后端加密及tocken

最新推荐文章于 2023-07-11 19:53:51 发布
最新推荐文章于 2023-07-11 19:53:51 发布
阅读量1.3k 收藏 3
点赞数
文章标签: 加密 秘钥 md5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuggs_/article/details/80757636
版权

Crypto

 

生成秘钥方式:openssl genrsa  -out server.pem 1024

 

createHmac

 

加密方式:

 

 

var pem = fs.readFileSync(__dirname+"/../server.pem”);//读取密码文件;

var key = pem.toString("ascii”);//转换成ascii吗;

const hash = crypto.createHmac('sha1', key)//创建加密方式:

.update(passworld)  //加密数据:

.digest('hex’);     //数据转码:

 

 

Cipher

 

这是无秘钥加密方式

 

//无秘钥加密:

//创建一个密码 stream => 参数 为加密方式 参数2 密文中的一个后缀;

const cipher = crypto.createCipher('aes192', "a passworld");

//载入一个密码,并规定输入和输出值;

let encrypted = cipher.update(passworld, 'utf8', 'hex');

//最后输出数据 , 及后缀。

encrypted += cipher.final('hex');

 

 

Tocken:

 

                   在浏览网页的过程中,经常会被多次重复的登录搞得烦不胜烦,因为我们使用的是 “即用即走的” http协议,这货在传输完成后则断开连接, web端为了帮助我们实现免登陆,从而发明了,cookie , localstorage,sessionstorage,等技术,这些技术可以将登录信息暂时或者永久性地存储在web端, 但是这些技术安全性不高,在通讯过程中被劫持的概率大,所以在存储数据的时候,我们一般情况下并不会向cookie中直接放入用户的账号密码 , 所以一个类似于令牌的东西出现了, 这货叫Tocken ,当然很多人也叫他 “令牌”。

 

 

 

tocken的原理:

 

                   服务端实现的原则是:

 

                         1. 用户成功登陆,根据需求决定是否创建免登陆 tocken。    

                         2. 创建tocken,发送给web端。    

                         3. 用户访问时,查看是否存在tocken,如果存在,验证,正确后返回用户所需数据。

 

                    Web端实现非常简单:

 

                        1.向服务器发送免登陆(创建tocken)请求。

                        2.将服务器发送的tocken存在cookie之中 。 

                        3.访问服务器,http请求就会默认携带cookie给服务端去验证。

 

 

tocken的构成:

                

                tocken 实现的标准有分成多种,现在主要来说JWT标准,该标准共分成三个部分1.header  2.payload 3. Sinature

 

                1.header 部分主要用于描述协议名称及数据加密算法。

 

                  

        {

          "typ": "JWT",

          "alg"“MD5"

        }

                经过hex转码后,变成如下形式:

   

       7b22747970223a224a5754222c22616c67223a224d4435227d

转换方法封装:

 

function objTohex(obj){

    var s = JSON.stringify(obj);

    var buff = Buffer.from(s);

    var hex = buff.toString("hex");

    return hex;

}

 

function hexToObj(hex){

    var buff = Buffer.from(hex,"hex");

    var s = buff.toString("utf8");

    var obj = JSON.parse(s);

    return obj;

}

 

 

            2.payload 部分:

 

   payload部分主要构成:

 

* iss:Issuer,发行者

* sub:Subject,主题

* aud:Audience,观众

* exp:Expiration time,过期时间

* nbf:Not before

* iat:Issued at,发行时间

* jti:JWT ID

 

{

    "iss"“hahahahaha.com",

    "exp"“10000",

    "name"“hahahahaha"

}

 

                                

转换成hex编码会编程这样:

 

7b22697373223a2279616e67687561697a68692e636f6d222c22657870223a223130303030222c226e616d65223a2279616e67687561697a6869227d

 

Sinature部分:

 

这部分其实就是两者数据相加,然后进行加密;

 

var pem = fs.readFileSync(__dirname+"/../server.pem");//读取密码文件;

var key = pem.toString("ascii");//转换成ascii吗;

const hash = crypto.createHmac('sha1', key)//创建加密方式:

.update(header + payload)  //加密数据:

.digest('hex’);     //数据转码:

zuggs_
关注
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
微信小程序搭配后端实现用户注册登录颁发token凭证
竹映平昔
10-21 1679
文章目录微信小程序登录逻辑个人开发思路微信小程序端服务端相关资料 微信小程序登录逻辑 说明: 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。 调用 auth.code2Session 接口,换取 用户唯一标识 OpenID 和 会话密钥 session_key。 之后开发者服务器可以根据用户标识来生成自定义登录态,用于后续业务逻辑中前后端交互时识别用户身份。 注...
tocken机制
最自由的笑的博客
09-10 1398
cookie-session机制的缺点 如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失,因为session默认存放在一个服务器内存中。 每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。过多的Session存储在服务器内存中,会对服务器造成压力。 如果浏览器不支持cookie,cookie-session机制便无法使用。 cookie存在跨域的限制。 tocken机制流程 当用户登录成功之后, 服务器端就会通过指定算法生成一个 token,过期时间
后端常用的加密算法及hash运算
weixin_43495948的博客
05-10 2144
对称加密加密算法分组长度密钥长度DES8字节8字节3DES8字节24字节AES16字节16字节、24字节、32字节分组模式分组模式推荐条件EBC不推荐CBC常用方式初始化向量(长度等于明文分组长度)OFB不推荐CFB不推荐CTR推荐,效率高初始化向量(长度等于明文分组长度)简单来说,就是通过哈希算法,我们可以得到一段标识的唯一信息。
[web后端]用户注册安全性总结,salt加密
haoziiy的博客
04-09 843
用户名的合法性检测 长度:数据库字段有长度限制; 敏感词:政治敏感/误导信息; 重复:用户名唯一 特殊字符:颜文字等/HTML代码=>可能影响页面显示密码长度要求等 比如:6位以上,必须包含数字和大小写字母三种字符等等密码salt加密,密码强度(md5) 直接使用md5加密密码明文可能有危险(可能被破解) 破解原理: 1.将互联网上常用的密码(例如某些网站已
谈谈我们为什么要前后端分离
Java知音
06-12 509
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!链接:cnblogs.com/-Bloom/p/10260824.html随着不同终端的兴起,对开发人员...
前端密码加密后端解密
weixin_30243533的博客
08-08 1891
//加密密码 $("#Submit").on("click",function(){ var passWord=$("#passWord").val(); var eles = []; eles.push(passWord); var esz = encode("0x12",eles); $("#passWord"...
token
极_晓的博客
07-03 6670
为什么要使用token? 因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。 目前主流的访问权限控制/认证模式 Bearer Token(Token 令牌) 定义: 为了验证API请求者的身份,需要客户端向服务器端提供一个可靠的验证信息,这种信息我们称为Token,这个token通常由Jso...
java后端的秋招经历(含面经和答案)
hjukyjhg56的博客
12-01 1832
java后端的秋招面试学习过程
大事件项目-API服务器
03-21
【大事件项目-API服务器】是一个基于Node.js技术栈构建的后端服务,主要涉及的身份验证机制是使用JWT(JSON Web Tokens)和Token。这个项目旨在提供API接口,以供前端或者其他客户端应用程序进行数据交互。接下来,...
实现微信和公众号的交互
欢迎访问,Viola的博客!
07-16 1847
微信二次开发其实和web项目开发一样,只不过要使用微信的提供接口,遵循腾讯的接口规范.微信公众号就相当于前端页面,我们通过自己开发的后台来和前端页面交互,按照我们的需求拓展微信公众号的功能. 1.在eclipse里搭建一个web工程. 2.创建一个servlet类,因为后台和微信公众号是通过doGet方式交互的,我们在servlet里写一个doGet方法. /** * *@autho...
oauth2 传递token是否需要加密_是否需要在客户端进行口令加密
weixin_39613561的博客
12-21 1052
部门提供了一个B/S架构产品。客户自己请了国内第三方测试厂商进行测试,提交了一个安全问题:通过浏览器访问产品时,在PC客户端本地通过burpsuit进行拦截抓包,发现登录页面提交的口令是明文的。第三方厂商认为这是一个安全问题。认为可能导致口令泄露。如下图:实际上这类问题已经不是客户第一次提了,其他不同客户也有提,但是前面都沟通关闭了,一般如下:1、使用了HTTPS,传输过程中是无法直接从网络中抓取...
php简单的tocken验证
lmjy102的博客
01-17 759
上面的timestamp , adminuser, token参数传送到服务器 服务器端进行验证 public function actionMailchangepass(){ $this->layout = false; //接收来自用户的url链接信息 $time = Yii::$app->request->get("timestamp");
Tocken验证登录
weixin_43275578的博客
05-13 999
原理: 客户端第一次登陆系统,用户名密码验证通过生成tocken存到redis,并且设置过期时间。客户端请求其他功能的时候带着tocken访问,每次访问都重置tocken过期时间。退出登录,删除redis中的tocken 实现过程:springboot项目 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-start
深入理解token
rizon886的博客
02-10 4322
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token?(无状态token开始比较有用) 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? ...
DVWA的Token机制
m0_73896875的博客
07-11 182
Tocken的生成机制比较类似于Session ID,但是更加多样化,可以任意定制而不需要依赖于应用服务器本身的约束,甚至可以完整处理无状态请求,并且还能保持请求被验证。
cookie、session、token
weixin_47547541的博客
08-23 111
cookie、session、token
请教高手一个获取Tocken方式
weixin_44769393的博客
12-22 292
请教一下 下图中代码中是如何将Tocken获取到的 还望高手赐教!!!
Python使用接口的cookie和token及session鉴权方式
qq_41130705的博客
07-19 1934
前言:今天咱们来学习下使用Python来做cookie和token及session鉴权方式,我们将通过几个简单的例子来快速学习上手
curl携带tocken的post请求
最新发布
09-11
在使用`curl`命令行工具发送带有token的POST请求时,通常会将token放置在HTTP请求的头部(Header)中,用于身份验证。一个基本的命令示例如下: ```bash ...``` 这里的各个部分解释如下: - `-X POST`:指定请求类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值