jwt 如何防止token被拦截_前后端实现登录token拦截校验

最新推荐文章于 2023-07-05 10:15:33 发布
最新推荐文章于 2023-07-05 10:15:33 发布
阅读量1.7k 收藏
点赞数 1
文章标签: jwt 如何防止token被拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36488760/article/details/112926798
版权
本文档介绍了如何使用JWT(JSON Web Token)在前后端实现登录验证,并防止token被拦截。前端使用Angular框架,后端使用SpringBoot,通过创建AccessToken类、Audience类以及HTTPBasicAuthorizeHandler拦截器,确保在JWT有效期内的请求能够成功,同时通过前端拦截器InterceptorService处理请求和响应。详细阐述了后端生成和验证JWT的过程,以及前端如何在请求中添加和校验token。
摘要由CSDN通过智能技术生成

1、我是名小白web工作者,每天都为自己的将来担心不已。第一次记录日常开发中的过程,如有表达不当,还请一笑而过;

2、本实例开发环境前端采用 angular框架,后端采用 springboot框架;

3、实现的目的如下:

a、前端实现登录操作(无注册功能);

b、后端接收到登录信息,生成有效期限token(后端算法生成的一段秘钥),作为结果返回给前端;

c、前端在此后的每次请求,都会携带token与后端校验;

d、在token有效时间内前端的请求响应都会成功,后端实时的更新token有效时间(暂无实现),如果token失效则返回登录页。

二、后端实现逻辑

注:部分代码参考网上各个大神的资料

整个服务端项目结构如下(登录token拦截只是在此工程下的一部分,文章结尾会贴上工程地址):

1、新增AccessToken 类 model

在model文件下新增AccessToken.java,此model 类保存校验token的信息:

/**

* @param access_token token字段;

* @param token_type token类型字段;

* @param expires_in token 有效期字段;

*/

public class AccessToken {

private String access_token;

private String token_type;

private long expires_in;

public String getAccess_token() {

return access_token;

}

public void setAccess_token(String access_token) {

this.access_token = access_token;

}

public String getToken_type() {

return token_type;

}

public void setToken_type(String token_type) {

this.token_type = token_type;

}

public long getExpires_in() {

return expires_in;

}

public void setExpires_in(long expires_in) {

this.expires_in = expires_in;

}

}

复制代码

2、新增Audience 类 model

@ConfigurationProperties(prefix = "audience")

public class Audience {

private String clientId;

private String base64Secret;

private String name;

private int expiresSecond;

public String getClientId() {

return clientId;

}

public void setClientId(String clientId) {

this.clientId = clientId;

}

public String getBase64Secret() {

return base64Secret;

}

public void setBase64Secret(String base64Secret) {

this.base64Secret = base64Secret;

}

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

public int getExpiresSecond() {

return expiresSecond;

}

public void setExpiresSecond(int expiresSecond) {

this.expiresSecond = expiresSecond;

}

}

复制代码

@ConfigurationProperties(prefix = "audience")获取配置文件的信息(application.properties),如下:

server.port=8888

spring.profiles.active=dev

server.servlet.context-path=/movies

audience.clientId=098f6bcd4621d373cade4e832627b4f6

audience.base64Secret=MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=

audience.name=xxx

audience.expiresSecond=1800

复制代码

配置文件定义了端口号、根路径和audience相关字段的信息,(audience也是根据网上资料命名的),audience的功能主要在第一次登录时,生成有效token,然后将token的信息存入上述AccessToken类model中,方便登录成功后校验前端携带的token信息是否正确。

3、生成以jwt包的CreateTokenUtils 工具类

下面对这个 工具 类的生成、功能进行说明:

a、首先在pom.xml文件中引用依赖(这和前端在package.json安装npm包性质相似)

io.jsonwebtoken

jjwt

0.6.0

复制代码

b、然后再uitls文件夹下新增工具类CreateTokenUtils,代码如下 :

public class CreateTokenUtils {

private static Logger logger = LoggerFactory.getLogger(CreateTokenUtils.class);

/**

*

* @param request

* @return s;

* @throws Exception

*/

public static ReturnModel checkJWT(HttpServletRequest request,String base64Secret)throws Exception{

Boolean b = null;

String auth = request.getHeader("Authorization");

if((auth != null) && (auth.length() > 4)){

String HeadStr = auth.substring(0,3).toLowerCase();

if(HeadStr.compareTo("mso") == 0){

auth = auth.substring(4,auth.length());

logger.info("claims:"+parseJWT(auth,base64Secret));

Claims claims = parseJWT(auth,base64Secret);

b = claims==null?false:true;

}

}

if(b == false){

logger.error("getUserInfoByRequest:"+ auth);

return new ReturnModel(-1,b);

}

return new ReturnModel(0,b);

}

public static Claims parseJWT(String jsonWebToken, String base64Security){

try

{

Claims claims = Jwts.parser()

.setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))

.parseClaimsJws(jsonWebToken).getBody();

return claims;

}

catch(Exception ex)

{

return null;

}

}

public static String createJWT(String name,String audience, String issuer, long TTLMillis, String base64Security)

{

SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

long nowMillis = System.currentTimeMillis();

Date now = new Date(nowMillis);

byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);

Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")

.claim("unique_name", name)

.setIssuer(issuer)

.setAudience(audience)

.signWith(signatureAlgorithm, signingKey);

if (TTLMillis >= 0) {

long expMillis = nowMillis + TTLMillis;

Date exp = new Date(expMillis);

builder.setExpiration(exp).setNotBefore(now);

}

return builder.compact();

}

}

复制代码

此工具类有三个 静态方法:

checkJWT—— 此方法在后端拦截器中使用,检测前端发来的请求是否带有token值

createJWT——此方法在登陆接口中调用,首次登陆生成token值

parseJWT——此方法在checkJWT中调用,解析token值,将jwt类型的token值分解成audience模块

可以在parseJWT方法中打断点,查看Claims 对象,发现其字段存储的值与audience对象值一一对应。

注:Claims对象直接会将token的有效期进行判断是否过期,所以不需要再另写相关时间比对逻辑,前端的带来的时间与后台的配置文件audience的audience.expiresSecond=1800 Claims对象会直接解析

4、拦截器的实现HTTPBasicAuthorizeHandler类的实现

在typesHandlers文件夹中新建HTTPBasicAuthorizeHandler类,代码如下:

@WebFilter(filterName = "basicFilter",urlPatterns = "/*")

public class HTTPBasicAuthorizeHandler implements Filter {

private static Logger logger = LoggerFactory.getLogger(HTTPBasicAuthorizeHandler.class);

private static final Set ALLOWED_PATHS = Collections.unmodifiableSet(new HashSet<>(Arrays.asList("/person/exsit")));

@Autowired

private Audience audience;

@Override

public void init(FilterConfig filterConfig) throws ServletException {

logger.info("filter is init");

}

@Override

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

logger.info("filter is start");

try {

logger.info("audience:"+audience.getBase64Secret());

HttpServletRequest request = (HttpServletRequest) servletRequest;

HttpServletResponse response = (HttpServletResponse) servletResponse;

String path = request.getRequestURI().substring(request.getContextPath().length()).replaceAll("[/]+$", "");

logger.info("url:"+path);

Boolean allowedPath = ALLOWED_PATHS.contains(path);

if(allowedPath){

filterChain.doFilter(servletRequest,servletResponse);

}else {

ReturnModel returnModel = CreateTokenUtils.checkJWT((HttpServletRequest)servletRequest,audience.getBase64Secret());

if(returnModel.getCode() == 0){

filterChain.doFilter(servletRequest,servletResponse);

}else {

// response.setCharacterEncoding("UTF-8");

// response.setContentType("application/json; charset=utf-8");

// response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

// ReturnModel rm = new ReturnModel();

// response.getWriter().print(rm);

}

}

} catch (Exception e) {

e.printStackTrace();

}

}

@Override

public void destroy() {

logger.info("filter is destroy");

}

}

复制代码

此类继承Filter类,所以重写的三个方法init、doFitler、destory,重点拦截的功能在doFitler方法中:

a、前端发来请求都会到这个方法,那么显而易见,第一登陆请求肯定不能拦截,因为它不带有token值,所以剔除登录拦截这种情况:

private static final Set ALLOWED_PATHS = Collections.unmodifiableSet(new HashSet<>(Arrays.asList("/person/exsit")));

复制代码

这里面的我的登录接口路径是“/person/exsit”,所以在将前端请求路径分解:

String path = request.getRequestURI().substring(request.getContextPath().length()).replaceAll("[/]+$", "");

复制代码

两者进行如下比对:

Boolean allowedPath = ALLOWED_PATHS.contains(path);

复制代码

根据allowedPath 的值进行判断是否拦截;

b、拦截的时候调用上述工具类的checkJWT方法,判断token是否有效:

ReturnModel returnModel = CreateTokenUtils.checkJWT((HttpServletRequest)servletRequest,audience.getBase64Secret());

复制代码

ReturnModel 是我定义的返回类型结构,在model文件下;

c、如果token无效,处理代码注释了:

原因前端angular实现的拦截器和后端会冲突,导致前端代码异常,后面会详细说明。

d、配置拦截器有两种方法(这里只介绍一种):

直接在拦截类上添加注释的方法,urlPatterns是你过滤的路径,还需在服务启动的地方配置

注:这里面过滤的路径不包括配置文件的根路径,比如说前端访问接口路径“/movies/people/exist”,这里面的movies是根路径,在配置文件中配置,如果你想拦截这个路径,则urlPatterns=”/people/exist“即可。

5、登录类的实现

在controller文件夹中新建PersonController类,代码如下

/**

* Created by jdj on 2018/4/23.

*/

@RestController

@RequestMapping("/person")

public class PersonController {

private final static Logger logger = LoggerFactory.getLogger(PersonController.class);

@Autowired

private PersonBll personBll;

@Autowired

private Audience audience;

/**

* @content:根据id对应的person

* @param id=1;

* @return returnModel

*/

@RequestMapping(value = "/exsit",method = RequestMethod.POST)

public ReturnModel exsit(

@RequestParam(value = "userName") String userName,

@RequestParam(value = "passWord") String passWord

){

String md5PassWord = Md5Utils.getMD5(passWord);

String id = personBll.getPersonExist(userName,md5PassWord);

if(id == null||id.length()<0){

return new ReturnModel(-1,null);

}else {

Map map = new HashMap<>();

Person person = personBll.getPerson(id);

map.put("person",person);

String accessToken = CreateTokenUtils

.createJWT(userName,audience.getClientId(), audience.getName(),audience.getExpiresSecond() * 1000, audience.getBase64Secret());

AccessToken accessTokenEntity = new AccessToken();

accessTokenEntity.setAccess_token(accessToken);

accessTokenEntity.setExpires_in(audience.getExpiresSecond());

accessTokenEntity.setToken_type("bearer");

map.put("accessToken",accessTokenEntity);

return new ReturnModel(0,map);

}

}

/**

* @content:list

* @param null;

* @return returnModel

*/

@RequestMapping(value = "/list",method = RequestMethod.GET)

public ReturnModel list(){

List list = personBll.selectAll();

if(list.size()==0){

return new ReturnModel(-1,null);

}else {

return new ReturnModel(0,list);

}

}

@RequestMapping(value = "/item",method = RequestMethod.GET)

public ReturnModel getItem(

@RequestParam(value = "id") String id

){

Person person = personBll.getPerson(id);

if(person != null){

return new ReturnModel(0,person);

}else {

return new ReturnModel(-1,"无此用户");

}

}

}

复制代码

前端调用这个类的接口路径:“/movies/people/exist”

首先它会查询数据库

String id = personBll.getPersonExist(userName,md5PassWord);

复制代码

如果查询存在,创建accessToken

String accessToken = CreateTokenUtils

.createJWT(userName,audience.getClientId(), audience.getName(),audience.getExpiresSecond() * 1000, audience.getBase64Secret());

复制代码

最后整合返回到前端model

AccessToken accessTokenEntity = new AccessToken();

accessTokenEntity.setAccess_token(accessToken);

accessTokenEntity.setExpires_in(audience.getExpiresSecond());

accessTokenEntity.setToken_type("bearer");

map.put("accessToken",accessTokenEntity);

return new ReturnModel(0,map);

复制代码

这个controller类中还有两个接口供前端登陆成功后调用。

以上都是服务端的实现逻辑,接下来说明前端的实现逻辑,我本身是前端小码农,后端只是大多是不会的,如有错误,请一笑而过哈~_~哈

三、前端实现逻辑

前端使用angular框架,目录如下

上述app文件下common 存一些共同组建(分页、弹框)、component存一些整体布局框架、 page是各个页面组件,service是请求接口聚集地,shared是表单自定义校验;所以这里面都有相关的angular2+表单校验、http请求、分页、angular动画等各种实现逻辑。

1、前端http请求(确切的说httpClient请求)

所有的请求都在service文件夹service.service.ts文件中,代码如下:

import { Injectable } from '@angular/core';

import { HttpClient,HttpHeaders } from "@angular/common/http";

import { Observable } from 'rxjs/Observable';

import 'rxjs/add/operator/map';

import 'rxjs/add/observable/forkJoin';

@Injectable()

export class ServiceService {

movies:string;

httpOptions:Object;

constructor(public http:HttpClient) {

this.movies = "/movies";

this.httpOptions = {

headers:new HttpHeaders({

'Content-Type':'application/x-www-form-urlencoded;charset=UTF-8',

}),

}

}

/**登录模块开始*/

loginMovies(body){

const url = this.movies+"/person/exsit";

const param = 'userName='+body.userName+"&passWord="+body.password;

return this.http.post(url,param,this.httpOptions);

}

/**登录模块结束*/

//首页;

getPersonItem(param){

const url = this.movies+"/person/item";

return this.http.get(url,{params:param});

}

//个人中心

getPersonList(){

const url = this.movies+"/person/list";

return this.http.get(url);

/**首页模块结束 */

}

复制代码

上述有三个请求与后端personController类中三个接口方法一一对应,这里面的请求方式官网有,这里不做赘述,this.httpOptions是设置请求头。然后再app.modules.ts中添加到provides,所谓的依赖注入,这样就可以在各个页面调用servcie方法了

providers: [ServiceService,httpInterceptorProviders]

复制代码

httpInterceptorProviders 是前端拦截器,前端每次请求结果都会出现成功或者错误,所以在拦截器中统一处理返回结果使代码更简洁。

2、前端拦截器的实现

在app文件在新建InterceptorService.ts文件,代码如下:

import { Injectable } from '@angular/core';

import { HttpEvent,HttpInterceptor,HttpHandler,HttpRequest,HttpResponse} from "@angular/common/http";

import {Observable} from "rxjs/Observable";

import { ErrorObservable } from 'rxjs/observable/ErrorObservable';

import { mergeMap } from 'rxjs/operators';

import {Router} from '@angular/router';

@Injectable()

export class InterceptorService implements HttpInterceptor{

constructor(

private router:Router,

){ }

authorization:string = "";

authReq:any;

intercept(req:HttpRequest,next:HttpHandler):Observable>{

this.authorization = "mso " + localStorage.getItem("accessToken");

if (req.url.indexOf('/person/exsit') === -1) {

this.authReq = req.clone({

url:req.url,

headers:req.headers.set("Authorization",this.authorization)

});

}else{

this.authReq = req.clone({

url:req.url,

});

}

return next.handle(this.authReq).pipe(mergeMap((event:any) => {

if(event instanceof HttpResponse && event.body === null){

return this.handleData(event);

}

return Observable.create(observer => observer.next(event));

}));

}

private handleData(event: HttpResponse): Observable {

// 业务处理:一些通用操作

switch (event.status) {

case 200:

if (event instanceof HttpResponse) {

const body: any = event.body;

if (body === null) {

this.backForLoginOut();

}

}

break;

case 401: // 未登录状态码

this.backForLoginOut();

break;

case 404:

case 500:

break;

default:

return ErrorObservable.create(event);

}

}

private backForLoginOut(){

if(localStorage.getItem("accessToken") !== null || localStorage.getItem("person")!== null){

localStorage.removeItem("accessToken");

localStorage.removeItem("person");

}

if(localStorage.getItem("accessToken") === null && localStorage.getItem("person") === null){

this.router.navigateByUrl('/login');

}

}

}

复制代码

拦截器的实现官网也详细说明了,但是拦截器有几大坑:

a、如果用的是angular2,你请求是采用的是import { Http } from "@angular/http"包http,那么拦截器无效,你可能需要另一种写法了,angular4、5、6都是采用import { HttpClient,HttpHeaders } from "@angular/common/http"包下HttpClient和请求头HttpHeaders ;

b、拦截器返回结果的方法中:

return next.handle(this.authReq).pipe(mergeMap((event:any) => {

if(event instanceof HttpResponse && event.body === null){

return this.handleData(event);

}

return Observable.create(observer => observer.next(event));

}));

复制代码

打断点查看这个方法一次请求会循环两次,第一次event:{type:0},第二次才会返回对象,截图如下: 第一次

第二次

但是如果以我上述后端拦截器token无效的情况处理代码(就是我注释的那段代码,我注释的代码重点的作用是返回401,可以回看),这个逻辑只循环一次,所以我将后端代码返回token无效的代码注释,前端拦截器在后端代码注释的情况下第二次返回的event结果体存在event.body=== null,以这个条件进行token是否有效判断;

c、拦截器使用rxjs,如果你在页面请求中使用rxjs中Observable.forkJoin()方法进行并发请求,那么不好意思,好像无效,如果你有办法解决这两个不冲突,请告诉我哈。

d、这里面也要剔除登陆的拦截,具体看代码。

3、登录效果

以上的逻辑都是实现过程,下面来看下整体的效果:

登陆逻辑中我用的是localStorage存储token值的:

点击登录会先到前端拦截器,然后直接跳到else

接着到后端服务拦截器

过滤登陆接口,直接跳到登陆接口,创建token值并返回

观察返回的map值

最后返回前端界面

上面的返回结果与后端对应,登录成功后,再请求其他页面会携带token值

以上就是关于前后端分离登录校验,还有一步没有完成,就是token更新时间有效期,等抽时间再补充,上述代码后端用idea编辑器,后端服务搭建会涉及到很多配置。

上面实现的代码github地址如下: github.com/yuelinghuny… 麻烦各位给我点个赞,第一次写记录文档,我会坚持写下去,会坚信越来越好,谢谢。

麦三姆
关注
【SpringBoot】46、SpringBoot中整合JWT实现Token验证(拦截器篇)
Asurplus
02-28 21万+
前言 上篇文章我们已经实现了使用自定义注解验证 token 信息,这样我们就会发现,当我们需要验证的接口较多时,我们需要每个方法上面都加上 @JwtToken 这个注解,也是非常麻烦, 本片文章,我们继续使用拦截器来实现 token 信息的验证 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证(整合篇) 如果对自定义注解验证 token 信息感兴趣的朋友,可以看看我的这篇博客:【SpringBoot】四十五、Spr
【SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇)
热门推荐
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 中整合了 JWT实现Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
如何使用 SpringBoot + Redis 优雅的解决接口幂等性问题
十指波课堂的博客
08-27 475
# 前言在实际的开发项目中,一个对外暴露的接口往往会面临很多次请求,我们来解释一下幂等的概念:任意多次执行所产生的影响均与一次执行的影响相同。按照这个含义,最终的含义就是 对数据库的影响只能是一次性的,不能重复处理。如何保证其幂等性,通常有以下手段:数据库建立唯一性索引,可以保证最终插入数据库的只有一条数据token机制,每次接口请求前先获取一个token,然后再下次请求的时候在请求的header...
connect time out 获取token失败_记一次token安全认证的实践
weixin_39543835的博客
11-25 514
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!本文作者:[Java知音] 瑾似流年推荐阅读1.Java 性能优化:教你提高代码运行的效率2.基于token的多平台身份认证架构设计3.select count(*)底层究竟做了什么?4.Springboot启动原理解析阅读此文前请先阅读上一篇SpringBoot整合JWT实现用户认证了解JWT。背景介绍:因项目需...
参数幂等性校验失败_幂等性如何实现,带你了解一波!!!
weixin_39614877的博客
12-22 456
导读文章转载自现在这个时代大家可能最关心的就是钱了,那么有没有想过你银行转账给你没有一次是转多的,要么失败,要么成功,为什么不能失误一下多转一笔呢?醒醒吧年轻人,别做梦了,做银行的能那么傻x吗?今天我们就来谈一谈为什么银行转账不能多给我转一笔?关乎到钱的问题,小伙伴们打起精神!!!要想要理解上述的疑惑,不得不提的一个概念就是幂等性,至于什么是幂等性,如何通过代码实现幂等性,下面将会详细讲述。什么是...
如何避免token截获后的重放攻击(Java)
咘噜biu的博客
10-29 3025
token 加密,解密工具: package com.cloudstore.spider.store.feign; import lombok.AllArgsConstructor; import lombok.Data; import java.util.Base64; /** * @author visy.wang * @desc Token加密、解密工具 * @date 2020/10/29 15:26 */ public class TokenUtil { /** * 密码和.
struts2TestCase测试Controller测试被token拦截解决方法
xizhenyin的专栏
06-30 161
  request.setMethod("POST");   String token = String.valueOf(System.currentTimeMillis());   request.setParameter(TokenHelper.TOKEN_NAME_FIELD, "test.token");   request.setParameter("test.token", t...
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
最新发布
12-25
在本项目中,我们将探讨如何利用Spring Boot、JWT(JSON Web Token)、Spring Security和Redis来实现一个高效的登录拦截和权限认证系统,同时实现全局异常处理和统一的API返回风格。 1. **Spring Boot**:Spring ...
jwttoken解码_前后端分离之JWT(JSON Web Token)的使用
weixin_30380991的博客
12-24 625
前言由于自己开发的项目中用到了 JWT 技术,前端采用了 Vue.js 框架,后端采用了 CodeIgniter 框架,故作此文帮助使用相同技术栈的朋友们。具体思路如下:把后端生成的 JWT token 存入 localStorage,然后前端切换路由(刷新页面)的时候,通过 Ajax 请求的时候带上这个 token,提交给后端判断当前的 token 是否有效,后端返回结果。JWT 用处很多,可以...
java token拦截器_Java基于JWTtoken认证
weixin_39881167的博客
03-02 1053
一、背景引入由于Http协议本身是无状态的,那么服务器是怎么识别两次请求是不是来自同一个客户端呢,传统用户识别是基于seesion和cookie实现的。大致流程如下:用户向服务器发送用户名和密码请求用户进行校验校验通过后创建session绘画,并将用户相关信息保存到session中服务器将sessionId回写到用户浏览器cookie中用户以后的请求,都会鞋带cookie发送到服务器服务器得到c...
06 主页的token拦截处理
qq_38210427的博客
03-09 997
vue
jwt如何防止token被窃取_Token令牌不是后端万能解药!8个漏洞,有1个你就得爬起来加班了...
weixin_39849054的博客
12-03 1万+
“日防夜防,家贼难防。”“打铁还需自身硬!”养成铁的纪律,有助于铸造坚固的城池。本文从八个方面全面排查你的令牌系统。1 - ​注意OAuth凭据的泄漏你把应用程序代码推到GitHub了?OAuth应用程序凭据是否也存储在仓库里,特别是客户端密码?这可是当今头号凭据泄漏来源。如果那些凭证被窃取了,任何人都可以冒充你。如果你察觉凭据可能已被破坏,请立即重新生成。2 - 不要在应用程序中硬编码令牌为了长...
如何保证token的安全
z_ssyy的博客
04-27 1253
客户端第一次访问时,将签名sign存放到缓存服务器中,超时时间设定为跟时间戳的超时时间一致,二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次。将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。如果有人劫持了请求,并对请求中的参数进行了修改,签名就无法通过;
扩展篇:Spring Security在前后端分离下的JSON交互方案
小奇学编程的博客
10-18 562
通过前几篇的文章, Spring Security的认证系列基本介绍完毕,前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开,因此接下来的两篇文章会补充讲解一些额外的知识。 本篇文章主要扩展讲解在前后端分离的架构下,Spring Security该如何处理 JSON 类型的数据交互。 随着技术的发展,分工越来越明细;“让专业的人干专业的事” 是发展的主旋律。回到我们的登录认证上,即无论登录成功还是失败,服务端都返回一段 JSON 给前端,该跳转还是该展示就由前端自己决定;前端的事就让前端.
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 6705
防止token伪造、篡改、窃取的解决方案
如何防止token泄露?
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
jwt 如何防止token拦截_JWT认证中如何防止他人冒充token
weixin_29185493的博客
12-24 4656
JWT 是明文签名方案,也就是你在 JWT 中存储的所有东西都是明文(base64 编码)的,加上 secret 使用 HMAC 算法获取摘要签名,通过签名来检查这个 JWT 是否被篡改。所以 JWT 通常是一次签发,永久有效的。为了避免这个问题,通常会在 JWT 的数据中放入一个过期时间,虽说是明文放进去的,但是受签名限制,无法篡改。这样,服务端在检查 JWT 是否被篡改的同时检查过期时间,使得...
python下JWT实现Token认证
zhang_zekun的博客
11-16 2179
为什么使用JWT? 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。 JWT架构图 这里需要进行提醒...
retrofit+okhttp+coroutines拦截Token失效(四种解决token失效的方案 )
蓝不蓝编程
07-02 4102
背景 Token是当前用于客户端到服务端做身份验证的一种较为常见的机制. 客户端先通过用户名、密码登陆服务器,获取token,后续每次请求都带上token.当token在有效期内,服务器都校验通过,失效后,则返回鉴权失败,客户端需要重新登陆获取token. 如果过一段时间就需要用户登陆一次,这显然非常不友好.那怎么办呢? 解决方案 方案一、token设置为永远有效. 这显然是下下招,一旦toke...
前端如何与springboot拦截器进行jwttoken校验前后端代码实现
06-07
localStorage.setItem('jwtToken', response.data.token); ``` 2. 在每次请求后端接口时,将JWT Token携带在请求头中: ```javascript axios.defaults.headers.common['Authorization'] = 'Bearer ' + ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值