认证相关的点滴积累

最新推荐文章于 2023-04-02 20:54:07 发布
最新推荐文章于 2023-04-02 20:54:07 发布
阅读量411 收藏
点赞数
分类专栏: work summary certification authorization 文章标签: cookie 服务器 域名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ziwenCSDN/article/details/78279159
版权

跨域访问及认证相关

跨域常用的一些配置标签

  • Access-Control-Allow-Origin:必须的,它的值是请求时Origin字段的值或者 *,表示接受任意域名的请求.比如:”*”或者”dashboard.yomob.com”
  • Access-Control-Allow-Credentials:可选,表示是否允许发送Cookie到服务器.比如:”true”
  • Access-Control-Allow-Methods:必需,它的值是逗号分隔的一个字符串,表明服务器支持的所有跨域请求的方法。注意,返回的是所有支持的方法,而不单是浏览器请求的那个方法。这是为了避免多次”预检”请求.比如:”POST, PUT, GET, OPTIONS, DELETE”
  • Access-Control-Allow-Headers:如果浏览器请求包括Access-Control-Request-Headers字段,则Access-Control-Allow-Headers字段是必需的。它也是一个逗号分隔的字符串,表明服务器支持的所有头信息字段,不限于浏览器在”预检”中请求的字段.比如:”x-requested-with, Authorization, Content-Type”
  • Access-Control-Max-Age:该字段可选,用来指定本次预检请求的有效期,单位为秒。上面结果中,有效期是20天(1728000秒),即允许缓存该条回应1728000秒(即20天),在此期间,不用发出另一条预检请求.比如:”3600”

跨域资源共享

  • W3C出了一个标准-CORS-”跨域资源共享”(Cross-origin resource sharing),它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制.
  • 首先来说 CORS 需要浏览器和服务端同时支持的,对于兼容性来说主要是ie10+,其它现代浏览器都是支持的.
  • 使用 CORS 跨域的时候其实和普通的 ajax 过程是一样的,只是浏览器在发现这是一个跨域请求的时候会自动帮我们处理一些事,比如验证等等,所以说只要服务端提供支持,前端是不需要做额外的事情的.

OAuth2.0 使用的是 access_token

获取access_token 接口

  • Request URL:
{
https://dashboard.test.yomob.com/api/oauth/token
}

  • RequestHeaders:

    1. Authorization:
      “`
      {
      Basic ZGFzaGJvYXJkOnNlY3JldA==
      }
2.  Cookie:

{
Hm_lvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424949; Hm_lpvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424950; __lc.visitor_id.9064240=S1506424971.60e59c5a89; autoinvite_callback=true; lc_window_state=minimized; __lc.visitor_id.9168725=S1507805381.02ca34025c; lc_window_state=full; hide_eye_catcher=1; lc_window_state=minimized; Hm_lvt_f95e3d3ce2ae407694d07849c428517c=1507775851; Hm_lpvt_f95e3d3ce2ae407694d07849c428517c=1508313189
}


 3. Form Data 
 ```
{
grant_type=password&username=admin@ziwen.com&password=10101010
}
  • response:
{
    "access_token": "5b20f67c-733b-4d66-80c6-97836f524601",
    "token_type": "bearer",
    "refresh_token": "681a239c-0681-4d3c-b860-0dd60b064f47",
    "expires_in": 848,
    "scope": "read write"
}

普通的业务接口

  • Request URL:
{
https://csdn.test.yomob.com/api/accounts/me
}
  • RequestHeaders:
    1. Authorization:
{
Bearer 5b20f67c-733b-4d66-80c6-97836f524601
}
  1. Cookie:
{
Hm_lvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424949; Hm_lpvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424950; __lc.visitor_id.9064240=S1506424971.60e59c5a89; autoinvite_callback=true; lc_window_state=minimized; __lc.visitor_id.9168725=S1507805381.02ca34025c; lc_window_state=full; hide_eye_catcher=1; lc_window_state=minimized; Hm_lvt_f95e3d3ce2ae407694d07849c428517c=1507775851; Hm_lpvt_f95e3d3ce2ae407694d07849c428517c=1508313189

}

JWT 使用的是:token

获取token的接口

Request URL:https://astemp.yomob.com/api/auth/access_token
RequestHeaders:
- Cookie: Hm_lvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424949; Hm_lpvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424950; __lc.visitor_id.9064240=S1506424971.60e59c5a89; autoinvite_callback=true; lc_window_state=minimized
- Request Payload:

{
  "loginName": "admin@ziwen.com",
  "loginPass": "101010101"
}

response:

{
"token": "eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbkBzb3VsZ2FtZS5jb20iLCJjcmVhdGVkIjoxNTA4MzE1NDg2MDQ0LCJleHAiOjE1MDg0MDE4ODYsImF1dGhvcml0aWVzIjpbeyJhdXRob3JpdHkiOiJST0xFX1VTRVIifSx7ImF1dGhvcml0eSI6IlJPTEVfQURNSU4ifV19.i2AnEtEd6bvTlUepUprX4ZQbiEsnUkkmKFbpe13KBSzdTZj6K0BgWnSp-GRNJUSNAQmyk61vHPmovPQOUg5b8g"
}

普通的业务接口

  • Request URL:
{
https://abc.yomob.com/api/me
}
  • RequestHeaders:
    1. Cookie:
{
 Hm_lvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424949; Hm_lpvt_b3dc15336bfd7f500d18213a1e6aa1f6=1506424950; __lc.visitor_id.9064240=S1506424971.60e59c5a89; autoinvite_callback=true; lc_window_state=minimized
}
  1. Authorization:
{
Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbkBzb3VsZ2FtZS5jb20iLCJjcmVhdGVkIjoxNTA4MzE1NDg2MDQ0LCJleHAiOjE1MDg0MDE4ODYsImF1dGhvcml0aWVzIjpbeyJhdXRob3JpdHkiOiJST0xFX1VTRVIifSx7ImF1dGhvcml0eSI6IlJPTEVfQURNSU4ifV19.i2AnEtEd6bvTlUepUprX4ZQbiEsnUkkmKFbpe13KBSzdTZj6K0BgWnSp-GRNJUSNAQmyk61vHPmovPQOUg5b8g
}

postman 中访问

获取access_token 的接口

  1. URL 为:
{
 http://localhost:9000/oauth/token?grant_type=password&username=admin@ziwen.com&password=101010
}
  1. 它的Headers为:
{
    Content-Type:application/json
    Authorization:Basic ZGFzaGJvYXJkOnNlY3JldA==
}
  1. 得到的 Body为:
{
    "access_token": "cf6adc3d-d1cb-4bc6-b0f5-215bf7d3cf08",
    "token_type": "bearer",
    "refresh_token": "31ab013a-e9dd-4bb9-a787-7df1cbfd0b0e",
    "expires_in": 3584,
    "scope": "read write"
}

普通业务接口

  • URL:
{
http://localhost:9000/reports/revenues?startDate=2017-10-11&endDate=2017-10-12
}
  • 它的Headers为:
{
Content-Type:application/json
Authorization:bearer 8bbcd5a0-2ab6-44ce-86b0-c1898bb5872e  (tips:这个是 access_token)
}
记录哥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GA/百度统计/Piwik:网站分析工具的Cookie设置和访次切分规则
06-07 1万+
目前主流的网站分析工具一般都是通过javascript检测的方式进行访问监控的,包括商业产品(Omniture)、免费产品(GA/百度统计/CNZZ)、开源产品(Piwik)。虽然说原理大致相同,但是不同的工具在一些基础的统计方法上方式还是有一些微妙的差别。譬如,你在使用多种网站分析工具对同一个网站进行监控时,经常会发现不同的工具给出的Visits总是会有差异(绝对数量有差异,但趋势一致)。即使理
neo4j 知识图谱_古诗词知识图谱Demo
weixin_39688870的博客
11-11 1165
早前调研了知识图谱的基础概念和技术框架,最近这两个月倒腾了一个古诗词的图谱demo,仅以此文记录一下实验过程。从零开始做这个Demo,整个过程大致分为三大步骤:数据采集,数据存储以及图谱应用,全文将按这三步进行记录。一、数据采集既然是从零开始,那第一步就是要爬取数据。搜了几个诗词网站,对比网页排版结构和内容丰富程度,个人觉得古诗词网是个不错的选择,在这里感谢站长为经典文化传承作出的贡献。1. 网页...
headers.Authorization = `Bearer ${token}` 为什么要加Bearer
weixin_43416349的博客
10-24 2万+
因为这是规范。 参考官方:JSON Web Token Introduction - jwt.io
Unity3d www Http 请求 Headers 验证
唐僧的专栏
07-12 3777
之前一直用 WWW 处理Http 数据,然后有个需求是 添加验证, 以免恶意访问! 搜索了一圈之后发现 unity自带的WWW Get 方法 不具备验证功能, 后来想到了 RestSharp: 后来又看到 WWW Post 方法是支持 验证的 如下 !!!!!!!!!!!!!!!!!!!!!!!!! 注: 后来考证发现 Unity www 的Get 方法也是可以 Hea...
java bearer token,传递access_token参数的正确方式
weixin_39929153的博客
03-13 3718
在OAuth中, access_token参数的传递如何才能更安全呢? 不知你有没有具体去研究过, 在此总结传递access_token的正确方式,(所谓正确方式是指传递方式更安全, 更隐匿, 更不容易被网络拦截,网络攻击的方式)1. 通过Header传递 access_token; [推荐]在请求URL的Header中, 添加header ->Authorization: bearer ...
爆炸性!接口鉴权方式及实战案例,这篇文章让你的接口安全像坦克防护!
最新发布
测试逍遥子的博客
04-02 2275
本文从API Key、Basic Authentication、OAuth和Token四个方面详解了接口鉴权的概念和实现方式,并通过Python代码进行了演示。接口鉴权是保障API安全的重要手段,在API接口的设计中应当充分考虑其安全性,以确保数据的保密性、完整性和可靠性。与 OAuth 不同的是,Token 鉴权是由服务端来生成和验证的。通过headers设置X-API-KEY字段即可验证API Key的有效性,如果API Key无效,API会返回 401 Unauthorized 状态码。
postman在Header中添加 Authorization: Bearer {Token}
热门推荐
和光同尘的博客
11-05 7万+
Postman解决token传参问题
从python脚本爬取快递100认知csrftoken
weixin_43868179的博客
07-01 3082
(1)首先登录快递100首页,此时先看下获取到的cookies,稍后会用到 (2)找到获取快递公司名称的异步请求 (3)找到获取快递信息的请求(此处是难点),先查看请求参数,type是上一步获取到的快递公司名,postid是快递单号,temp推测是随机数,phone不用填写 根据我上一篇博客来到对应的参数计算公式https://blog.csdn.net/weixin_43868179/artic...
jwt的使用
人间师格
10-20 3304
1.什么是jwt Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的, 特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源, 也可以增加一些额外的其它业务逻辑所必须的声明信息,该tok
@Headers(Content-Typeapplication/json)http请求加请求头header
murenyangdaren的博客
03-03 8133
https://www.bbsmax.com/A/Vx5MOaj7zN/ (思维导图搞定)Content-Typeapplication/json,后台如何接收 2019-02-01 原文 自己定的规范:只要Content-Type设置为application/json的时候,前台的data要传递字符串 虽然设置为application/json,前台传对象request.getParam也能接收到【今天做了下,又不行了】 有时候行,有时候不行 ajax不设置contentType,Form Data
微服务架构中的身份验证问题 :JSON Web Tokens( JWT)
灯塔的CSDN博客
12-07 6万+
本文翻译自:http://www.svlada.com/jwt-token-authentication-with-spring-boot/ 场景介绍软件安全是一件很负责的问题,由于微服务系统中每个服务都要处理安全问题,所以在微服务场景下会更加复杂,一般我们会四种面向微服务系统的身份验证方案。 在传统的单体架构中,单个服务保存所有的用户数据,可以校验用户,并在认证成功后创建HTTP会话。在微服务架
前后端分离-通过header传递token实现认证
qq_18549249的博客
08-01 4万+
通过JWT实现认证流程   1.前端输入用户名、密码后台登录   2.后端根据用户ID生成Token、返回给前端   3.前端ajax请求、通过header头部设置 Authorizationtoken   4.后端通过Filter、拦截所有请求、处理请求是否合法(token失效、token为空、token过期)  前端ajax关键代码 $.ajax({ heade...
java8的Stream的排序
ziwenCSDN的博客
11-24 4万+
java8 Stream的各种排序
mongodb中字符串日期的比较
ziwenCSDN的博客
06-29 2万+
mongodb中字符串日期的比较
常见的消息推送平台
ziwenCSDN的博客
10-26 1万+
比较常用的消息推送平台的调研个推平台
网络是怎样连接的
ziwenCSDN的博客
02-20 9361
最近无意中发现了一本有趣的书:《网络是怎样连接的》。 我记得之前网上看过比较火的一个问题:从输入url到浏览器显示页面发生了什么?这本书很好的诠释了这个问题。确切地说,应该是详实的回答了这个问题。 一.浏览器生成消息 我们将首先探索浏览器的工作方式。大家可以认为我们的探索之旅是从浏览器中输入网址开始的。比如我们输入这样的网址时,浏览器会按照一定的规则去分析这个网址的含义,然后根据其含义生成请求消息。 https://www.baidu.com/ 在上面的这个栗子中.
NumPy:高性能科学计算&数据分析的基础包
ziwenCSDN的博客
02-04 6319
numpy不仅是 Python 中使用最多的第三方库,而且还是 SciPy、Pandas 等数据科学的基础库。它所提供的数据结构比 Python 自身的“更高级、更高效”,可以这么说,NumPy 所提供的数据结构是 Python 数据分析的基础。 在 NumPy 中需要重点掌握的就是对数组的使用即 NumPy和ufunc,因为这是NumPy和标准Python最大的区别,而ufunc能对数组中每个元素进行函数操作。NumPy 中很多 ufunc 函数计算速度非常快,因为都是采用 C 语言实现的...
后端接口返回数据及编码的格式设计
ziwenCSDN的博客
11-24 5126
后端返回数据及编码格式设计整体设计
带有复合主键的表在SpringBoot中的使用
ziwenCSDN的博客
06-06 4523
在SpringBoot开发过程中,我们会遇到有些mysql表是带有复合主键的,此时我们进行开发的过程中需要注意以下方面. 1,首先在该表的实例类中的复合主键前面添加如下注解: @EmbeddedId 比如下面的例子:我的表叫app_network_configs 这个名字,对应的类是:AppNetwork,对应的复合主键是:AppNetworkKey(AppNetworkKey这个单独拎
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值