API关于TOKEN的使用

最新推荐文章于 2024-03-29 00:58:43 发布
最新推荐文章于 2024-03-29 00:58:43 发布
阅读量5.6k 收藏 9
点赞数
分类专栏: 系统架构 文章标签: TOKEN API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010963948/article/details/86094340
版权

       很久没写更新内容了,新的一年也开始了,是时候该把自己的东西整理一遍了。2018年也没少看书,但是真正属于自己的东西很少很少,或者学习的时候浅尝辄止,也是时候给自己清醒清醒了。

        公司自己的项目是基于Spring Boot敏捷开发的,起初对于接口的鉴权等认证操作都很粗糙,网上也搜集了一下其他资料,总的来说。比较详细的鉴权的两种方式如下:

其一是认证与鉴权,对于请求的用户身份的授权以及合法性鉴权;其二是API级别的操作权限控制,这个在第一点之后,当鉴定完用户身份合法之后,对于该用户的某个具体请求是否具有该操作执行权限进行校验。

认证与鉴权

对于第一个需求,笔者调查了一些实现方案:

  1. 分布式Session方案
    分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中,且通常由用户会话作为 key 来实现的简单分布式哈希映射。当用户访问微服务时,用户数据可以从共享存储中获取。在某些场景下,这种方案很不错,用户登录状态是不透明的。同时也是一个高可用且可扩展的解决方案。这种方案的缺点在于共享存储需要一定保护机制,因此需要通过安全链接来访问,这时解决方案的实现就通常具有相当高的复杂性了。

  2. 基于OAuth2 Token方案
    随着 Restful API、微服务的兴起,基于Token的认证现在已经越来越普遍。Token和Session ID 不同,并非只是一个 key。Token 一般会包含用户的相关信息,通过验证 Token 就可以完成身份校验。用户输入登录信息,发送到身份认证服务进行认证。AuthorizationServer验证登录信息是否正确,返回用户基础信息、权限范围、有效时间等信息,客户端存储接口。用户将 Token 放在 HTTP 请求头中,发起相关 API 调用。被调用的微服务,验证Token。ResourceServer返回相关资源和数据。

这边选用了第二种方案,基于OAuth2 Token认证的好处如下:

  • 服务端无状态:Token 机制在服务端不需要存储 session 信息,因为 Token 自身包含了所有用户的相关信息。
  • 性能较好,因为在验证 Token 时不用再去访问数据库或者远程服务进行权限校验,自然可以提升不少性能。
  • 现在很多应用都是同时面向移动端和web端,OAuth2 Token机制可以支持移动设备。
  • OAuth2与Spring Security结合使用,有提供很多开箱即用的功能,大多特性都可以通过配置灵活的变更。
  • 最后一点,也很重要,Spring Security OAuth2的文档写得较为详细。

oauth2根据使用场景不同,分成了4种模式:

  • 授权码模式(authorization code)
  • 简化模式(implicit)
  • 密码模式(resource owner password credentials)
  • 客户端模式(client credentials)

对于上述oauth2四种模式不熟的同学,可以自行百度oauth2,阮一峰的文章有解释。常使用的是password模式和client模式。

操作权限控制

对于第二个需求,笔者主要看了Spring Security和Shiro。

  1. Shiro
    Shiro是一个强大而灵活的开源安全框架,能够非常清晰的处理认证、授权、管理会话以及密码加密。Shiro很容易入手,上手快控制粒度可糙可细。自由度高,Shiro既能配合Spring使用也可以单独使用。

  2. Spring Security
    Spring社区生态很强大。除了不能脱离Spring,Spring Security具有Shiro所有的功能。而且Spring Security对Oauth、OpenID也有支持,Shiro则需要自己手动实现。Spring Security的权限细粒度更高。但是Spring Security太过复杂。

看了下网上的评论,貌似一边倒向Shiro。大部分人提出的Spring Security问题就是比较复杂难懂,文档太长。不管是Shiro还是Spring Security,其实现都是基于过滤器,对于自定义实现过滤器,我想对于很多开发者并不是很难,但是这需要团队花费时间与封装可用的jar包出来,对于后期维护和升级,以及功能的扩展。很多中小型公司并不一定具有这样的时间和人力投入这件事。笔者综合评估了下复杂性与所要实现的权限需求,以及上一个需求调研的结果,既然Spring Security功能足够强大且稳定,最终选择了Spring Security

废话少说,先来一波基于JWT实现的TOKEN的方式:

package com.whb.web.utils;

import java.text.ParseException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import com.nimbusds.jose.JOSEException;
import com.nimbusds.jose.JWSAlgorithm;
import com.nimbusds.jose.JWSHeader;
import com.nimbusds.jose.JWSObject;
import com.nimbusds.jose.JWSSigner;
import com.nimbusds.jose.JWSVerifier;
import com.nimbusds.jose.Payload;
import com.nimbusds.jose.crypto.MACSigner;
import com.nimbusds.jose.crypto.MACVerifier;

import net.minidev.json.JSONObject;

public class JwtUtils {

	/**
	 * 1.创建一个32-byte的密匙
	 */

	private static final byte[] secret = "geiwodiangasfdjsikolkjikolkijswe".getBytes();

	// 生成一个token
	public static String creatToken(Map<String, Object> payloadMap) throws JOSEException {

		// 3.先建立一个头部Header
		/**
		 * JWSHeader参数:1.加密算法法则,2.类型,3.。。。。。。。 一般只需要传入加密算法法则就可以。 这里则采用HS256
		 *
		 * JWSAlgorithm类里面有所有的加密算法法则,直接调用。
		 */
		JWSHeader jwsHeader = new JWSHeader(JWSAlgorithm.HS256);

		// 建立一个载荷Payload
		Payload payload = new Payload(new JSONObject(payloadMap));

		// 将头部和载荷结合在一起
		JWSObject jwsObject = new JWSObject(jwsHeader, payload);

		// 建立一个密匙

		JWSSigner jwsSigner = new MACSigner(secret);

		// 签名
		jwsObject.sign(jwsSigner);

		// 生成token
		return jwsObject.serialize();
	}

	/**
	 * 解析一个token
	 * 
	 * @param token
	 * @return
	 * @throws ParseException
	 * @throws JOSEException
	 * @throws java.text.ParseException 
	 */
	public static Map<String, Object> valid(String token) throws ParseException, JOSEException {

		// 解析token

		JWSObject jwsObject = JWSObject.parse(token);

		// 获取到载荷
		Payload payload = jwsObject.getPayload();

		// 建立一个解锁密匙
		JWSVerifier jwsVerifier = new MACVerifier(secret);

		Map<String, Object> resultMap = new HashMap<>();
		// 判断token
		if (jwsObject.verify(jwsVerifier)) {
			resultMap.put("Result", 0);
			// 载荷的数据解析成json对象。
			JSONObject jsonObject = payload.toJSONObject();
			resultMap.put("data", jsonObject);

			// 判断token是否过期
			if (jsonObject.containsKey("exp")) {
				Long expTime = Long.valueOf(jsonObject.get("exp").toString());
				Long nowTime = new Date().getTime();
				// 判断是否过期
				if (nowTime > expTime) {
					// 已经过期
					resultMap.clear();
					resultMap.put("Result", 2);

				}
			}
		} else {
			resultMap.put("Result", 1);
		}
		return resultMap;

	}
	
	
	//生成token的业务逻辑
    public static String TokenTest(String uid) {
        //获取生成token

        Map<String, Object> map = new HashMap<>();

        //建立载荷,这些数据根据业务,自己定义。
        map.put("uid", uid);
        //生成时间
        map.put("sta", new Date().getTime());
        //过期时间
        map.put("exp", new Date().getTime()+6);
        try {
            String token = JwtUtils.creatToken(map);
            System.out.println("token="+token);
            return token;
        } catch (JOSEException e) {
            System.out.println("生成token失败");
            e.printStackTrace();
        }
        return null;

    }

    //处理解析的业务逻辑
    public static void ValidToken(String token) {
        //解析token
        try {
            if (token != null) {

                Map<String, Object> validMap = JwtUtils.valid(token);
                int i = (int) validMap.get("Result");
                if (i == 0) {
                    System.out.println("token解析成功");
                    JSONObject jsonObject = (JSONObject) validMap.get("data");
                    System.out.println("uid是" + jsonObject.get("uid"));
                    System.out.println("sta是"+jsonObject.get("sta"));
                    System.out.println("exp是"+jsonObject.get("exp"));
                } else if (i == 2) {
                    System.out.println("token已经过期");
                }
            }
        } catch (ParseException e) {
            e.printStackTrace();
        } catch (JOSEException e) {
            e.printStackTrace();
        }
    }

    public static void main(String[] ages) {
        //获取token
        String uid = "kkksuejrmf";
        String token = TokenTest(uid);
        //解析token
        ValidToken(token);
    }
}

参考链接:https://www.cnblogs.com/softidea/p/6930425.html

参考链接:https://www.cnblogs.com/study-everyday/p/7754596.html

南北雪树
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API调用认证-token
weixin_43569421的博客
07-14 3555
生成token接口 // 创建获取getAccessToken @RestController @RequestMapping(value = "/auth") public class AuthController extends BaseApiService { @Autowired private BaseRedisService baseRedisService; private...
API接口JWT方式的Token认证(上),服务器(Laravel)的实现
热门推荐
钟晨宇的博客
05-03 3万+
简介最近在开发一个 Android 程序,需要做用户登录和认证功能,另外服务器用的是 Laravel 框架搭建的。最终决定用 JWT 实现API接口的认证。JWT 是 Json Web Tokens 的缩写,与传统 Web 的 Cookies 或者 Session 方式的认证不同的是,JWT 是无状态的,服务器上不需要对 token 进行存储,也不需要和客户端保持连接。而 JWT 的 token
什么是API Token
par@ish的博客
12-11 2214
API令牌是一种用于访问和验证API(应用程序编程接口)的安全凭证。它是一个字符串,用于识别和授权应用程序或用户访问特定的API服务或资源。API令牌可以是访问令牌(Access Token)或密钥(API Key)。Access Token通常是通过身份验证协议(比如OAuth)获取的,用于访问受保护的资源。API Key则是直接向API服务提供方获取的密钥,用于标识应用程序或用户。
nimbus-jose-jwt库简单使用 & 公私钥字符串互相转换
最新发布
冰糖的博客
03-29 461
需大于等于 对应算法所需的密钥长度。包括生成RSA密钥对。
API接口设计之token、timestamp、sign具体实现
sasa527的专栏
05-31 2084
API接口设计之token、timestamp、sign具体实现 内容来源于:https://www.cnblogs.com/red-fox/p/12698599.html 一、token 简介 Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露
封装api时候token的处理
qq_59076775的博客
06-21 1439
关于token的处理
php第三方登录数据库设计,设计一个可扩展的用户登录系统 (2)
weixin_39854730的博客
03-19 278
在设计一个可扩展的用户登录系统 (1)中,我们设计了可扩展的数据库表的结构,基本思想是:Users表只存储User的Profile信息,没有任何认证信息(例如,不存Password);每一种登录方式对应一个XxxAuth表,该表存储对应的认证信息,以及一个userId字段用于关联到某个User。数据库结构再好,代码写得乱七八糟,一样没法扩展。所以本文讨论的,就是如何编写认证代码。现在的问题是,在W...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口,api使用oauth2.0权限控制,调用接口需要进行token获取认证、
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
ASP.NET Core Web APIToken验证
06-26
ASP.NET Core Web API采用Token进行身份验证。 主要技术:ASP.NET Core Web API , JWT , Json web token 包括获取TokenToken验证,生成Token等内容 具体可参考个人文章【ASP.NET Core Web APIToken验证】
thinkphp5框架API token身份验证功能示例
10-16
在本篇中,我们将深入探讨如何在ThinkPHP5框架中实现APIToken身份验证功能。 首先,Token身份验证的基本原理是:用户成功登录后,服务器会生成一个唯一的Token,这个Token将发送给客户端(通常是移动应用或Web...
web api JWT token认证
04-24
web api JWT token认证 Demo 代码,包含跨域访问 api设置。
JD token解密之旅
qq_33239778的博客
01-16 3275
京东token解密 京东的token加密在 unify.min.js中 从图中可以看出 token是由 lr.hex_md5(r.report_ts + lr.md5Key)组成,通过测试可以发现,就是普通的md5加密 r.report_ts + lr.md5Key 参数获取 r.report_ts 看着ts两个词就感觉有点熟悉,通过查询发现就是13位时间戳 通过搜索 getCurTime() 方法,发现 report_ts 就是13为时间戳 md5Key 参数 通过全文搜索 md5
API接口签名验证
qq_25046827的博客
03-01 4535
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
设计一个可扩展的用户登录系统 (2)
sumin1992的博客
01-11 572
转自 廖雪峰老师 在设计一个可扩展的用户登录系统 (1)中,我们设计了可扩展的数据库表的结构,基本思想是: Users表只存储User的Profile信息,没有任何认证信息(例如,不存Password);每一种登录方式对应一个XxxAuth表,该表存储对应的认证信息,以及一个userId字段用于关联到某个User。 数据库结构再好,代码写得乱七八糟,一样没法扩展。所以本文讨论的,就是
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 3889
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
Chrome插件之ModHeader
weixin_30326741的博客
10-14 3171
一、ModHeader是什么 ModHeader顾名思义就是让我们可以自定义HTTP请求头或者是重写响应头,包括新增请求头/响应头或者覆盖Chrome浏览器设置的请求头的默认值,同时还可以根据URL Pattern来只对特定网站生效。 Request header用来定义请求头,Response header用来定义响应头,Filter用来设置针对特定网站生效: 二、在...
自己写的api token授权机制
qq_14814665的专栏
03-10 2521
基于laravel框架 路由自己写啊class TestController extends Controller { private $redis; function __construct() { $this->redis = Redis::connection(); } public function token() {
fastapi+token
12-07
以下是使用FastAPIToken进行身份验证的示例代码: ```python from fastapi import FastAPI, Depends, HTTPException from fastapi.security import OAuth2PasswordBearer, OAuth2PasswordRequestForm app = FastAPI() oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") # 模拟用户 fake_users_db = { "johndoe": { "username": "johndoe", "full_name": "John Doe", "email": "johndoe@example.com", "hashed_password": "fakehashedsecret", "disabled": False, }, "alice": { "username": "alice", "full_name": "Alice Wonderson", "email": "alice@example.com", "hashed_password": "fakehashedsecret2", "disabled": True, }, } # 获取用户信息 def fake_decode_token(token): user = None if token == "johndoe": user = fake_users_db["johndoe"] return user # 验证token async def get_current_user(token: str = Depends(oauth2_scheme)): user = fake_decode_token(token) if not user: raise HTTPException( status_code=401, detail="Invalid authentication credentials", headers={"WWW-Authenticate": "Bearer"}, ) return user # 验证用户是否被禁用 async def get_current_active_user(current_user: dict = Depends(get_current_user)): if current_user["disabled"]: raise HTTPException(status_code=400, detail="Inactive user") return current_user # 登录获取token @app.post("/token") async def login(form_data: OAuth2PasswordRequestForm = Depends()): user_dict = fake_users_db.get(form_data.username) if not user_dict: raise HTTPException(status_code=400, detail="Incorrect username or password") user = UserInDB(**user_dict) hashed_password = fake_hash_password(form_data.password) if not hashed_password == user.hashed_password: raise HTTPException(status_code=400, detail="Incorrect username or password") return {"access_token": user.username, "token_type": "bearer"} # 需要验证的路由 @app.get("/users/me") async def read_users_me(current_user: dict = Depends(get_current_active_user)): return current_user ``` 在上面的代码中,我们使用OAuth2PasswordBearer和OAuth2PasswordRequestForm来实现身份验证。我们还定义了一个模拟用户数据库fake_users_db,以及一些用于验证和获取当前用户的函数。最后,我们定义了一个需要验证的路由,即/users/me,它需要一个有效的token才能访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值