Token和sign

最新推荐文章于 2023-10-25 09:28:21 发布
最新推荐文章于 2023-10-25 09:28:21 发布
阅读量396 收藏 1
点赞数 3
分类专栏: laravel 文章标签: token 安全

前言
在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后端服务器在用户登录后如何去验证和维护用户的登陆有效性呢,以下是参考项目中设计的解决方案,其原理和大多数开放接口安全验证一样,如淘宝的开放接口token验证,微信开发平台token验证都是同理。

签名设计
对于敏感的api接口,需使用https协议
https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。

       https协议需要ca证书,一般需要交费。



 签名的设计
       原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,如果令牌正取,则返回数据。对于获取Token信息后,访问用户相关接口,客户端请求的url需要带上如下参数:

     时间戳:timestamp

     Token令牌:token

     然后将所有用户请求的参数按照字母排序(包括timestamp,token),然后更具MD5加密(可以加点盐),全部大写,生成sign签名,这就是所说的url签名算法。然后登陆后每次调用用户信息时,带上sign,timestamp,token参数。

例如:原请求https://www.andy.cn/api/user/update/info.shtml?city=北京 (post和get都一样,对所有参数排序加密)

加上时间戳和token

   https://www.andy.cn/api/user/update/info.shtml?city=北京&timestamp=12445323134&token=wefkfjdskfjewfjkjfdfnc

  然后更具url参数生成sign

  最终的请求如

     https://www.andy.cn/api/user/update/info.shtml?city=北京&timestamp=12445323134&token=wefkfjdskfjewfjkjfdfnc&sign=FDK2434JKJFD334FDF2

其最终的原理是减小明文的暴露次数;保证数据安全的访问。

具体实现如下:

       1. api请求客户端想服务器端一次发送用用户认证信息(用户名和密码),服务器端请求到改请求后,验证用户信息是否正确。

    如果正确:则返回一个唯一不重复的字符串(一般为UUID),然后在Redis(任意缓存服务器)中维护Token----Uid的用户信息关系,以便其他api对token的校验。

    如果错误:则返回错误码。

      

        2.服务器设计一个url请求拦截规则

           (1)判断是否包含timestamp,token,sign参数,如果不含有返回错误码。

           (2)判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间(时间自定义如半个小时),如果超过则说明该                         url已经过期(如果url被盗,他改变了时间戳,但是会导致sign签名不相等)。

           (3)判断token是否有效,根据请求过来的token,查询redis缓存中的uid,如果获取不到这说明该token已过期。

           (4)根据用户请求的url参数,服务器端按照同样的规则生成sign签名,对比签名看是否相等,相等则放行。(自然url签名                       也无法100%保证其安全,也可以通过公钥AES对数据和url加密,但这样如果无法确保公钥丢失,所以签名只是很大程                       度上保证安全)。

            (5)此url拦截只需对获取身份认证的url放行(如登陆url),剩余所有的url都需拦截。



        3.Token和Uid关系维护

           对于用户登录我们需要创建token--uid的关系,用户退出时需要需删除token--uid的关系。
鸟飞惊了看花人
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
API接口设计之token、timestamp、sign
06-24
`token`、`timestamp`和`sign`这三者是常见的安全机制,用于确保数据的完整性和防止中间人攻击。下面将详细阐述它们的作用和实现方式。 `Token`,通常指访问令牌,是一种身份验证机制。在API交互中,客户端(如移动...
App开放接口api安全性—Token签名sign的设计与实现
热门推荐
Andyの笔记
09-27 8万+
前言        在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放
tokensign 的理解
shenjing_Shining的博客
10-15 2375
token:令牌,用于验证用户身份和登录状态的标识。 实现方式:用户在登录时,将用户名和密码返回给服务器,登录成功的情况下,服务器会根据用户信息或其他方式生成一个token ,将 token 和用户 id 以及时间戳存入 token 表,并将这个 token 返回给客户端。 之后用户就可以携带这个 token 进行业务访问,接口在请求时,生成一个时间戳,服务器在收到请求后,先对比该时间戳与 token 表中存的该 token 的时间戳,验证 token 是否过期,如果过期,直接让用户重新登录,并删除该过
tokensign理解
qwangcong的博客
06-01 3907
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
token(令牌)和sign(签名)理解
qq_28846707的博客
11-05 6272
token(令牌)和sign(签名)理解Token:令牌Sign:签名推荐库简介:教程 Token:令牌 用来判断用户身份的一个标识; 用户在登录的时候登录,成功的情况下生成一个token(可以是将用户信息加密,也可以是别的方式),将token返还给客户端,同时将token和用户id和时间戳存入,token表。 用户可以根据token向接口发送请求,接口在接受请求的时候,生成时间戳,验证该tokentoken表中是否过期,若过期则让用户重新登录,删除该token,并见新的token和新的时间戳和用户id再
api接口安全验证(sign签名和token验证)
yifan_lion的博客
03-30 1万+
api接口安全类型 api接口安全类型一般有以下几种类型(不完全): 防止参数篡改,使用url签名方式 防止未授权用户访问,使用用户token验证 防止未授权应用访问或者爬虫,使用appid,appsecret来保证请求授权访问 防止dos攻击浪费资源,使用时间戳timestamp 防止信息泄露,使用https安全访问 防止重放 ...
Redis+接口+token+Sign+时间戳 Demo
03-24
总结起来,"Redis+接口+token+Sign+时间戳 Demo"展示了如何利用Redis来提升接口安全性和性能,通过token验证用户,Sign保证数据完整,时间戳防止重放攻击,并且可能包含了一个用于生成和验证验证码的服务。...
py代码-获取token,sign
07-16
在IT行业中,尤其是在Web开发和API交互中,`Token`和`Sign`是两个非常重要的概念。`Token`通常用于身份验证和授权,而`Sign`则常常涉及到签名算法,用于确保数据传输的安全性。本篇文章将深入探讨这两个概念以及如何...
【API接口设计】之token、timestamp、sign详解
最新发布
weixin_44765236的博客
10-25 558
Token:访问令牌access token, 用于接口中, 用于标识接口调用者的身份、凭证,减少用户名和密码的传输次数。一般情况下客户端(接口调用方)需要先向服务器端申请一个接口调用的账号,服务器会给出一个appId和一个key, key用于参数签名使用,注意key保存到客户端,需要做一些安全处理,防止泄露。
加密,签名,token解释及场景分析
Charles Ren's Tech Blog
10-30 3292
文章目录加密使用场景对称加密和非对称加密签名使用场景含义Tokencookie和session 参考文章:数据的加密与签名 彻底理解cookie,session,token 加密 使用场景 当我们传输数据时,如果数据被截获了,那么其他人就可以看到内容了,这时需要加密算法来对数据进行加密,这样其他人截获也只能看到乱码。 过程: 发送者对明文使用密钥加密然后生成密文,接受者再对密文解密得到明文的过程。...
android接口签名,接口签名(sign)
weixin_39630048的博客
06-03 409
一版package com.toltech.phatent.test;import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.JSONObject;import com.toltech.phatent.commons.bean.ReadedReq;import com.toltech.phatent.commons.utils.Cr...
java API接口签名授权安全认证问题
xulong5000的专栏
08-31 1760
1:使用开源的jar包 API-Signed: 一个轻松实现API签名校验的库。 (gitee.com) 本地下载源码:E:\JavaCode\java-API签名校验 2:该jar 包操作说明 本仓库包含以下内容: 签名校验的源码 基于Spring boot的web示例 由于要开放接口供第三方调用, 采用签名校验的方式以保证安全, 于是有了这个项目。 该项目使用面向切面的方式对签名进行校验, 接口本身只需要关心业务逻辑的处理。 同时防止了重放攻击, 也支持对加密规则, 参数字段的自定义。
javaee中session的验证_使用JWT实现sessionless验证(基于Node+Express+Passport JS)
weixin_39593469的博客
11-29 206
作者:Bryan Manuele原文:Sessionless Authentication using JWTs (with Node + Express + Passport JS)——学习基于JWT的无用户会话(sessionless)验证的理论和最佳实践使用有状态的用户session和储存在cookie中的session id进行验证的策略已经有几十年历史了。但随着面向服务架构和网络服务的出...
JWT——概念、认证流程、结构、使用JWT
Guizy
08-12 4224
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
Udesk工单SDK(二):Java实现签名认证算法
Udesk小能手的博客
09-22 650
作者:张振琦 使用工单SDK首先要做客户身份认证,客户身份认证需要使用到App ID、App Key、客户类型、客户类型值。组合后使用SHA1算法加密即可。客户类型支持三种形式:token、email、weixin,详见下表。 名称 类型 值 说明 appid String 系统生成 工单插件的唯一标示 appkey String 系统生成 工单插件的密钥 token(类型) String customer_token 客户标识 email(类型) String email .
API接口签名生成算法和签名验证算法
举世武双的博客
01-05 1万+
1、参考网上资料和书本资料,实现了API接口签名生成算法和签名验证算法。 (1)参考资料:https://www.jianshu.com/p/d47da77b6419 (2)参考书籍:高级软件架构师教程(311-312)   2、API接口签名生成算法 主要步骤如下: (1)将所有业务请求参数按字母先后顺序排序。 (2)参数名称和参数值链接成一个字符串A。 (3)在字符串A的首尾加...
关于tokensign介绍,附postman动态生成tokensign请求(含php获取请求头信息)
蓝枫秋千的踩坑记录
07-17 2418
Token:令牌 描述:用来判断用户身份的一个标识。 生成:用户在成功登陆后,后端生成一个token(可以是经过编码加密的一个字符串),将token返回给前端,同时后端将koken和用户id和时间戳存入缓存数据库(如果用户量不大的话可以考虑直接存储到数据库)中。 验证:在前端调用接口的时候,需要携带token(如果不携带,认为你非法调用接口),后端根据token和时间戳判断token是否有效或者是否过期,如果过期让用户重新登录,并删除旧的token,重新生成token,重新用户id和时间戳和..
Sign签名生成
weixin_67210784的博客
08-15 1127
签名的生成。
【PE】Windows和Linux平台下API符号导出方法
CSDN明星博主,认证博客专家,视频、Matlab领域优质创作者。
06-23 404
https://blog.csdn.net/fengbingchun/article/details/78898623 https://blog.csdn.net/mutourenzhang/article/details/47803803
token + sign
07-27
token + sign是一种常见的身份验证机制。在这种机制中,用户在登录时会获得一个token,然后在每次请求时将tokensign一起发送给服务器进行验证。 token是一个用于标识用户身份的字符串,通常由服务器生成并返回给客户端。它可以包含用户的一些信息,比如用户ID、角色等。客户端在每次请求时都需要携带这个token,以便服务器能够验证用户的身份。 sign是一个用于验证token的签名,通常是通过对token进行加密或者哈希得到的。服务器在接收到请求时会对tokensign进行验证,以确保token的合法性和完整性。如果验证失败,服务器可能会拒绝请求或者要求用户重新登录。 通过使用tokensign进行身份验证,可以提高系统的安全性和用户的隐私保护。同时,这种机制也可以减轻服务器的负担,因为服务器只需要验证tokensign,而不需要每次都对用户名和密码进行验证。 总之,token + sign是一种常见的身份验证机制,通过使用tokensign可以实现用户身份的验证和保护。 #### 引用[.reference_title] - *1* [关于tokensign介绍,附postman动态生成tokensign请求(含php获取请求头信息)](https://blog.csdn.net/qq_43382853/article/details/107407442)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [tokensign 的理解](https://blog.csdn.net/shenjing_Shining/article/details/120451696)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值