关于REST中做简单验证的思考

最新推荐文章于 2022-12-25 21:58:11 发布
最新推荐文章于 2022-12-25 21:58:11 发布
阅读量1.9k 收藏
点赞数
分类专栏: Java REST JEE 文章标签: Java REST
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xeseo/article/details/12856885
版权
Java 同时被 3 个专栏收录
89 篇文章 0 订阅
订阅专栏
JEE
4 篇文章 0 订阅
订阅专栏
REST
2 篇文章 0 订阅
订阅专栏

之前有位朋友留言问我是否对REST的验证有过研究,当时,我之前是用JBOSS来做基本的验证管理,每次请求都要带上验证信息。

对于WEB,这样做似乎有点不太优雅。

传统的http连接下,简单的web验证,是靠Session来做的。而Session其实是代表状态的,客户端的状态。REST是无状态的,服务资源无状态。

但是在访问的时候,由于Session的存在,就把客户的状态跟资源访问结合到一起了,有状态&无状态 == 有状态。

所以,Session其实是跟REST背道而驰的。

而关于REST的安全问题,全世界都在讨论。高级验证似乎已经有比较成熟的方法了,https+cache或者OAUTH。

而简单验证,怎么办呢?

个人的想法是,既然Session是有状态的,在解决安全问题中,其根本用途是保存用户信息,那么,我们是不是可以用如下的方法来解决呢?

1. 一个用户连接时,根据该用户唯一标示字段(例如数据库主键)加上当前时间,生成one-way hash,写入一个内存cache,并返回该token;如果cache中已存在该token,拒绝该链接。(每个token基本上都是唯一的,不可能产生两个一样的。如果是一样,必然是伪造的)

2. 页面在传递的时候同时传递该token,把该token带入URL或者请求中去;

3. 对于需要验证的资源,后面REST服务在接收到Request后,判断该token(读cache)。如果没有token或不对,返回登陆页面。


如果是分布式,那么使用分布式cache就OK了。


这是暂时的想法,后面如果有时间再去细想。如果写个POC出来。

Edison徐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
restEasy 学习总结,附带源码
12-24
详细描述了restEasy在servlet3.0前后的不同使用方法;restEasy 结合httpServer 无需容器开发;restEasy的通用差错拦截;附详细实现源码!
RESTEasy bean validation using hibernate validator provider
zzhongcy的专栏
02-26 2533
The Bean Validation API (JSR-303) defines a meta-data model and API for bean validation based on annotations. The functionality is achieved through the resteasy-hibernatevalidator-provider component
REST API开发技巧集锦(5):参数错误校验(AOP)
04-28 756
前文https://blog.csdn.net/sinat_37390744/article/details/89633005 AOP:Aspect Oriented Programming的缩写,意为:面向切面编程 实际开发需要校验很多参数,比如id为正整数,num必须为数字,tel必须为11位长度,emai必须为邮箱类型; 传统校验:依次判断 is_int($id) is_nume...
RestEasy 3.x 系列:使用Hibernate_Validator进行数据校验
懂哥的博客
12-04 1501
使用Hibernate_Validator进行数据校验,好处不言而喻:规范统一,低耦合度。 1.pom.xml <dependency> <groupId>org.hibernate</groupId> <artifactId>hibernate-validator</artifactId> <version>5....
Java安全学习笔记(六)-使用消息摘要验证口令
上官云霆的博客
08-24 915
使用消息摘要验证口令 本实例介绍如何使用所保存的消息摘要严恒用户输入的口令是否正确。若账号和口令都与保存在user_pass.txt的相同,则提示“账号和口令都正确”,否则提示"错误的账号或口令"。不过这代码的逻辑总是有点奇葩哈哈。 使用消息摘要验证口令的技术要点如下: 1.读取文件对应账号,口令的消息摘要 2.生成用户输入的口令的消息 3.将用户输入的口令的摘要和文件保存的口令摘
Django REST framwork的权限验证实例
09-17
在Django REST Framework,权限验证是至关重要的一个环节,它确保了只有授权的用户才能访问和操作特定的资源。本实例将详细讲解如何在Django REST Framework实现权限验证。 首先,我们来看如何判断用户是否已...
身份验证 REST API 服务
最新发布
05-17
身份验证 REST API 服务是现代 Web 应用程序和移动应用的关键组件,它确保了只有经过授权的用户才能访问受保护的资源。本服务基于 Python 的 Django Rest Framework (DRF) 实现,并结合了 SimpleJWT 库进行令牌...
dj-rest-auth:Django Rest Framework的身份验证
02-05
插入式API端点,用于在Django Rest Framework安全地处理身份验证。 特别适用于SPA(例如React,Vue,Angular)和Mobile应用程序。 要求 Django 2或3 Python 3 快速设置 安装套件 pip install dj-rest-auth 在您...
djoser:Django身份验证系统的REST实现
02-05
这个库使得在Django项目构建完整的用户管理API变得简单高效。 1. **Django身份验证系统** Django内置的身份验证系统包括用户模型、认证、权限和会话管理。Django的默认用户模型 (`User`) 提供了用户名、密码、...
RESTAPI身份验证
03-02
RESTAPI身份验证是Web服务开发的重要组成部分,它确保了只有经过验证的用户或系统能够访问敏感资源。在本主题,我们将深入探讨REST(Representational State Transfer)API的认证机制,特别是基于基本安全认证的...
java restful token_java基于token验证之登陆验证(示例代码)
weixin_27038245的博客
03-06 622
转自博客https://blog.csdn.net/weixin_39102174/article/details/90411116以上博主讲的更清除些,此博客是为了自己加深记忆。对于前后端分离的项目来说session来判断是否登陆实现比较困难,token是比较好的方式。大概流程:1.用户登陆,若成功则后台生成一个token,并把此token返回给客户端浏览器2.客户端接收到token后,每次请...
rest_检查您的REST参数!
cunfen8879的博客
12-12 192
rest 我正在进行与我正在进行的“项目学生”系列相关的研究,意识到我犯了最常见的错误,也最容易纠正的错误之一。 我并没有利用我对Web应用程序了解的所有知识来向外扩展我的安全范围。 我正在专门考虑UUID参数。 我知道每个有效的外部可见ID都是UUID。 我知道UUID的形式。 那么,为什么不进一步检查我的“ uuid”参数是否是潜在的有效UUID? 的确,数据库层不会识别出错误的“ uu...
Hibernate-Validator的使用(一)
特别享受思考问题的过程
12-25 1953
key用{}括起来}这里定义两个文件ValidationMessages_zh_CN.properties和ValidationMessages_en_US.properties来测试。二者均放在resource目录下ValidationMessages_en_US.properties的内容userName.invalid= userName ${validatedValue} is invalid。
springboot 小技巧(一)(restful接口参数校验,自定义校验规则)
s297485987的专栏
07-27 6464
1.restful风格接口参数校验 在接收参数的实体类的属性上添加默认的注解或者自定义注解 自定义参数校验注解方法 1>定义自定义注解 2>定义参数校验逻辑的处理类 ...
REST API 谈线上接口验证
Hankle_Xu的博客
01-09 4371
在快速迭代的互联网行业,无数的接口提供了各种服务,大到系统级,小到应用级,对于纷繁复杂的接口的测试,无论测试还是线上环境,面向接口测试,变得尤为迫切。实际测试工程师在接口验证,往往面临生产环境权限的掣制,或面临生产环境配置差异而无法像测试环境一样进行接口测试。相比与传统的RPC(远程过程调用,一般关注的是行为和处理),使用合适的客户端对基于面向资源的远程调用REST API,更适合接口线上
apache cxf restful的文件上传
待风宜月
04-10 4640
@POST @Produces("application/json") @Path("/upload/{isSafe}") public String uploadFile(@PathParam("isSafe") String safe,MultipartBody body) { try { long t = new Date().getTime(); for (Attac
resteasy 数据校验之Hibernate validation 国际化问题
joshua1830的专栏
10-09 1863
resteasy 数据校验之Hibernate validation在集成过程遇到的问题 国际化文本 ValidationMessages_zh_CN.properties 必须放在根目录 ValidationMessages_zh_CN.properties编码类型必须是ISO-8859-1,不能是utf-8 ValidationMessages_zh_CN.properties文件名称不能更改 在非LANG=zh_CN.UTF-8环境运行国际化文本没有起作用
Rest接口参数调用在后端进行自定义参数校验实战(含完整代码)
qq_20395245的博客
06-29 1388
开发背景:相信大家在实际开发基本都接触过前后端分离的开发模式,大致流程为前端携带请求参数向后端发起请求然后获取响应结果进行页面渲染。那么这里问题来了,前端发起的请求会携带众多不同格式的请求参数,这些请求参数字段如果没有进行必要的校验很可能对导致后端服务出现一系列报错。因此一般来说需要在后端对前端的请求参数进行一些必要的参数校验,当全部参数校验通过之后才进行服务的调用返回数据,当参数存在不通过的情况则以友好的方式直接返回给调用方提示进行参数修改。基于此背景,下面介绍一下这样一个需求可以怎么去实现,并且考虑

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值