java 登录认证加时间戳_API接口的安全设计验证—ticket,签名,时间戳

最新推荐文章于 2023-09-28 18:51:45 发布
最新推荐文章于 2023-09-28 18:51:45 发布
阅读量1.2k 收藏 4
点赞数
文章标签: java 登录认证加时间戳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35039018/article/details/114753152
版权

推荐阅读:

概述

与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性

7a7b34915c075310fa45db156b93f8b1.png

1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。

2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。

3.但这依然存在问题,可能会被进行恶意无限制访问,这时我们需要引入一个时间戳参数,如果超时即是无效的。

4.服务端需要对token,签名,时间戳进行验证,只有token有效,时间戳未超时,签名有效才能被放行。

开放接口

没有进行任何限制,简单粗暴的访问方式,这样的接口方式一般在开放的应用平台,查天气,查快递,只要你输入正确对应的参数调用,即可获取到自己需要的信息,我们可以任意修改参数值。

Token认证获取

用户登录成功后,会获取一个ticket值,接下去任何接口的访问都需要这个参数。我们把它放置在redis内,有效期为10分钟,在ticket即将超时,无感知续命。延长使用时间,如果用户在一段时间内没进行任何操作,就需要重新登录系统。

登录操作,查看是否有这个用户,用户名和密码匹配即可成功登录。

Sign签名

把所有的参数拼接一起,再加入系统密钥,进行MD5计算生成一个sign签名,防止参数被人恶意篡改,后台按同样的方法生成秘钥,进行签名对比。

重复访问

引入一个时间戳参数,保证接口仅在一分钟内有效,需要和客户端时间保持一致。

需要跟当前服务器时间进行对比,如果超过一分钟,就拒绝本次请求,节省服务器查询数据的消耗

拦截器

每次请求都带有这三个参数,我们都需要进行验证,只有在三个参数都满足我们的要求,才允许数据返回或被操作。

访问

先登录系统,获取合法的ticket

4899897

生成一个合法的sign验证,获取测试ts,访问openDemo,即可正常访问。还可以将参数加密,将http换成https,就不一 一展开了。

4899897

本文同步分享在 博客“Java入门到入坟”(JianShu)。

如有侵权,请联系 support@oschina.cn 删除。

本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

August丶Starten丶Sin
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
覆盖时间戳_给图像添时间戳_
09-29
给图像添时间戳字符颜色与底色反色字体大小和图像大小成比例
(转)【SpringBoot】API 接口设计tokentimestamp、sign 具体架构与实现
墩墩分墩
12-14 1145
Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。 Token的值一般是UUID,服务端生成Token后需要将token做为key,将一些和token关联的信息作为value保存到缓存服务器中(redis),当一个请求过来后,服务器就去缓存服务器
Token 失效退出至登录页面
CMDN123456的博客
08-10 2595
Token 失效退出至登录页面
实现前后端分离登录状态、有效时间的校验
weixin_40501652的博客
08-29 2218
业务场景:项目需要把Spring+ibatis+dubbo改为SpringBoot+Mybatis+SpringCloud,并且后台要前后端分离,所以在项目改进过程中遇到:运营后台怎样控制用户有效登录时间,并作相关处理;一般我们的做法是通过拦截器拦截请求接口,再通过token从redis中获取用户的登录信息,以及登录时长,最后通过代码: response.sendRedirect(req...
apifox进行简单的登录-登出接口自动化
qq_33560073的博客
09-28 1080
最后保存即可2、在登录接口提取变量之后,需要在登出接口里引用,我这里的idtoken放到header里面,在提取变量中定义的【变量名称】是token,因此引用需要使用该名称,格式为{{token}}再填写uid、did其他信息即可ps:如果我们不确定通过{{token}}是否能调取登录接口的值,可以添前置操作-自定义脚本,先把获取到的idtoken打印出来,发送接口后,检查控制台是否打印了idtoken即可3、以上操作都完成后,可以勾选登录和登出接口,点击右侧的【运行】按钮进行测试。
java cookie时间设置时间_简单Java后端的Cookie实现(时间戳
weixin_39967996的博客
02-12 590
在前博客 运行第一个servlet后我们来简单实现一个cookie。一、简单介绍Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":当用户访问 web 页面时,他的名字可以记录在 cookie 中。在用户下一次访问该页面时,可以在 cookie...
java接口签名(Signature)实现方案
aipiannian6725的博客
09-30 2569
预祝大家国庆节快乐,赶快迎接美丽而快乐的假期吧!!! 前言   在为第三方系统提供接口的时候,肯定要考虑接口数据的安全问题,比如数据是否被篡改,数据是否已经过时,数据是否可以重复提交等问题。其中我认为最终要的还是数据是否被篡改。在此分享一下我的关于接口签名的实践方案。如果这种方案不是很好理解,请参考另一篇更简单暴力的方案java接口签名(Signature)实现方案续。 签...
java微信平台验证票据
weixin_47820787的博客
03-14 956
java微信平台验证票据
密工具类 - CryptoUtils.java登录时对用户进行签名,重定向时验证用户的签名,基于hutool工具
鹏神丶明月天
09-23 638
【代码】密工具类 - CryptoUtils.java登录时对用户进行签名,重定向时验证用户的签名,基于hutool工具。
java实现SSO login登录-签名验签(Authorization算法-HMAC-MD5)功能
junior77的专栏
09-14 1629
前段时间,某项目压测,需要验证SSO login功能接口。发现login请求中为了安全,使用了签名验签算法。 于是从开发那要过来算法API ,用java代码实现。方便根据签名验签,生成批量的url信息(保存到参数化文件中),供login接口直接使用。 authorization API局部内容: authorization = 签名+":"+时间戳 签名= Base64(HMAC-MD5(HTTP Method + HTTP Resource + TimeStamp + DATA, Ac...
java_时间戳与Date_相互转化的实现代码
09-01
本篇文章是对java_时间戳与Date_相互转化的实现代码进行了详细的分析介绍,需要的朋友参考下如下。
串口调试助手.zip_gb2312转16进制_串口 文件_串口 时间戳_串口时间戳_串口调试
07-15
时间戳功能,当数据帧中含有”\r\n”时会自动添当前时间[yyyy-MM-dd hh:mm:ss]. 点击保存窗口可以将接收到的数据存为txt文件,编码格式为GB2312. 点击清除按钮,可以清除窗口显示的内容,并且清除发送和接收字节...
数据处理.rar_MATLAB 数据转换_excel_lidar_matlab时间戳_timestamp
07-14
通过matlab读取从传感器中获取到的数据文件(excel格式),将时间戳转换为标准时间
oe.zip_linux 密_transx Makefile_时间戳
09-22
一个签名的程序,用来实现时间戳签名
node-v8.1.4-linux-x64.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
麦肯锡-xxKPI方案gl.ppt
05-05
麦肯锡-xxKPI方案gl.ppt
基于Transformer模型构建的聊天机器人python源码+运行说明.zip
05-05
一、简介 基于Transformer模型构建的聊天机器人,可实现日常聊天。 二、系统说明 2.1 功能介绍 使用者输入文本后,系统可根据文本做出相应的回答。 2.2 数据介绍 * 百度中文问答 WebQA数据集 * 青云数据集 * 豆瓣数据集 * chatterbot数据集 由于数据集过大,因此不会上传,如有需要可以在issue中提出。 2.3. 模型介绍(v1.0版本) 基于Transformer模型,使用Python中的keras-transformer包。 训练的参数文件没有上传,如有需要可在issue中提出。 三、注意事项 * keras-transformer包需要自行安装:`pip install keras-transformer`。 * 如果需要实际运行,参数文件放在`ModelTrainedParameters`文件下;`ListData`文件下包含了已经处理好的字典等数据,不需要修改,直接运行Main.py即可。 * 如果需要自行训练,将数据集文件放在`DataSet`文件下。 * `HyperParameters.py`文件中包含了系统所需
-大学生心理健康数据集
05-05
-大学生心理健康数据集
java两个时间戳减法_两个时间戳相减得到分钟数()
05-26
可以使用以下代码计算两个时间戳之间的分钟数差: ```java long timestamp1 = System.currentTimeMillis(); // 第一个时间戳 long timestamp2 = System.currentTimeMillis() - 60000; // 第二个时间戳,比第一个时间戳早1分钟 long diff = timestamp1 - timestamp2; // 时间戳差 long diffMinutes = diff / (60 * 1000); // 毫秒转分钟 System.out.println("时间戳差为:" + diffMinutes + " 分钟"); ``` 其中,`timestamp1` 和 `timestamp2` 是两个时间戳,`diff` 是两个时间戳之间的差值(单位为毫秒),`diffMinutes` 是差值转换为分钟后的结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值