技术上看仍然是有效的,也可以因为某些业务逻辑(如用户主动登出)而被标记为无效。

结论

  • 两次验证都是必要的。第一次验证确保了 JWT 本身的有效性和完整性。第二次验证则提供了对业务规则的支持,例如允许从服务端废弃或撤销令牌。
  • 这种验证方式提高了系统的安全性,使得即便是技术上有效的令牌,也可以因为业务需求(如用户行为)而被标记为无效。

因此,这两种验证方法各自承担了不同的角色,共同提供了更全面的安全保障。维持这两步验证可以确保系统既能防范技术层面的攻击,也能满足业务层面的安全需求。

小语咒
关注
  • 23
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【SpringBoot】46、SpringBoot中整合JWT实现Token验证(拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
热门推荐
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
token验证
m0_64990797的博客
04-21 3782
为什么使用token验证 在web领域基于token的身份验证随处可变,在大多说使用web API的互联网公司中,tokens是多用户下处理认证的最佳方式 一下几点特性会让你在程序中使用基于Token 的身份验证 无状态、可扩展 支持移动设备 跨程序调用 安全 那些使用基于Token的身份验证的大佬们 大部分你见到过的API和WEB应用都是用tokens,列如facebook, twitter, google+, github等 Token的起源 在介绍基于token的身份验证的原理与优势之前,不
Token验证详解
Bonjourjw的博客
06-21 2万+
注:解释的也是非常清晰,很受用一篇文章。原文出处:https://blog.csdn.net/woshihaiyong168/article/details/52857479 为什么使用Token验证:   在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。   以...
Token验证介绍
小麦大大博客
07-23 1670
http
php实现token验证,PHP如何实现Token验证
weixin_36298146的博客
03-10 3227
PHP如何实现Token验证首先将Token进行解析;然后根据解析出来的信息部分验证是否过期,如果未过期再将解析出的信息部分进行加密;最后将加密出来的数据和解析出来签名进行比对,如果相同则验证成功。示例代码:...
go token验证_Golang jwt-go 实现token验证身份
weixin_42314860的博客
12-29 3159
本文只说明如何从HTTP请求中解析tokentoken验证是一种web常用的身份验证手段,在这里不讨论它的具体实现我需要在golang里实现token验证,Web框架是Gin(当然这与框架没有关系)步骤如下从request获取tokenstring将tokenstring转化为未解密的token对象将未解密的token对象解密得到解密后的token对象从解密后的token对象里取参数一、获取解密后...
TOKEN 验证详解
whitek的博客
05-26 5130
为什么使用token验证 在web领域基于token的身份验证随处可变,在大多说使用web API的互联网公司中,tokens是多用户下处理认证的最佳方式 一下几点特性会让你在程序中使用基于Token 的身份验证 无状态、可扩展 支持移动设备 跨程序调用 安全 那些使用基于Token的身份验证的大佬们 大部分你见到过的API和WEB应用都是用tokens,列如facebook, twitter, google+, github等 Token的起源 在介绍基于token的身份验证的原理与优势之前,不妨
token验证机制
是阿瑶的博客呀~
10-08 1431
1.什么是token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。使用Token的目的:减少频繁的查询数据库,减轻服务器的压力。 2.使用基于 Token 的身份验证方法流程 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收.
Token验证登录用户
RX1125的博客
11-06 1625
token登陆验证方案
java token验证和注解方式放行
08-28
token工具,集成了token校验和注解方式token放行策略,解压后直接将java文件放到项目中,引入一下maven就可以用了,亲测可用,如果有问题欢迎留言评论或者私信,可以帮忙解决问题
PHP token验证生成原理实例分析
10-16
主要介绍了PHP token验证生成原理,结合实例形式分析了php的token验证原理与使用技巧,需要的朋友可以参考下
access_token验证过期类
11-29
access_token验证过期类,验证过期的处理办法,超过一小时则从新获取。
python 产生tokentoken验证的方法
09-19
今天小编就为大家分享一篇python 产生tokentoken验证的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
微信公众平台Token验证
12-16
微信公众平台Token验证源码,java版!
简单的项目部署脚本(转载)
u010230019的博客
06-09 592
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
m0_74100417的博客
06-09 1209
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 395
修改菜品——后端Java
java.lang.reflect.Type是什么
最新发布
yuchangyuan5237的博客
06-12 365
通过 java.lang.reflect.Type 接口及其实现,Java 提供了一个强大的机制,用于在运行时检查和操作类型信息。这在编写通用库、框架和工具时特别有用,因为它允许你处理泛型类型和其他复杂类型结构。
实习题:构造一个小(Mini)语言的词法分析程序。 设计一个包含简单算术表达式、赋值语句、IF语句的小语 言的文法。 根据此文法,构造一词法分析程序。输入以“#”为结束符 的源程序,输出为各类单词表和单词串文件。 要求:源程序和输出的单词串均以文件的形式存放。单词 的自身值均为其对应的表的指针,如标识符表的指针、常数表 的指针等。 词法错误类型:词法中未定义的字符及任何不符合词法单 元定义的字符
05-29
好的,我明白了。这是一个关于设计一个小语言的词法分析程序的问题。让我来回答你的问题: 该小语言的文法如下: ``` <程序> -> <语句> <语句> -> <赋值语句> | <条件语句> <赋值语句> -> <变量> = <表达式> <条件语句> -> if <条件> then <语句> else <语句> <条件> -> <表达式> <比较符> <表达式> <比较符> -> < | > | <= | >= | == | != <表达式> -> <项> | <项> + <表达式> | <项> - <表达式> <项> -> <因子> | <因子> * <项> | <因子> / <项> <因子> -> <变量> | <常量> | ( <表达式> ) <变量> -> <字母> <字符串> <常量> -> <数字> <字符串> <字母> -> a | b | c | ... | z | A | B | C | ... | Z <数字> -> 0 | 1 | 2 | ... | 9 <字符串> -> <字符串> <字母> | <字符串> <数字> | ε ``` 其中,ε表示空串。 根据以上文法,可以构造一个词法分析程序,按照以下步骤进行: 1. 读入源程序文件,逐个字符进行识别。 2. 根据文法定义,判断字符属于哪一类单词(如变量、常量等)。 3. 将单词加入相应的单词表中,并记录单词在表中的位置。 4. 如果遇到词法错误,输出错误信息。 5. 重复步骤2-4,直到读入所有源程序字符。 6. 将单词表中的内容输出到单词串文件中。 请注意,在识别单词时,需要注意单词之间的分隔符(如空格、换行符等)。 同时,为了避免混淆,可以将该小语言的关键字(如if、then、else等)和操作符(如+、-、*、/等)单独列出来,作为特殊单词进行识别。 希望这个回答能够帮助到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值