Validation参数校验

最新推荐文章于 2024-04-23 16:54:16 发布
最新推荐文章于 2024-04-23 16:54:16 发布
阅读量248 收藏
点赞数
文章标签: java 后端 json
原文链接:https://segmentfault.com/a/1190000017371679
版权

这里是修真院后端小课堂,每篇分享文从

【背景介绍】【知识剖析】【常见问题】【解决方案】【编码实战】【扩展思考】【更多讨论】【参考文献】

八个方面深度解析后端知识/技能,本篇分享的是:

【Validation参数校验】

【修真院Java小课堂】Validation参数校验

大家好,我是IT修真院北京分院第35期的学员赵君钊,一枚正直纯洁善良的Java程序员,今天给大家分享一下,修真院官网Java(职业)任务二,深度思考中的知识点——Validation参数校验

 

 

  1. 背景介绍

身份验证

服务端提供资源给客户端,但是某些资源是有条件的。所以服务端要能够识别请求者的身份,然后再判断所请求的资源是否可以给请求者。

token

token是一种身份验证的机制,初始时用户提交账号数据给服务端,服务端采用一定的策略生成一个字符串(token),token字符串中包含了少量的用户信息,并且有一定的期限。服务端会把token字符串传给客户端,客户端保存token字符串,并在接下来的请求中带上这个字符串。

一般情况下,建议放入token的数据是不敏感的数据,这样只要服务端使用私钥对数据生成签名,然后和数据拼接起来,作为token的一部分即可。 客户端的每一次请求,都必须携带token,拦截器会对敏感资源的访问进行拦截,然后解析token,解析不成功,表示token不匹配。解析成功之后,判断token是否已过期,如果是,拒绝服务。所有都验证成功的情况下,拦截器放行。     

  1. 知识剖析

JWT 

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。它由三部分组成,头部、载荷与签名。

头部(Header) 

头部包含了两部分,token 类型和采用的加密算法 { "alg": "HS256", "typ": "JWT" } 它会使用 Base64 编码组成 JWT 结构的第一部分

载荷(Payload) 

这部分就是存放信息的地方,可以把用户 ID 等用于验证用户身份的信息放在这里,JWT 规范里面对这部分有进行了比较详细的介绍,常用的由 iss(签发者),exp(过期时间),sub(面向的用户),aud(接收方),iat(签发时间),这五个字段都是由JWT的标准所定义的。

签名(Signature) 

前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法进行签名。签名的作用是保证 JWT 没有被篡改过。

3.常见问题

4.解决方案

5.编码实战

6.扩展思考

JJWT

jjwt 是 java 对 JWT 的封装,它有两个重要的方法,bulider和parser分别用来创建和解析JWT

DefaultJwtBulider是JwtBuilder接口的实现类,用来创建jwt,这个实现类中的方法用来设置JWT中的一些字段

DefaultJwtParser类用来解析jwt字符,传入签名密钥和要解析jwt字符串,jwt在解析的时候会自动校验jwt的有效性,根据情况会抛出三个异常,到期时间异常、jwt格式异常、签名异常,可以通过捕获这几个异常来进行更具体的校验。

7.参考文献

参考资料:http://blog.leapoahead.com/20...

————JSON Web Token - 在Web应用间安全地传递信息

8.更多讨论

 

 

暴露信息的问题?

在JWT中,不应该在载荷里面加入任何敏感的数据。一般需要传入用户的User ID。这个值实际上不是什么敏感内容,一般情况下被知道也是安全的。 但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中,那么通过Base64解码就能很快地知道你的密码了。

 

伪造JWT冒充身份进行登录?

服务端在生成token时,使用了客户端的UA作为干扰码对数据加密,客户端进行请求时,会同时传入token、UA,服务端使用UA对token解密,从而验证用户的身份。如果只是把token拷贝到另一个客户端使用,不同的UA会导致在服务端解析token失败,从而实现了一定程度的防冒充。但是攻击者如果猜到服务端使用UA作为加密钥,他可以修改自己的UA。

 

JWT缺点?

麻烦,而且所有的数据都被放到 JWT 里,数据大小很快就会超过 Cookie 的容量限制。

JWT 不支持撤销。不管发生什么,JWT 会持续有效,直到过期时间,无法完全掌控其有效期。

JWT 一旦被生成,就不会再和服务端有任何瓜葛。一旦服务端中的相关数据更新,无状态 JWT 中存储的数据由于得不到更新,就变成了过期的数据。

9.鸣谢

感谢观看,如有出错,恳请指正

10.结束语

今天的分享就到这里啦,欢迎大家点赞、转发、留言、拍砖~

weixin_34259159
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Validation 参数校验
ljj19990804的博客
08-24 1249
在开发的过程中,为了确保数据的准确性、可靠性和减少脏数据等,我们时常需要对入参进行校验,以往是通过条件判断去实现参数校验,但是这样费时费力又效果不好,而参数校验对于我们来说是一个非常高效的开发工具。
spring boot validation参数校验实例分析
08-25
主要介绍了spring boot validation参数校验,结合实例形式分析了spring boot validation进行数据有效性验证的相关操作技巧,需要的朋友可以参考下
使用validation注解实现参数校验
嘿!晚安 的博客
07-13 1207
一、引入Maven依赖 <dependency> <groupId>javax.validation</groupId> <artifactId>validation-api</artifactId> </dependency> <dependency> <groupId>org.hibernate.validator</groupId> <artifactId&g
【源码】Spring validation参数校验实现原理总结
最新发布
JingAi_jia917的博客
04-23 1579
本文从源码的角度对Spring validation参数校验参数约束解析流程、参数校验的流程进行总结梳理,遍历对Spring validation源码的阅读
Validation参数校验框架
zyxzyx666的博客
01-27 737
Validation是Spring提供的一个参数校验框架,使用预定义的注解完成参数校验
validation 实现参数校验
qq_46154326的博客
01-23 906
Java中,参数校验是非常重要的,因为它可以确保方法或函数在执行时接收到的参数是合法的,有效的,从而提高代码的健壮性和安全性。参数校验可以防止无效的输入导致的异常或错误,同时也能减少因为无效参数导致的安全漏洞Java中的参数校验可以通过手动编写校验逻辑来实现,但这样会增加代码的复杂度和重复性。为了简化参数校验的实现,可以使用Validation API,它是Java EE平台的一部分,提供了一套标准的参数校验机制,可以通过注解的方式来定义参数校验规则。
Spring Boot + validation + AOP 请求参数校验
12-20
Spring Boot + validation + AOP 请求参数校验 一、validation 校验注解 通用 @Null 被注释的属性必须为 null @NotNull被注释的属性必须不为 null @AssertTrue 被注释的属性必须为 true @AssertFalse 被注释的属性...
springboot+dubbo+validation 进行rpc参数校验的实现方法
08-25
主要介绍了springboot+dubbo+validation 进行rpc参数校验的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot使用validation-api实现参数校验的示例
09-08
主要介绍了SpringBoot使用validation-api实现参数校验的示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
如何使用Spring Validation优雅地校验参数
08-18
主要介绍了如何使用Spring Validation优雅地校验参数,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
javavalidation框架(参数校验
weixin_45703155的博客
04-20 6538
*** 自定义手机号注解*///注解的作用目标(可以设置作用在类,方法等等)@Target({ElementType.FIELD }) //注解的保留策略(注解的生命周期) @Retention(RetentionPolicy.RUNTIME) //不同之处:与注解关联的验证器//注解验证不通过时输出的信息String message() default "手机号验证错误";//约束注解在验证时所属的组别Class
Java代码简洁-validation参数校验
weixin_43994244的博客
07-09 8172
validation参数校验
SpringBoot的Validation参数校验以及自定义参数校验注解
Session_s的博客
07-11 3914
SpringBoot的Validation参数校验以及自定义参数校验注解
SpringBoot怎么使用Validation校验参数,看完你就会了@
m0_49496327的博客
04-12 7202
1. Validation 介绍 Validation 是用于检查程序代码中参数的有效性的框架,作为 Spring 框架中的一个参数校验工具,集成在 spring-context 包中。 1.1 Validation 注解 Validation 包含了众多的注解来帮助对Java程序不同类型的参数进行校验校验相关注解分布在spring-boot-starter-validation 依赖的 javax.validation.constraints 包中。 @Null/@NotnULL,标注的字段必须
参数校验(Validator)
z_ssyy的博客
01-04 1277
String message() default "身份证号码不合法";Class
ValidateAntiForgeryToken的用途,解释和示例
p15097962069的博客
07-20 2681
Could you explain ValidateAntiForgeryToken purpose and show me example about ValidateAntiForgeryTok
【优雅的参数验证@Validated】@Validated参数校验的使用及注解详解——你还在用if做条件验证?
热门推荐
A-Itfuture的博客
11-15 3万+
你还在用if做条件验证?【优雅的参数验证@Validated】--@Validated参数校验的使用及注解详解
【ASP.NET Core 认证】JwtBearer认证
weixin_41120428的博客
08-03 1532
试想一下,公司内的多个业务项目都会使用该token,因此,为了让每个项目都可以进行身份认证,就需要将密钥分发给所有项目,这就产生了较大的风险。在HTTP标准验证方案中,我们比较熟悉的是"Basic"和"Digest",前者将用户名密码使用BASE64编码后作为验证凭证,后者是Basic的升级版,更加安全,因为Basic是明文传输密码信息,而Digest是加密后传输。注意,如果设置了TokenValidationParameters.AudienceValidator,则该参数无论是何值,都会执行。...
Validation 数据校验字段改名
05-25
如果你想改变验证规则中的字段名,可以在验证器的 `message` 参数中使用 `%` 符号来引用字段名称。例如: ```python from django import forms class MyForm(forms.Form): new_name = forms.CharField(max_length...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值