java 令牌作用_使用令牌(Java)保护REST Web服务

最新推荐文章于 2023-09-24 10:04:50 发布
最新推荐文章于 2023-09-24 10:04:50 发布
阅读量320 收藏
点赞数
文章标签: java 令牌作用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39613291/article/details/114950195
版权

背景:

>我需要使用令牌为REST Web服务实现安全性

> Web服务旨在与Java客户端一起使用.因此,形式

凭据的身份验证和弹出窗口无用.

>我是REST安全和加密的新手

这是我迄今所理解的:

第一次请求:

>用户建立https连接(或容器确保使用https

301)

>用户POST用户名和密码登录服务

>如果凭证有效,我们:

>生成随机临时令牌

>将随机令牌存储在服务器上,将其映射到实际用户名

>使用仅为服务器所知的对称密钥加密令牌

>哈希加密的令牌

>将加密的令牌和哈希发送到客户端

对于后续请求:

>客户端发送此加密令牌和散列组合(使用

用户名字段基本?)

>我们确保加密的令牌不会被哈希篡改

然后解密它

>我们在会话跟踪表中检查解密的令牌

未过期的条目并获得实际的用户名(到期管理

按代码?)

>如果找到用户名,则根据允许的角色,允许的操作

配置

更多细节:

>由于客户端是java客户端,因此第一个请求可以是POST

包含凭据.但是,这看起来可能会暴露出来

https建立之前的凭据.因此应该

对安全资源有一个虚拟GET,以便https

先建立?

>假设上面是必需的,第二个请求是LoginAction POST

凭证.此请求是手动处理的(不使用

容器的授权).这是正确的吗?

>上面的LoginAction返回用户加密的组合

令牌哈希

>用户将其设置为BASIC身份验证使用的标头

机制(字段用户名)

>我们实现了一个JAASRealm来解密和验证令牌,并找到

允许的角色

>剩余的授权过程由容器处理

使用web.xml中定义的WebResourceCollection

这是正确的方法吗?

解决方法:

为什么不将它简化为以下内容?

第一次请求:

>用户建立与服务器的HTTPS连接(服务不会监听任何服务器

其他端口)和POST凭据登录服务.

>服务器回复HSTS header以确保所有进一步的通信

是HTTPS.

>如果凭证有效,我们:

>生成一个使用CSPRNG安全生成的随机临时令牌.使其足够长以保证安全(128位).

>将随机令牌存储在服务器上,将其映射到实际用户名.

>将随机令牌发送到客户端

对于后续请求:

>客户端通过HTTPS在自定义HTTP标头中发送令牌.

>令牌位于数据库中并映射到用户名.如果找到基于允许的角色和允许的操作的访问权限.

>如果未找到,则认为用户未经身份验证,并且必须再次使用登录服务进行身份验证才能获取新令牌.

在服务器端,令牌将以失效日期存储.在每次访问服务时,将更新此日期以创建滑动到期日期.每隔几分钟就会有一个作业删除已过期的令牌,并且检查令牌以查找有效会话的查询只会检查那些未被认为已过期的查询(如果预定的作业因任何原因失败,则会阻止永久会话).

没有必要对数据库中的令牌进行散列和加密 – 除了security through obscurity之外,它没有增加任何实际价值.你可以尽管哈希.这可以防止设法进入会话数据表的攻击者劫持现有用户会话.

标签:java,rest,security,encryption,web-services

来源: https://codeday.me/bug/20190825/1714859.html

weixin_39613291
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot-jwt-security:Spring Boot示例应用程序,使用JWT(Json Web令牌)安全性身份验证来保护Rest Web Services
05-18
springboot-jwt-security Spring Boot示例应用程序,使用JWT(Json Web令牌)安全性身份验证来保护Rest Web Services 登录(获取令牌) 访问Echo API 访问用户API 越权存取
java中的令牌机制,关于安全令牌和安全机制 (Sun Java System Application Server Enterprise Edition 8.2 管理指南)...
weixin_32257101的博客
03-21 167
关于安全令牌和安全机制WS-Security 规范为使用安全令牌来验证和加密 SOAP Web 服务消息提供了可扩展机制。可以使用与 Application Server 一起安装的 SOAP 层消息安全性提供者来利用用户名/密码和 X.509 证书安全性令牌来对 SOAP Web 服务消息进行验证和加密。利用其他安全令牌(包括 SAML 断言)的其他提供者将与 Application Serve...
java 令牌解析_SpringSecurity 原理解析【4】:令牌还原与Session
weixin_39930748的博客
03-07 198
SpringSecurity 原理解析【4】:令牌还原与SessionSession:一般称为会话,不同环境中含义不同,在Spring Security中一个会话指:客户端从令牌认证请求到登出注销请求之间的过程。Web应用基本都是基于HTTP协议,而该协议是一个无状态协议,两个HTTP请求相互独立,无法识别对方,在Web应用特别是Spring Security等安全框架中,同一个客户端发出的多个请...
SpringSecurity(五)JWT令牌
qq_40369277的博客
09-24 115
服务器会验证令牌的有效性和权限,以确定用户的身份。而使用Token,身份认证信息已经包含在Token中,只需要在请求的Authorization头部携带Token即可,减少了每次请求的数据量,减少了网络延迟。而使用Token,服务端无需存储任何会话信息,所有的认证信息都包含在Token中,使得服务端变得无状态,减轻了服务器的负担,同时也方便了服务的水平扩展。因此,JWT令牌实际上是一种经过加密的JSON数据,其中包含了用户名字、用户ID等信息,我们可以直接解密JWT令牌得到用户的信息。
SpringSecurity之令牌配置
single_cong的博客
02-08 2200
基于Oauth2发放token,在请求头中携带token作为用户身份鉴定 Token参数配置 定义可发放令牌的应用信息 package com.cong.security.core.properties; import lombok.Data; @Data public class OAuth2ClientProperties { //应用id private String clientI...
java 令牌作用_令牌java
weixin_28956181的博客
03-07 418
AsrCustomShortResponse数据结构 参数名 是否必选 参数类型 说明 trace_id 是 String 服务内部的令牌,可用于在日志中追溯具体流程,调用失败无此字段。 在某些错误情况下可能没有此令牌字符串。 result 是 Object 调用成功表示识别结果,调用失败时无此字段。请参考表 result描述 conferenceID 是 String query 会议ID。 X...
erc20-rest-service:使用Spring Boot和web3j的ERC-20令牌标准RESTful服务
01-29
使用Java 1.8+: java -jar build/libs/azure-demo-0.1.jar 默认情况下,该应用程序将登录到名为erc20-web3j.log的文件。 组态 应用程序中使用以下默认属性: # Port for service to bind to port =8080 # Log ...
SMSService:一个Java Web服务,可通过短信确认用户注册。 使用Jetty Web服务器和Twillio API
04-16
设置一个Twilio试用帐户,并使用帐户Sid,身份验证令牌和发件人编号填充TextMessageConstants.java文件(如果没有该服务,服务将无法正常工作!也请不要公开您的令牌。如果您这样做,则可以创建一个辅助帐户Twilio...
springboot-jwt:使用JSON Web令牌(JWT)保护REST API的示例Springboot应用程序。 有关与Angular(版本2+)集成的示例,请访问https
05-26
使用JSON Web令牌(JWT)保护REST API的示例Spring Boot应用程序 此应用程序可用作启动具有完整功能的安全模块的Spring Boot REST API项目的种子。 主要组成部分 Spring Boot 1.5.3.RELEASE转到了解有关Spring Boot...
毕业设计&课设-演示了一个使用JSON Web令牌(JWT)和Spring Security的完全无状态和基于REST.zip
最新发布
02-19
毕业设计、课程设计源码文件,已经过测试可以直接使用。毕业设计、课程设计源码文件,已经过测试可以直接使用。毕业设计、课程设计源码文件,已经过测试可以直接使用。毕业设计、课程设计源码文件,已经过测试可以...
怎么设置 HSTS 头字段
蔚可云的博客
02-10 2330
HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。 HSTS响应头格式 Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload] max-age,单位是秒,用来告诉浏览器在指定时间内,
Java实现登录token令牌
我是老伯的博客
03-19 1万+
用户信息登录使用token令牌,使得用户有单独得信息
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交
致虚极POLE守静笃
02-27 1万+
JAVA后端生成Token(令牌),用于校验客户端,防止重复提交1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于网络相应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。2.解决方法:①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。②后端处理:对于每次提交到后台的数...
Java中用于Web API身份验证的令牌管理实现
专业的开发者“讨论”
04-23 359
本文研究了Java中同步过程的实现,该过程使多个线程可&#2...
Token令牌入门学习一
热门推荐
从放弃到开始
06-01 1万+
在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思. 如果觉得文章不错,对你有帮助,请作者喝杯咖啡,谢谢!如果对您有帮助 ,请多多支持.多少都是您的心意与支持,一分也是爱,再次感谢!!!打开支付宝首页搜“556723462”领红包,领到大红包的小伙伴赶紧使用哦!感谢大家的支持!您的支持,我会继续分享更多的文章,欢迎关注! (信息安全术语) Token, 令牌,代表执...
java 令牌机制
weixin_34355559的博客
08-04 806
1.Token.Java [java]view plaincopy packagecom.homelink.sales.module.newowner.util; importjava.util.HashMap; importjava.util.UUID; importjavax.servlet.http.HttpS...
Java应用程序的令牌认证
最佳 Java 编程
06-03 235
建筑物身份管理,包括身份验证和授权? 尝试Stormpath! 我们的REST API和强大的Java SDK支持可以消除您的安全风险,并且可以在几分钟内实现。 注册 ,再也不会建立auth了! 2016年5月12日更新:构建Java应用程序? JJWT是一个Java库,由我们自己的Les Hazlewood开发,提供端到端JWT的创建和验证。 JJWT永久免费且开源(Apache许可证...
JAVA——token理解
书之岁华
09-30 1万+
Token(令牌)机制 防止因为后退或者刷新来重复提交表单内容的Token机制 Token,就是Token(令牌)机制,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 实现原理:一致性。 jsp生成表单时,在表单中插入一个隐藏字段,该字段就是保存在页面端的token字符串,同时把该字符串存入session中。等到用户提交表单时,会一并提交该隐藏的token字符串。在服务器端,查看下是...
java 令牌作用_SyntaxError:意外的令牌功能
weixin_36356002的博客
03-02 276
通过Node运行聊天应用程序,并在运行server.js时出现以下错误:function serveStatic(response,cache,absPath)^^^^^^^^ SyntaxError:Object.exports上的意外令牌函数 . 在Module.load(module.js)的Object.Module._extensions..js(module.js:580:10)的Mo...
使用java实现令牌桶算法
04-01
下面是使用Java实现令牌桶算法的示例代码: ```java import java.util.concurrent.Executors; import java.util.concurrent.ScheduledExecutorService; import java.util.concurrent.TimeUnit; public class Token...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值