token

最新推荐文章于 2024-05-10 13:55:58 发布
最新推荐文章于 2024-05-10 13:55:58 发布
阅读量6.6k 收藏 76
点赞数 8
分类专栏: java 文章标签: token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x1032019725/article/details/80898679
版权

为什么要使用token?

因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。

目前主流的访问权限控制/认证模式

Bearer Token(Token 令牌)

定义:
为了验证API请求者的身份,需要客户端向服务器端提供一个可靠的验证信息,这种信息我们称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,即我们平时所称的Json Web Token(简称JWT)

token主要由3部分组成
头部

头部用于表面这是一个JWT,并指定加密方式,以base64方式进行编码

//头部案例
{

"typ" : "JWT",    (typ:类型)

"alg" : "HS256" (alg:算法,HS256表示哈希算法的mac值。SHA256/HmacSHA256,SHA256表示直接加密,HmacSHA256表示用秘钥进行加密。SHA(Secure) Hash Algorithm ,安全散列算法)

HMAC(Hash Message Authentication  Code,散列消息鉴别码))

}
Claim正文

正文可以包含用户的一些信息,如email、账户、用户名等,同时也包含了token的国旗时间,以unix时间戳的方式记录,以base64进行编码

{
    "user":"iven",
    "exp":265431552,//token过期时间,以毫秒数进行计算
    "content":"web site transfer content"
}
签名(sign)

签名就是把上面两部分进行结合,再加上一些本地信息进行拼接,然后使用头部里面指定的算法进行生成对应的一串字符

token的优点是什么?
1. 无状态性,并且易于拓展(如与其他程序共享权限)
2. 在操作中避免不断的输入账号密码,防止账号密码被窃取
3. 利用token为第三方应用提供权限,而非账号密码,安全性更高
4. 支持跨平台、多语言

应用案例

api签名

场景描述:当你开发完一个接口之后,放到服务器之后有考虑过下面的问题吗?

  1. API对调用者身份进行校验,缺少访问控制,可被随意调用吗
  2. API在权限控制方面未做充分安全设计,权限会被滥用吗
  3. API使用安全的协议了吗,考虑被篡改的情况了吗
  4. API数据交互内容做加密措施了吗
  5. API会被重复调用造成重放攻击吗
  6. 会话做超时设置了吗

解决方案:
对api进行签名(以开放平台为例),具体如下:
1. 为API调用方分配apiKey,apiSecret
2. 为参数签名

 - 参数加入时间戳(timestamp)
 - 对所有需要传输的参数的名称,按照a~z进行升序排序,值为null或空串的参数不参与排序
 - 按排序结果拼接参数值成一个字符串content
 - 对content用SHA256或者是其他JWT token生成算法进行签名,生成apiSign
 - 最终把apiSign加到url最后(位置不定,看与后台规则约定)去请求api

3. 服务端校验
- 服务端获取url中的所有参数
- 检查时间戳是否过期,过期就返回错误,反之下一步
- 验证apiSign,验证不通过就返回错误,反之下一步
- 设置超时
- 允许继续请求

极_晓
关注
  • 8
    点赞
  • 76
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Token
03-28
在IT行业中,"Token"是一个非常关键的概念,尤其是在Java编程领域。Token通常指的是在认证和授权过程中使用的一段数据,它代表了用户的身份或者权限。本文将深入探讨Token的含义、类型以及在Java中的应用。 Token的...
oauth2 传递token是否需要加密_OAuth2.0协议入门(二)
weixin_39832829的博客
12-01 891
一OAuth2.0授权服务端的设计在上一篇文章中,我介绍了OAuth2.0协议的基本概念以及作为一个第三方应用在请求授权服务端的时候需要做哪些事情。通过上一篇文章中调用百度OAuth服务的例子我们可以得知,使用授权码模式完成OAuth2.0授权的过程需要以下三个步骤:client请求授权服务端,获取Authorization Code;client通过Authorization Code再次请求授...
加密算法 — — 对token进行非对称加密【RSA】
weixin_45565886的博客
08-29 2827
加密算法 — — 对token进行非对称加密【RSA】
序列标注(token级的分类问题
lw19155275856的博客
05-10 739
序列标注(token级的分类问题
Token明文存储的危害
weixin_35752645的博客
12-19 910
在数字领域中,token通常指的是一种用于表示用户身份、授权或其他信息的数字代码。Token明文存储是指将这些token直接明文存储在数据库或其他存储介质中,而不加任何加密或哈希处理。这样做存在一定的危害: 泄露风险: 如果数据库或存储介质被攻破,这些明文存储的token就有可能被盗取。这意味着,攻击者可以使用这些token来获取授权或模拟用户身份进行恶意操作。 失效风险: 如果某个用户的to...
token详解
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
04-11 4816
本篇博客主要从什么是token?为什么要使用token?如何使用token?项目实例这几个方面讲解token,通过本篇博客能够对token能够有更深入的理解,并且有思路应用在具体项目中。多角度看问题,多个维度看问题能够更加深入的理解和学习到该知识点。例如5w2h的方式。
加密,签名,token解释及场景分析
Charles Ren's Tech Blog
10-30 3271
文章目录加密使用场景对称加密和非对称加密签名使用场景含义Tokencookie和session 参考文章:数据的加密与签名 彻底理解cookie,session,token 加密 使用场景 当我们传输数据时,如果数据被截获了,那么其他人就可以看到内容了,这时需要加密算法来对数据进行加密,这样其他人截获也只能看到乱码。 过程: 发送者对明文使用密钥加密然后生成密文,接受者再对密文解密得到明文的过程。...
基于acess_token和refresh_token实现token续签
03-19
在这个场景下,“基于acess_token和refresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
sa-token封装了一下
03-15
【标题】:“sa-token封装了一下” “sa-token封装了一下”这个标题表明了这是一个关于sa-token的讨论,sa-token是一个轻量级的Java权限认证框架,主要用于解决权限认证和授权问题。这里的“封装了一下”可能意味着...
onenet MQTT Token计算工具
09-30
【OneNet MQTT Token计算工具详解】 OneNet MQTT Token计算工具是一款专为物联网(IoT)开发者设计的应用,用于生成在使用OneNet MQTT协议时所需的Token。OneNet是中国移动物联网开放平台提供的一种通信协议,它基于...
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
后端之token & 加密
weixin_49278803的博客
10-11 1459
1、概述 在web后端注册/登录逻辑中,我们经常需要将密码进行加密存储以便更好地保护会员的隐私与安全。存储方式分为明文和密文两种,不用说我们肯定选择密文存储,密文也就是加密后的数据,那么加密又有很多的方式,我们就来讲一讲 加密方式 特征描述 明文转码加密 BASE64, 7BIT等,这种方式只是个障眼法,不是真正的加密 对称算法加密 DES, RSA等 签名算法加密 也可以理解为单向哈希加密,比如MD5, SHA1等。加密算法固定,容易被暴力破解。如果密码相同,得到的哈希值是一样的。
如何理解Token以及它的安全性
m0_59602613的博客
08-05 1773
这里有关为什么使用token而不是session等我就不再一一赘述啦。我主要是想从它的格式以及安全机制两方面入手进行说明。
JJWT-token(工具类)
DW524245的博客
05-24 1420
前言 客户端要通过操作访问服务器,第一次登录后服务器会生成一个token(用户id,失效时间...),然后把token返回给客户端留存。以后的每一次操作都可以携带token到服务端去进行验证。如果验证成功,那么继续执行,如果验证失败,不让访问或者去做其他操作(再次登录)。 一、token的格式 JJWT(Java json web token)生成的token字符串格式如下: {header}.{body}.{加密信息} header:指定当前token使用的加密算法 bod...
Token介绍
magic_hat的博客
08-14 8292
Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识
彻底搞懂Cookie、Session、Token到底是什么?
Java 架构师之路
06-30 1311
作者:不学无数的程序员来源:http://39sd.cn/DC6C6Cookie洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛...
ChatGPT APi中Token是什么?如何计算Token使用量?
终码一生
02-17 2724
我们经常听到该ChatGPT账号的Token上限是多少?每次提问消耗的token多少?如何计算我的账户消费情况?今天给大家做个简单的介绍。在构建和使用基于OpenAI的聊天机器人或者其他AI应用时,了解如何计算使用的token数量是至关重要的。每次与OpenAI API交互时,我们都在使用一定数量的tokens,这些tokens被用来编码我们输入的信息。每一段文本信息,无论是请求还是响应,都被转换成一个个的token。了解这些token的数量,可以帮助我们更好地理解和管理我们的API使用情况。
什么是 tokens,ChatGPT里面的Tokens如何计数?
孔壹学院
06-09 8048
使用英文对话比较划算,其他语言包括中文计算Token时比较昂贵英文字母大概四个字母平均下来等于一个token中文汉字,大概一个汉字平均下来两个token我昨天用GPT写了7篇高考作文,总字数为10397,Tokens 为21,008个。
springboot token
最新发布
06-15
Spring Boot Token通常指的是在Spring Boot应用中使用JWT(Json Web Tokens)进行身份验证和授权的过程。JWT是一种开放的标准(RFC 7519),用于在网络应用间安全地传输信息,其中包含了用户的身份信息,可以在客户端和服务端之间进行无状态的认证。 在Spring Boot中,使用Token的主要步骤包括: 1. **设置认证模块**:Spring Security或JWT库(如jjwt、auth0-spring-security-jwt等)用于处理Token的生成、验证和管理。 2. **创建Token服务**:服务会为经过身份验证的用户提供一个JWT,包含用户信息和一些加密过的过期时间等元数据。 3. **验证Token**:每次请求到达服务器时,需要检查HTTP头(通常`Authorization`头)中的Bearer Token,验证其有效性,包括签名、过期时间等。 4. **拦截器或过滤器**:在Spring MVC或WebFlux中,可以配置一个JWT过滤器或全局拦截器来自动处理Token验证和解码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值