基于Token的身份验证,用户登录

最新推荐文章于 2024-03-26 17:43:09 发布
最新推荐文章于 2024-03-26 17:43:09 发布
阅读量871 收藏 3
点赞数
文章标签: 游戏 json 后端
原文链接:https://my.oschina.net/u/2949632/blog/1523130
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

最近在看项目中的用原生JS封装的api请求方法,各种回调看到头晕,其中对于token,jwt一直是一知半解,有必要记录一下百度的知识。文章最后贴上项目封装请求后端的api代码,大家可以交流一下

Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。

基于 Token 的身份验证方法

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

 

JWT

实施 Token 验证的方法挺多的,还有一些标准方法,比如 JWT,读作:jot ,表示:JSON Web Tokens 。JWT 标准的 Token 有三个部分:

  • header
  • payload
  • signature

中间用点分隔开,并且都会使用 Base64 编码,所以真正的 Token 看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

非常抽象吧,来分解一下。

Header

header 部分主要是两部分内容,一个是 Token 的类型,另一个是使用的算法,比如下面类型就是 JWT,使用的算法是 HS256。

{
  "typ": "JWT",
  "alg": "HS256"
}

Payload

Payload 里面是 Token 的具体内容,这些内容里面有一些是标准字段,你也可以添加其它需要的内容。下面是标准字段:

  • iss:Issuer,发行者
  • sub:Subject,主题
  • aud:Audience,观众
  • exp:Expiration time,过期时间
  • nbf:Not before
  • iat:Issued at,发行时间
  • jti:JWT ID

比如下面这个 Payload ,用到了 iss 发行人,还有 exp 过期时间。另外还有两个自定义的字段,一个是 name ,还有一个是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

 Signature

JWT 的最后一部分是 Signature ,这部分内容有三个部分,先是用 Base64 编码的 header.payload ,再用加密算法加密一下,加密的时候要放进去一个 Secret ,这个相当于是一个密码,这个密码秘密地存储在服务端。

  • header
  • payload
  • secret
var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

 

最后这个在服务端生成并且要发送给客户端的 Token 看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客户端收到这个 Token 以后把它存储下来(localstorage),下回向服务端发送请求的时候就带着这个 Token 。服务端收到这个 Token ,然后进行验证,通过以后就会返回给客户端想要的资源。

 

Authorization是什么?

headers.append("Authorization", "Bearer " + jwt);

下面再解释一下认证(authentication)和授权(authorization) 的区别。

举个例子来说: 
你要登机,你需要出示你的身份证和机票,身份证是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。 

在 computer science 领域再举个例子: 
你要登陆论坛,输入用户名张三,密码1234,密码正确,证明你张三确实是张三,这就是 authentication;再一check用户张三是个版主,所以有权限加精删别人帖,这就是 authorization。

new Header()中很多方法都还一知半解,有必要逐一击破

 

下边第二个链接有关于token处理方法的封装,包括解释项目中

 

参考:

基于 Token 的身份验证

用HttpPost登陆验证时,用户名和密码放在请求头部header中的处理方法,形式为Authorization: username password。

 

项目api原生封装源码

import { Injectable } from "@angular/core";
import { Http, Headers, RequestOptions } from "@angular/http";
import { Router } from "@angular/router";
import "rxjs/add/operator/catch";
import "rxjs/add/operator/map";
import { AppConfig } from "app/app.config";

/**
 * 通用API服务,用于简单的调用后端的Controller及其方法,避免后端人员自行处理Restful类型API的麻烦
 */
@Injectable()
export class API {
  public _url: string;
  /**
     * 设置API地址,如果是多个服务器,请使用Nginx或者其它网关软件先行统一地址
     * @param url API地址
     */
  set url(url: string) {
    this._url = url;
  }

  get url(): string {
    if (!this._url) {
      return (this._url = window["baseUrl"] + "/api.do");
    }
    return this._url;
  }

  /**
     * 注入http服务
     * @param http
     */
  constructor(public http: Http, public router: Router) {}

  /**
     * IPS服务调用
     */
  ips(): any {
    let newInstance = _.clone(this);
    newInstance.url = window["ipsBaseUrl"]
      ? window["ipsBaseUrl"] + "/api.do"
      : AppConfig.ipsBaseUrl + "/api.do";
    return newInstance;
  }

  public call(...args: any[]): any {
    if (args.length < 1) {
      throw new Error("At least one argument for $rpc call ");
    }
    let name = args[0];
    args = args.slice(1);
    // 定义Http头
    let headers = new Headers({
      "Content-Type": "application/json"
    });
    // 从localStorage中获取登录令牌
    let jwt = localStorage["jwt"];
    if (jwt) {
      headers.append("Authorization", "Bearer " + jwt);
    } else {
      headers.append("Authorization", "Bearer anonymous.anonymous");
    }
    // 设置http头
    let options = new RequestOptions({ headers: headers });
    // 优化名字参数,提高鲁棒性
    name = name.substring(0, 1).toLowerCase() + name.substring(1);
    let request = {
      name: name,
      token: localStorage.getItem("request-token"),
      args: args
    };
    // 请求服务器
    let response = this.http
      .post(this.url, request, options)
      .map(res => res.json())
      .catch(error => error && error.json());
    // 定义处理器
    let handlers = {};
    // 订阅返回结果并处理
    response.subscribe(
      json => {
        let ok = handlers["ok"];
        let fail = handlers["fail"];
        if (json["error"] || json["cause"]) {
          //登录失效,自动跳转登录页面
          if (json["code"] === -9999) {
            // this.router.navigateByUrl("security/login");
            this.router.navigateByUrl("security");

            return;
          }
          /*tslint:disable*/
          console.error(name + ":" + json["cause"]);
          /*tslint:enable*/
          if (fail instanceof Function) {
            fail(json);
          }
        } else {
          if (ok instanceof Function) {
            ok(json);
          }
        }
      },
      error => {
        let fail = handlers["fail"];
        if (fail instanceof Function) {
          fail(error);
        }
      }
    );
    // 拟态返回器
    let result = {
      ok: fn => {
        handlers["ok"] = fn;
        return result;
      },
      fail: fn => {
        handlers["fail"] = fn;
        return result;
      }
    };
    return result;
  }
}

 

转载于:https://my.oschina.net/u/2949632/blog/1523130

weixin_34128534
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
c语言linklist及各种功能并实现token令牌仿真
07-13
这是一门操作系统课程的作业 c语言实现linkedlist插入,删除,追加节点,等等功能,并仿真计算机里的令牌机制
API网关设计(一)之Token多平台身份认证方案
Al1en的博客
03-17 6256
API网关设计(一)之Token多平台身份认证方案 随着4g的发展现如今早已不是当年的web登陆单一模式,而不久5g的到来又会带来无人车等其他设备的接入。所以为了应对将来的时代的变化,一个好的多平台认证登陆方案是切实所需。 概述 今天咱们面对移动互联网的发展,系统一般是多个客户端对应一个服务端。 客户端统一通过F5或者Nginx代理转发到API网关,最后发送到服务API。 如下图架构图所示 ...
WebAPI身份认证Token
最新发布
qq_41264896的博客
03-26 253
WebAPI身份认证Token
06-手机登录&token生成&容联云短信验证&用户认证和网关整合(网关做统一权限认证)
秃头之路
08-18 1842
一、需求分析 二、msm模块(发送验证码) 1、准备工作 (1)注册容联云账号,使用验证码服务 传送门 由于容联云个人无法认账,但是免费给我们提供8元的短信配额,我们可以免费使用,非常给力,感谢容联云,比隔壁的云好的太多 注册后按照我的步骤即可(官方JAVASDK参考步骤) 在模块作用引入容联云maven依赖 <dependencies> <!--容联云短信服务--> <dependency> <g.
【项目实战】Spring Cloud Gateway 实现JWT / Token登录认证流程
骏马逸动,心随你动的博客
11-07 1万+
在我看来,在某些场景下,网关就像是一个公共方法,把项目中的都要用到的一些功能提出来,抽象成一个服务。比如,我们可以在业务网关上做日志收集、Token校验等等,当然这么理解很狭隘,因为网关的能力远不止如此,但是不妨碍我们更好地理解它。下面的例子演示了,如何在网关校验Token,并提取用户信息放到Header中传给下游业务系统。 1. 生成Token 用户登录成功以后,生成token,此后的所有请求都带着token。网关负责校验token,并将用户信息放入请求Header,以便下游系统可以方便的获取用户信息
http请求带用户名和密码验证
DK微风的博客
04-30 3万+
发送http请求往往需要带用户名和密码,服务端进行授权验证 实现方式是将将用户名和密码放到请求头里面,采用BasicAuthenticationScheme ,译为基本授权方案,想要了解的可以自己查查 下面是客户端和服务端的实现 客户端实现: public void httpSetAuth() throws IOException { String url3="ht...
node实现基于token身份验证
01-02
最近研究了下基于token身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。 传统的session+cookie...
基于token身份验证-2.0版本
09-19
如何做到防止伪造,就是说即使算法泄露,服务端也能识别出来。要做到这一点,服务端就要缓存token的存根,当请求到达时,比较请求中的token和服务端同一个用户token存根是否匹配。
Node登录权限验证token验证实现的方法示例
12-17
1. token的使用场景 无状态请求 ...3. 基于Token身份验证的过程如下: 客户端:用户名和密码请求登录 服务器:收到请求,验证用户名和密码,验证成功后,分发一个Token返回给客户端 客户端:将T
restify_token:使用基于令牌的身份验证创建用户列表和分页
05-01
restify_token 使用基于令牌的身份验证创建用户列表和分页
angular-token-auth:AngularJS中基于令牌的身份验证
05-08
带有基于令牌的身份验证示例。 生成并运行 首先,使用npm安装依赖项: npm install 运行示例: node auth.server.js 并转到 。 更高级的方案? 有关处理社交提供程序,使用LDAP / Active Directory进行企业...
用HttpPost登陆验证时,用户名和密码放在请求头部header中的处理方法,形式为Authorization: username password。
u013136708的专栏
11-17 9万+
 post.setHeader("Authorization", "your token"); 这里主要是要
需要授权的 API ,必须在请求头中使用 Authorization 字段提供 token 令牌
wanghuohuo1998的博客
06-21 4914
需要授权的 API ,必须在请求头中使用 添加字段 需要授权的 API ,必须在请求头中使用 Authorization 字段提供 token 令牌 实现方法 通过 axios 请求拦截器添加 token,保证拥有获取数据的权限 // axios请求拦截器 axios.interceptors.request.use(config => { //为请求头对象,添加Token 验证的Authorization 字段 config.headers.Authorization = window.sess
httpClient请求 带Authorization(授权)username password的REST API 返回JSON数据
sinat_42888557的博客
05-20 5537
package com.hip.code.utiles; import org.apache.http.HttpEntity; import org.apache.http.HttpResponse; import org.apache.http.StatusLine; import org.apache.http.client.ClientProtocolException; import or...
用户的登陆认证、DjangoRestFramework JWT&多条件登录,导航栏实现
m0_46471716的博客
10-06 1306
用户的登陆认证、DjangoRestFramework JWT&多条件登录,导航栏实现
开发API接口的安全验证token,参数签名,时间戳
何哥的博客
03-18 1万+
前言:服务端与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露和篡改数据,下面主要围绕token,签名,时间戳,三个部分来保证API接口的安全性。 参考链接,致敬前辈: 开放API接口签名验证,让你的接口从此不再裸奔 API接口的安全设计验证:ticket,签名,时间戳 1.用户成功登陆站点后,服务器会返回一个token用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。 2.客户端用需要发送的参数和token生成一个签名sign,作为参
API身份验证和授权介绍
weixin_42646630的博客
04-15 1万+
一、前言 用户通常需要注册API KEY或者其他验证方法,才能使用你的服务,一般我们会用到一下集中验证方式 API Keys Basic Auth HMAC OAuth 身份验证:指证明正确的身份, 授权: 允许的动作 API可能会对您进行身份验证,但未授权您发出特定的请求 API缺乏安全性的后果 为什么API需要身份验证,API没有安全性,用户可以任意注册即可无限次访问和调用API,且没有请求与特定用户数据关联的简单方法,就无法防止恶意用户的恶意请求等。 二、API Key
token登录
lovecoding1的博客
05-14 1万+
token登录
http://yjk7p .co1index.php,express_test1/yarn-error.log at master · AgustinJimenez/express_test1 · G...
热门推荐
weixin_29997223的博客
03-12 13万+
Arguments:/usr/local/Cellar/node@12/12.18.2/bin/node /usr/local/bin/yarn add @types/dump-diePATH:/usr/local/opt/node@12/bin:/usr/local/opt/curl-openssl/bin:/usr/local/sbin:/usr/local/opt/[email protected]/sbin:...
基于 token身份验证方法
06-11
基于 Token身份验证方法是一种常见的身份验证方式,它通过在用户登录成功后生成一个 Token,并将其返回给用户用户在之后的请求中将 Token 携带在请求头或请求参数中,服务端则利用 Token验证用户身份。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值