前后端分离项目token怎么验证_Aspnet Mvc 前后端分离项目手记(二)关于token认证...

最新推荐文章于 2023-06-26 08:00:00 发布
最新推荐文章于 2023-06-26 08:00:00 发布
阅读量384 收藏
点赞数
文章标签: 前后端分离项目token怎么验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39972996/article/details/111529068
版权

在前后端分离的项目中,首先我们要解决的问题就是身份认证

以往的时候,我们使用cookie+session,或者只用cookie来保持会话。

一,先来复习一下cookie和session

首先我们来复习一下在aspnet中cookie和session的关系,做一个简单试验

这是一个普通的view没有任何处理

可以看到,没有任何东西(cookie),然后当我们写入一个session之后

\

会发现多了一个名为ASP.NET_SessionId的cookie。我们都知道在aspnet中,session是保存在服务器端的内存中的,而http协议是无状态的,那么他是怎么确定不同请求的session

没错,session是借助cookie来实现的:cookie中保存着 session的key,当我们清除掉浏览器缓存时,会发现session也找不到了,就是这个原因。

使用session来保持会话有几个很严重的缺点:1 session容易丢失;2无法支持分布式;3,cookie 对跨域的支持不好

所以就用到了我们今天说的token

二,token

1,token的产生

一般是用户登录成功,服务器端产生一个token并返给前端,前端将token保存在cookie或者localStorage里面,然后每次请求时都带上这个token,一般都带在请求头里面

2,token的内容

一般的token里面必须有的是:1,会话用户的标识:比如userid。2,token的过期时间,如果想更完整一点,可以加上token的颁发者,签名等等

3,token的生成算法,一般是由服务器端将token的主要内容,过期时间等等做非对称加密,然后进行签名算法(防止客户端更改),具体看后面jwt

4,token校验

当服务器端收到请求时,首先会校验token,校验有两种不同的方式

一, token产生后保存在服务器端(redis或者其他比较速度快的缓存中) 。优点:可控性强,可以用这个来做单点登录,比如另一个地方登录,就remove掉之前的token。缺点:实现麻烦一点,而且要占服务器压力

二,token产生后服务器端不保存,只负责校验。 优点:大大降低了服务器的压力,实现起来,也要相对简单一点。缺点:token一旦颁发,服务器端就不可控了,只能等它过期。

具体用哪种看具体的需求。如果不是做可控性要求很强,个人建议第二种。

5 jwt

jwt 全名Json Web Tokens,算是一种token的规范吧

园子里面有很不不错的介绍 ,比如这篇:阮一峰 jwt介绍   http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

组成有三部分

Header(头部,一般包含了token的签名方式)

Payload(负载,也就是具体的有效部分)

Signature(签名,将前两部分进行签名算法,防止客户端篡改)

实现方式,将header部分和payload部分分别进行base64算法,然后用点号“.”隔开拼接,然后进行签名算法,然后在将三部分拼接(点号隔开)就得到了jwt

注意 ,jwt默认是采用base64编码的,也就是说 客户端也能解码得出具体内容的,所以除非特殊情况,重要敏感字段一定不能放在token中

以下是具体实现

using System;

using System.Collections.Generic;

using System.Linq;

using System.Security.Cryptography;

using System.Text;

using System.Web;

namespace Rk.JWT

{

public class Jwt

{

//参考自 阮一峰 jwt介绍 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

public static string SALT = "OXpcRP8jmCfMKumY";

///

///

///

/// 额外的信息

///

public static string Create(Dictionary ExraPayload)

{

var Header = new Dictionary();

Header.Add("tp", "MD5");

var Payload = new Dictionary();

//JWT 规定了7个官方字段,供选用。

Payload.Add("iss", "signBy"); //颁发人

Payload.Add("jti", Guid.NewGuid().ToString()); //jwt的id

Payload.Add("exp",System.DateTime.Now.AddMinutes(20));//过期时间

Payload.Add("nbf", System.DateTime.Now);//生效时间

Payload.Add("iat", System.DateTime.Now);//签发时间

Payload.Add("sub", "subject");//主题

Payload.Add("aud", "audience");//受众

foreach (var item in ExraPayload)

{

if (Payload.ContainsKey(item.Key))

{

throw new Exception($"{item.Key}键值已被占用 不能使用 ");

}

else

{

Payload.Add(item.Key, item.Value);

}

}

string base64Header = Base64Url(Newtonsoft.Json.JsonConvert.SerializeObject(Header));

string base64Payload = Base64Url(Newtonsoft.Json.JsonConvert.SerializeObject(Payload));

string tmp = base64Header + "." + base64Payload;

string sign = Md5(tmp+ SALT);//加盐,重要

return base64Header+"."+ base64Payload+"."+ sign;

}

//校验是否合法,是否过期

public static bool Check(string token)

{

string base64Header = token.Split('.')[0];

string base64Payload = token.Split('.')[1];

string sign = token.Split('.')[2];

string tmp = base64Header + "." + base64Payload;

var signCheck = Md5(base64Header + "." + base64Payload + SALT);

if(signCheck!= sign)

{

return false;

}

var dic = Newtonsoft.Json.JsonConvert.DeserializeObject>(Base64UrlDecode(base64Payload));

if( Convert.ToDateTime(dic["exp"])

{

//过期了

return false;

}

return true;

}

//校验是否合法,是否过期

public static Dictionary GetPayLoad(string token)

{

string base64Payload = token.Split('.')[1];

var dic = Newtonsoft.Json.JsonConvert.DeserializeObject>(Base64UrlDecode(base64Payload));

return dic;

}

public static string Base64Url(string input)

{

//JWT 作为一个令牌(token),有些场合可能会放到 URL(比如 api.example.com/?token=xxx)。

//Base64 有三个字符+、/和=,在 URL 里面有特殊含义,所以要被替换掉:=被省略、+替换成-,/替换成_ 。

string output = "";

byte[] bytes = Encoding.UTF8.GetBytes(input);

try

{

output = Convert.ToBase64String(bytes).Replace('+', '-').Replace('/', '_').TrimEnd('=') ;

}

catch (Exception e)

{

throw e;

}

return output;

}

public static string Base64UrlDecode(string input)

{

string output = "";

input = input.Replace('-', '+').Replace('_', '/');

switch (input.Length % 4)

{

case 2:

input += "==";

break;

case 3:

input += "=";

break;

}

byte[] bytes = Convert.FromBase64String(input);

try

{

output = Encoding.UTF8.GetString(bytes);

}

catch

{

output = input;

}

return output;

}

public static string Md5(string input,int bit=16)

{

MD5CryptoServiceProvider md5Hasher = new MD5CryptoServiceProvider();

byte[] hashedDataBytes;

hashedDataBytes = md5Hasher.ComputeHash(Encoding.GetEncoding("gb2312").GetBytes(input));

StringBuilder tmp = new StringBuilder();

foreach (byte i in hashedDataBytes)

{

tmp.Append(i.ToString("x2"));

}

if (bit == 16)

return tmp.ToString().Substring(8, 16);

else

if (bit == 32) return tmp.ToString();//默认情况

else return string.Empty;

}

}

}

使用方式

public class HomeController : BaseController

{

public ActionResult Login(string username, string pwd)

{

/// 1, todo 验证用户名密码正确

//2,//在token中加入用户id,创建token

var dic = new Dictionary();

dic.Add("userid", "20125521225858");

string token = JWT.Jwt.Create(dic);

//验证token是否正确是否过期

var isChecked = JWT.Jwt.Check(token);

return Content("");

}

}

下一篇我们将会聊一聊 rest 风格url在前后端分离项目中的使用

weixin_39972996
关注
基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --开篇
天罡gg的专栏
03-07 1万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
java前后端分离使用token_前后端分离以及token的使用
weixin_31971727的博客
02-27 2463
前后端分离以及token的使用为什么使用前后端分离:首先说一下jsp的工作原理:jsp实际上也是是一个继承自Servlet接口的java类,实际上它就是一个Servlet,JSP的页面渲染是在后端完成的,经过tomcat的处理后,把jsp转为html后,再统一发送给前端(浏览器)显示出来image那现在手机移动端app这么普及,那我怎么写一份后端代码,即又可以显示在手机app上面,又可以在pc端跑...
asp.net mvc web api Token验证
08-07 689
一、基于Owin的 OAuth 在nuget中安装以下工具包 Install-Package Microsoft.AspNet.WebApi.Owin -Version 5.1.2 Install-Package Microsoft.Owin.Host.SystemWeb -Version 2.1.0 Install-Package Microsoft.AspNet.Iden...
前后端分离项目token怎么验证_微信端前后端分离开发中token验证和数据的获取...
weixin_39737951的博客
02-05 402
微信端前后分离开发中,授权认证,获取token和openid是必不可少的一步。我们的思路是,每次调用接口前,判断cookie里面是否有token和openid,没有的话判断url参数中是否存在,没有的话跳转到授权认证页面。授权认证之后,会将token和openid放在url上返回回来,然后添加到cookie,这样就形成了一个闭环。代码如下export function Cklogin () {le...
token 简单说明(asp.net mvc
罗汉松驻扎的工作基地
09-06 1061
token我喜欢翻译为 防伪标记或 登录凭证。【网上大多译为令牌】 作用大体是: 当用户在登录界面输入账号密码之后,服务器验证密码通过之后产生一个凭证返回给客户端, 客户端后续的每一个请求中都携带这个token , 这样的话服务器就不需要多次验证账号密码。 工作过程大概如下: 1,登录页面用户输入账号密码 2,服务器校验账号密码, 如果校验成功,则返回正常结果,并在客户端的cookie里面加入token的字符串【该字符串一般是一串加密了的字符或guid】 ; 如果检验账号密码不正确则回...
MVC 统一验证Token demo
tisyact的博客
11-25 502
/// <summary> /// 获取token /// </summary> /// <param name="staffId"></param> /// <returns></returns> public JsonResult GetToken(string staffId) { ResultMsg resu.
ASP.NET WebApi 实现Token验证
cxu123321的博客
05-29 2060
ASP.NET WebApi 实现Token验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗? 下面我们花个20分钟的时间来实现一个简单的WEB API token认...
SpringBoot、Vue.js技术栈,内含token验证,Maven等,前后端分离项目
最新发布
08-21
SpringBoot、Vue.js技术栈,内含token验证,Maven等,前后端分离项目
解决django前后端分离csrf验证的问题
09-19
前后端分离的Web开发模式下,Django的CSRF(Cross Site Request Forgery,跨站请求伪造)保护机制可能会引发问题,因为它主要是为传统的基于表单的提交设计的。然而,现代应用往往使用Ajax进行异步通信,这就需要...
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
asp.net MVC 3 SSO 单点登录
03-22
asp.net MVC 3 单点登录,发布到IIS上直接运行就可以了.
webapi token验证例子
06-05
webapi token验证例子
MVC(SSO)单点登录
06-23
MVC(SSO)单点登录
asp.net简单实现单点登录(SSO)的方法
01-02
本文实例讲述了asp.net简单实现单点登录(SSO)的方法。分享给大家供大家参考,具体如下: 单点登录(Single Sign On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统 CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架(耶鲁大学开发)主要用于Java Php 有兴趣大家可以研究下.. 下面是一个简单实现单点登录的方法: public void SingleUserLogin(string userName){
基于ASP.NET Core数据保护生成验证token示例
10-20
本篇文章主要介绍了基于ASP.NET Core数据保护生成验证token,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ASP.NET WebApi TOKEN+签名认证
weixin_46879188的博客
04-30 3346
一、 在开放的api接口中,我们通过http Post或者Get请求服务器的时候,会面临着许多的安全性问题,例如: ①请求来源(身份)是否合法? ②请求参数被篡改? ③请求的唯一性(不可复制),防止请求被恶意攻击 为了保证数据在通信时的安全性,我们可以采用TOKEN+参数签名的方式来进行相关验证、使用TOKEN+签名认证 保证请求安全性 token+签名认证的主要原理是: 1.用户第一次访问,输入账号密码,获取认证Token信息,用户Token缓存在服务器(该请求不需要进行签名认证) 2.在后面
ASP.NET Core Web API之Token验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6531
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
.net mvc登录使用token验证以及过滤器的使用
DK18397606232的博客
12-24 3722
一:学习Token的原理: 1.当用户登录成功,后端给出token存入cookies(可设置过期时间)。 2.用户每次访问这个网站的不同页面或者请求数据的时候,都需要带上这个token进行验证token存储在数据库中) token一般由用户名+密码+时间戳组成并且通过加密方式加密(MD5,RSA,DES......) token也可以根据账户名密码生成guid+时间戳...
ASP.NET MVC 在WebService中Token的使用方法
weixin_30599769的博客
10-31 517
最近发现公司接口的验密方式很简单,就是简单的用户名密码校验。客户方面的负责人说要修改一下,所以想起了微信的验证密码的方式故写了这个Demo以供大家学习参考; 接口:WebService 方式:Token动态加密签名; 名词解释:Token就是服务端和客户端约定好的一个固定的密码字符串。微信接口上这么写的我就直接般过来了,结果有朋友不理解。 WebService...
VueJS实现前后端分离:登录与Token处理
"这篇教程详细介绍了如何在前后端分离的架构中使用VueJS进行前端开发,特别是关于登录功能和Token的处理。实验环境基于Vue 2.2.1,使用了Webpack作为构建工具,并依赖了vue-router和vue-resource等插件。" 在前后端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值