基于Token的WEB后台认证机制

于 2024-06-22 08:29:43 发布
阅读量638 收藏 7
点赞数 15
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ruky36/article/details/139873756
版权

在现代的Web应用中,基于Token的认证机制广泛应用于前后端分离的架构中。相较于传统的基于Session的认证方式,Token认证更适合分布式应用和跨平台访问。下面将详细介绍Token认证机制的原理及实现方法。

 Token认证机制原理

Token(令牌)认证机制通常包括以下几个步骤:

1. 用户登录:用户通过提交用户名和密码请求登录。
2. 服务器验证:服务器验证用户提交的凭证,验证通过后生成Token。
3. 返回Token:服务器将生成的Token返回给客户端。
4. 客户端存储Token:客户端将Token存储在本地(如LocalStorage、SessionStorage或Cookie中)。
5. 请求资源:客户端在后续的请求中将Token包含在HTTP头中发送给服务器。
6. 服务器验证Token:服务器验证Token的有效性,并根据验证结果返回相应的资源或错误信息。

 常用的Token类型

1. JWT (JSON Web Token): 一种常见的Token格式,包含Header、Payload和Signature三部分,具有自包含和易于传输的特点。
2. Opaque Token: 不透明令牌,由服务器生成并存储,客户端无法解读其内容。

 使用JWT进行Token认证的示例

下面以JWT为例,介绍如何实现基于Token的认证机制。

 1. 安装必要的依赖

在Python环境中,可以使用Flask框架和PyJWT库实现JWT认证。首先,安装相关库:

sh
pip install Flask PyJWT


 2. 创建Flask应用

python
from flask import Flask, request, jsonify
import jwt
import datetime

app = Flask(__name__)
app.config['SECRET_KEY'] = 'your_secret_key'

 用户登录接口
@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    username = data.get('username')
    password = data.get('password')
    
     验证用户名和密码(这里假设用户名和密码都是admin)
    if username == 'admin' and password == 'admin':
        token = jwt.encode({
            'user': username,
            'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=30)
        }, app.config['SECRET_KEY'], algorithm='HS256')
        
        return jsonify({'token': token})
    
    return jsonify({'message': 'Invalid credentials'}), 401

 受保护的资源
@app.route('/protected', methods=['GET'])
def protected():
    token = request.headers.get('Authorization')
    
    if not token:
        return jsonify({'message': 'Token is missing!'}), 401
    
    try:
        data = jwt.decode(token, app.config['SECRET_KEY'], algorithms=['HS256'])
        return jsonify({'message': f'Welcome {data["user"]}!'})
    except jwt.ExpiredSignatureError:
        return jsonify({'message': 'Token has expired!'}), 401
    except jwt.InvalidTokenError:
        return jsonify({'message': 'Invalid token!'}), 401

if __name__ == '__main__':
    app.run(debug=True)


 3. 测试认证机制

1. 登录获取Token:

   通过POST /login接口发送用户名和密码,获取JWT Token。

   sh
   curl -X POST http://127.0.0.1:5000/login -H "Content-Type: application/json" -d '{"username":"admin", "password":"admin"}'
   

2. 访问受保护的资源:

   使用获取到的Token访问受保护的资源GET /protected。

   sh
   curl -X GET http://127.0.0.1:5000/protected -H "Authorization: <your_token>"
   

 小结

基于Token的认证机制通过在客户端和服务器之间传递Token,实现了无状态的用户认证和授权。JWT因其自包含的特性,成为实现Token认证的流行选择。通过合理的Token管理和验证机制,可以确保Web应用的安全性和扩展性。

ruky36
关注
  • 15
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web基础:Token
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
浅谈基于TokenWEB后台认证机制
08-26
基于TokenWEB后台认证机制Web开发中,认证机制是非常重要的一部分。今天,我们来讨论基于TokenWEB后台认证机制。该机制的主要思想是,在用户认证成功后,服务器端将生成一个Token,并将其返回给客户端。...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7920
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
Token原理(WEB令牌)
weixin_43358075的博客
04-18 3027
TokenWEB系统中相当于临时令牌的作用,一般作为验证使用。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。Token的出现主要解决了两方面问题。 Session会话机制,可以对用户信息进行存储,方便用户再次进入系统,或者进行相应的业务操作。但是,Session是存储于服务器的,会在一定的时间内消耗服务器的内存,同时,Session储存于固定的服务器中,因此,跨域问题...
Web应用中的Cookie, Session, Token机制
般若
12-08 847
要解决HTTP协议无状态的问题,提升Web应用的交互体验,通常有三种方案:Cookie, Session, Token
web——token的使用方法
shanyuecom的博客
05-22 1619
一、为什么要使用token: 1.token完全有应用管理,它可以避开同源策略。 2.token可以避免CSRF攻击。 3.token可以是无状态的,可以在多个服务间共享。 二、token的作用: 1.防止表单重复提交。 2.身份验证,识别用户权限等。 三、token的基本使用: 使用基于token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,验证用户名与密码 验证成功后,服务端会签发一个token,再把这个token发送给
前后端分离登录验证token思路
weixin_46432232的博客
05-18 904
6、后端判断请求头中有无token,有token,就拿到token并验证token,验证成功就返回数据,验证失败(例如:token过期)就返回401,请求头中没有token也返回401。4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面。3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面。2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token
VueAdmin - 基于SpringBoot+Jwt+Vue的前后端分离后台管理系统
06-13
JWT是一种轻量级的身份认证机制,用于在客户端和服务器之间安全地传递信息。在VueAdmin中,JWT被用来实现用户登录验证和权限管理。当用户成功登录后,服务器会返回一个JWT,包含用户信息和过期时间。之后,客户端...
webapi基于Owin中间件的oauth2.0身份认证
10-07
基于Owin中间件的OAuth2.0身份认证为.NET WebAPI提供了安全且灵活的授权机制。通过这个框架,开发者可以轻松地集成身份验证和授权服务,保护API资源,同时为用户提供无缝的登录体验。在实践中,理解OAuth2.0的工作...
基于 vue + element-ui 的后台管理系统
05-20
这通常通过JWT(JSON Web Token)或OAuth等机制实现,确保只有拥有特定权限的用户才能执行特定的操作。 5. **实时数据获取**:项目描述中提到所有数据都是实时从服务器获取的,这意味着项目可能采用了Ajax或者Fetch...
前后端如何实现登录token拦截校验详解
10-18
主要给大家介绍了关于前后端如何实现登录token拦截校验的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
基于 lake-admin 后台管理系统的用户管理模块,实现了用户登陆api的token及jwt双认证.zip
07-23
在本项目中,我们主要关注的是一个基于"lake-admin"后台管理系统实现的用户管理模块,该模块集成了Token和JWT(JSON Web Token)双重身份验证机制。这是一个PHP编程的成果,涉及Web系统的源码开发,适用于MySQL...
Web中什么是token,token的组成部分详解(jwt Token
latata的博客
04-26 9197
token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端...
Webtoken机制
最新发布
AliceNo的博客
01-12 1843
在当今互联网时代,安全、高效的用户身份验证和资源授权是任何网络应用的关键要素。Token机制作为一种灵活、无状态的身份验证和授权方式,为开发人员提供了一种安全可行的解决方案。深入理解Token机制的工作原理和使用场景,对于构建安全可靠的Web应用至关重要。Token机制的出现不仅使得用户身份验证和授权更为简便,同时也促使了Web应用在跨域通信、无状态性等方面取得了显著的进步。从JWT到OAuth,以及Bearer Token的使用,不同的Token机制在不同场景下展现出各自的优势。
JSON Web Token原理深入理解
氷的博客
03-25 489
JWT全称Json Web Token,翻译为JSON格式的网络令牌,很多时候又简称为Token(JWT是Token的一种实现方式)。它要解决的问题,就是为多种终端设备,提供统一的、安全的令牌格式。因此,JWT只是一个令牌格式而已,你可以把它存储到Cookie,也可以存储到localstorage,没有任何限制!同样的,对于传输,你可以使用任何传输方式来传输JWT,一般来说,我们会使用HTTP请求头(Authorization)来传输它。比如,当登录成功后,服务器可以给客户端响应一个JWT。
使用token登陆认证流程
zerodiyi的博客
03-23 2605
JWT验证的主要流程
基于springboot+oauth2.0+jwttoken鉴权认证开发的后台接口
08-17
基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口是一种使用现代化技术实现的身份验证和授权机制。下面是关于这种后台接口的一些说明: 首先,Spring Boot是一个基于Spring框架的快速开发框架,提供了简化的配置和自动化的特性,使开发者能够更快速高效地开发后台接口。 OAuth2.0是一种开放标准的授权协议,它允许用户授权第三方应用访问他们在资源拥有者上存储的信息,而不需要将用户名和密码提供给第三方。 JWT Token(JSON Web Token)是一种用于在网络应用间安全传递声明的一种方式。它被用作身份验证和授权的令牌,通过加密并以JSON格式存储信息,确保信息的完整性和安全性。 基于以上技术,我们可以开发出具有强大安全认证能力的后台接口。首先,用户在访问接口时,需要提供他们的身份证明,这可以是用户名和密码。接口服务器会使用OAuth2.0协议进行身份验证,并颁发JWT Token给用户。用户在未来的请求中,可以使用该Token进行身份验证,而无需每次都提供用户名和密码。 接口服务器会对JWT Token进行验证,以确保Token的完整性和有效性。如果Token失效或被伪造,访问将被拒绝。如果验证通过,接口服务器会正常处理用户的请求。 使用Spring Boot和OAuth2.0进行开发,可以方便地设置权限和角色。可以根据用户的角色和权限,限制他们对某些资源的访问。 总之,基于Spring Boot、OAuth2.0和JWT Token鉴权认证开发的后台接口提供了一种安全可靠的身份验证和授权机制,能够有效保护后台接口的安全性,防止非法访问和数据泄露。这种技术组合在开发现代化的网络应用时非常有用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值