基于 Token 的身份验证

最新推荐文章于 2023-04-08 20:00:00 发布
最新推荐文章于 2023-04-08 20:00:00 发布
阅读量486 收藏 1
点赞数
分类专栏: Java Web
基于 Token 的身份验证

最近了解下基于Token的身份验证,跟大伙分享下。很多大型网站也都在用,比如Facebook,Twitter,Google+,Github等等,比起传统的身份验证方法,Token扩展性更强,也更安全点,非常适合用在Web应用或者移动应用上。Token的中文有人翻译成“令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。


传统身份验证的方法

HTTP是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。

解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的ID号发送给客户端,客户端收到以后把这个ID号存储在Cookie里,下次这个用户再向服务端发送请求的时候,可以带着这个Cookie,这样服务端会验证一个这个Cookie里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。

上面说的就是Session,我们需要在服务端存储为登录的用户生成的Session,这些Session可能会存储在内存,磁盘,或者数据库里。我们可能需要在服务端定期的去清理过期的Session。


基于 Token 的身份验证方法

使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

    1)客户端使用用户名跟密码请求登录

    2)服务端收到请求,去验证用户名与密码

    3)验证成功后,服务端会签发一个Token,再把这个Token发送给客户端

    4)客户端收到Token以后可以把它存储起来,比如放在Cookie里或者Local Storage 里

    5)客户端每次向服务端请求资源的时候需要带着服务端签发的Token

    6)服务端收到请求,然后去验证客户端请求里面带着的Token,如果验证成功,就向客户端返回请求的数据


JWT

 实施Token验证的方法挺多的,还有一些标准方法,比如JWT,读作:jot,表示:JSONWeb Tokens。JWT标准的Token有三个部分:

    header

    payload

    signature

中间用点分隔开,并且都会使用Base64编码,所以真正的Token看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
Header

header部分主要是两部分内容,一个是Token的类型,另一个是使用的算法,比如下面类型就是JWT,使用的算法是HS256。

{
    "typ": "JWT",
    "alg": "HS256"
}
上面的内容要用Base64的形式编码一下,所以就变成这样: 
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload
Payload里面是Token的具体内容,这些内容里面有一些是标准字段,你也可以添加其它需要的内容。下面是标准字段:
    iss:Issuer,发行者
    sub:Subject,主题
    aud:Audience,观众
    exp:Expiration time,过期时间
    nbf:Not before
    iat:Issued at,发行时间
    jti:JWT ID
比如下面这个Payload,用到了iss发行人,还有exp过期时间。另外还有两个自定义的字段,一个是name,还有一个是admin。 
{
    "iss": "ninghao.net",
    "exp": "1438955445",
    "name": "wanghao",
    "admin": true
}

使用Base64编码以后就变成了这个样子:

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ
Signature

JWT的最后一部分是Signature,这部分内容有三个部分,先是用Base64编码的header.payload,再用加密算法加密一下,加密的时候要放进去一个Secret,这个相当于是一个密码,这个密码秘密地存储在服务端。

    header

    payload

    secret

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

处理完成以后看起来像这样:

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后这个在服务端生成并且要发送给客户端的Token看起来像这样:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客户端收到这个Token以后把它存储下来,下回向服务端发送请求的时候就带着这个Token。服务端收到这个Token,然后进行验证,通过以后就会返回给客户端想要的资源。

参考资料:https://ninghao.net/blog/2834

acjunt
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django rest_framework 框架TokenAuthentication认证
u012879957的专栏
04-02 427
https://blog.csdn.net/qq_39980136/article/details/89503850 https://blog.csdn.net/yueguangMaNong/article/details/90519819?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute....
DRF TokenAuthentication
程序圆圆圆
08-21 870
TokenAuthentication 首先在INSTALLED_APPS中设置 INSTALLED_APPS = ( ... 'rest_framework.authtoken' ) 然后python manage.py migrate生成一个和user一对一关系的token表 创建token from rest_framework.authtoken.models impor...
Token认证
slience_me的博客
01-13 420
步骤 1.settings.py INSTALLED_APPS = [ ... 'rest_framework.authtoken' ] 配置路由 from rest_framework.authtoken import views urlpatterns = [ path('admin/', admin.site.urls), re_path(r'^api-token-auth/', views.obtain_auth_token) ] class BookVi
40.TokenAuthentication认证
weixin_43247178的博客
10-09 215
TokenAuthentication认证介绍 TokenAuthentication是一种简单的基于令牌的HTTP认证 适用于CS架构,例如普通的桌面应用程序或移动客户端 TokenAuthentication认证使用 # 将rest_framework.authtoken 添加到 INSTALLED_APPS INSTALLED_APPS = ( 'rest_framework.a...
Token验证
大象
07-07 5595
Token:令牌。 参考:http://blog.csdn.net/sum_rain/article/details/37085771 http://www.360doc.com/content/13/0509/08/10504424_284048407.shtml 1. 作用:防止表单重复提交;anti-csrf攻击(跨站点请求伪造) 2. 原理:通过session token实现。当
基于Token身份验证的方法
10-18
基于Token身份验证是一种现代的、安全的认证方式,尤其适用于Web应用和移动应用。这种方式避免了传统的Session存储用户登录状态的需求,减少了服务器的负担,并提高了系统的可扩展性。Token,中文通常被译为“令牌...
JAVA中的Token 基于Token身份验证实例
08-24
JAVA中的Token基于Token身份验证实例 本文档主要介绍了JAVA中的Token基于Token身份验证实例,具有很好的参考价值。本文将详细介绍基于Token身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
node实现基于token身份验证
08-27
"Node实现基于Token身份验证" Node.js是目前最流行的服务器端编程语言之一,而身份验证是 Node.js 应用程序中最重要的部分之一。本文将主要介绍 Node.js 实现基于 Token身份验证,并对 Token 验证机制进行详细...
基于token身份验证-2.0版本
09-19
### 基于Token身份验证2.0版本详解 #### 一、背景介绍与核心问题 随着互联网技术的发展,安全性和用户体验成为了系统设计中的两大重要考量因素。在身份验证领域,传统的用户名+密码的方式逐渐显现出诸多不足,...
go实践二十 web开发--表单唯一token 表单验证 防止xss攻击 上传文件 cookie处理
daily886的博客
09-05 780
新建一个 testform2.gtpl 文件,内容如下: <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, user-scala...
php 表单提交token,PHP表单增加token验证,防止站外及重复提交
weixin_29119159的博客
03-11 304
token用于常用的表单防止重复提交及站外提交的一个常用的处理方式了,下文我们一起来看一个PHP表单增加token验证,防止站外及重复提交例子。原理在于生成一个随机字符串放在session里。提交表单后来验证这个字符串。可以做到防止他人自己写form来欺骗提交,重复提交或者双击提交。Token.php/** Created on 2013-3-25** To change the template...
解决表单重复提交的解决方案——在服务端对Token进行验证
qq_43732691的博客
12-26 1015
解决表单重复提交的解决方案——在服务端对Token进行验证 1、在idea中建立一个springboot项目 2、在templates目录下建立一个index.html文件 <!DOCTYPE html> <html lang="en" xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:contex...
rest-framework源码解析--TokenAuthentication
Sthons的博客
09-04 433
首先,在token验证模块中,我们看到的是这一函数: def get_model(self): if self.model is not None: return self.model from rest_framework.authtoken.models import Token return Token 这里我们先不看 if 语句,直接去看 Token (如下图) class Token(...
四、vault - 令牌验证 Token Authentication
zrk1000的专栏
05-23 2736
令牌验证后端 ( token backend)是内置的,是客户端认证的核心;。其他身份验证后端也可以对客户端进行身份验证, 但他们的客户端令牌(token )最终由令牌后端(token backend)管理。
axios vue 表单验证_vue 实现axios拦截、页面跳转和token 验证
weixin_39953102的博客
01-17 246
第一步: 路由 多添加一个自定义字段 requireAuthpath: '/repository',name: 'repository',meta: {requireAuth: true, // 添加该字段,表示进入这个路由是需要登录的},component: Repository第二步:router.beforeEach((to, from, next) => {if (to.meta.r...
6、DRF实战总结:认证及使用Token认证,代码示例详解(附源码)
SteveRocket's-Blog
04-08 2705
身份验证是将传入的请求对象(request)与一组标识凭据(例如请求来自用户或其签名的令牌token)相关联的机制。REST framework 提供了一些开箱即用的身份验证方案,并且还允许实现自定义方案。 DRF的每个认证方案实际上是一个类。可以在视图中使用一个或多个认证方案类。REST framework将尝试使用列表中的每个类进行身份验证,并使用成功完成验证的第一个类返回的元组设置 request.user 和request.auth。
jwt方式进行登录验证
big_white_py的博客
09-21 1164
一般Web应用开发验证用户信息有两种方式,一是使用session,二是使用token。 为什么要用Token Token无需存储降低服务器成本,session是将用户信息存储在服务器中的,当用户量增大时服务器的压力也会随着增大。 防御CSRF跨站伪造请求攻击,session是基于cookie进行用户识别的, cookie如果被截获,用户信息就容易泄露。 扩展性强,session需要存储无法共享,当搭建了多个服务器时其他服务器无法获取到session中的验证数据用户无法验证成功。而Token可以实现服务器间
关于Authentication(认证)和Authorization(授权)及Session、Cookie、Token、JWT的一点总结
weixin_42583145的博客
07-06 2977
1.认证 (Authentication) 和授权 (Authorization)的区别 Authentication(认证) 是验证身份的凭据,如用户名/密码等 Authorization(授权) 在Authentication之后,主要用来授权,特定的人才能访问特定的资源,如有些资源的删除、更新操作只对管理员开放。 一般在系统中结合两者使用,保证系统的安全性。 2.什么是Cookie? Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存
apache tomcate 集群 session共享
happyzwh的专栏
07-20 1366
session同步共享         当集群进行跨域请求时session已经变化,跨域前后请求session不同. 方法1:     以cookie保存sessionId,共享cookie达到共享session.   当用户登录成功时,创建session,此时将sessionId作键  session对象作值放入mem缓存,同时创建cookie  以任意规
基于 token身份验证方法
最新发布
06-11
基于 Token身份验证方法是一种常见的身份验证方式,它通过在用户登录成功后生成一个 Token,并将其返回给用户。用户在之后的请求中将 Token 携带在请求头或请求参数中,服务端则利用 Token 来验证用户的身份。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值