前后端鉴权之JWT、手机App的Token

最新推荐文章于 2024-03-30 13:57:54 发布
最新推荐文章于 2024-03-30 13:57:54 发布
阅读量1k 收藏 1
点赞数
分类专栏: 接口测试 文章标签: python jwt session cookie token
本文为博主原创,未经许可严禁转载。
本文链接:https://blog.csdn.net/zyooooxie/article/details/111313034
版权

本文为博主原创,未经许可严禁转载。
本文链接:https://blog.csdn.net/zyooooxie/article/details/111313034

之前分享过 session-cookie 的认证,这次来分享下 我遇到的Token认证。

这是我写的 接口测试的category ,有兴趣 可以看看;

个人博客:https://blog.csdn.net/zyooooxie

JSON Web Token

最近测试某个需求,这个系统鉴权用到了JWT+Session;这儿来说下 JWT。

说下认证流程:

  1. 客户端使用 用户名和密码 发送post请求;

在这里插入图片描述

  1. 服务端收到请求,去验证用户名与密码。验证成功后,服务端使用私钥 创建一个jwt,再把这个jwt发送给客户端;

在这里插入图片描述

  1. 客户端收到 这个jwt后,把它存储起来,放在 Cookie 里。后续 客户端每次向服务端请求资源的时候 带着这个jwt;

在这里插入图片描述

  1. 服务端收到请求,然后去验证 这个jwt的合法性;如果验证成功,就向客户端返回请求的数据 ,如果不成功 返回401错误码,鉴权失败。

在这里插入图片描述

实战

1. requests.session()


gl_login_url = 'zyooooxie/api/user/login/'
gl_project_url = 'zyooooxie/api/project/'


def session_login_project():
    print('发起 登录请求')
    s = requests.session()
    res = s.post(url=gl_login_url, data={'username': 'zyooooxie', 'password': 'csdn'})

    print('看下 响应头:')
    print(res.headers)
    print(res.headers['Set-Cookie'])

    print('看下 请求头:')
    req = res.request
    print(req.headers)

    print('发起 第二个请求')

    res_0 = s.get(url=gl_project_url)
    print('第二个请求,响应头:')
    print(res_0.headers)
    req_0 = res_0.request
    print('第二个请求,请求头:')
    print(req_0.headers)

在这里插入图片描述

2. get()参数cookies 传 RequestsCookieJar()

使用 第一步 方法执行后的 jwt和SESSION值


def cookie_project():
    jar = RequestsCookieJar()
    jar.set('jwt', 'zyooooxie')
    jar.set('LANDSAT:SESSION:', 'zyooooxie')

    res_1 = requests.get(url=gl_project_url, cookies=jar)
    print('单独 请求,响应头:')
    print(res_1.headers)
    req_1 = res_1.request
    print('单独 请求,请求头:')
    print(req_1.headers)

在这里插入图片描述

3. 正则提取 登录接口的jwt和SESSION值, get()参数cookies 传 RequestsCookieJar()


def cookie_login_project():
    res = requests.post(url=gl_login_url, data={'username': 'zyooooxie', 'password': 'csdn'})
    print('第一次 登录请求,响应头:')
    print(res.headers)
    sc = res.headers['Set-Cookie']
    print(sc, type(sc))

    jwt_re = r'jwt=(\w.+?);'
    jwt_str = re.search(jwt_re, sc).group(1)
    session_re = r'LANDSAT:SESSION:=(\w.+?);'
    session_str = re.search(session_re, sc).group(1)

    req = res.request
    print('第一次 登录请求,请求头', req.headers)

    jar = RequestsCookieJar()
    jar.set('jwt', jwt_str)
    jar.set('LANDSAT:SESSION:', session_str)

    res_2 = requests.get(url=gl_project_url, cookies=jar)
    print('请求,响应头:')
    print(res_2.headers)
    req_2 = res_2.request
    print('请求,请求头:')
    print(req_2.headers)

在这里插入图片描述

这一次,打印的:

在这里插入图片描述

4. dict_from_cookiejar处理 响应的cookies,拿到登录接口的jwt和SESSION值, get()参数cookies 传 RequestsCookieJar()


def dict_cookie_login_project():
    res = requests.post(url=gl_login_url, data={'username': 'zyooooxie', 'password': 'csdn'})
    print('第1次 登录请求,响应头:')
    res_cookie = res.cookies
    print(res_cookie)

    cookie_dict = dict_from_cookiejar(res_cookie)
    print(cookie_dict)

    # # 下面2种 都可以
    # jar = RequestsCookieJar()
    # jar.set('jwt', cookie_dict['jwt'])
    # jar.set('LANDSAT:SESSION:', cookie_dict['LANDSAT:SESSION:'])
    # res_3 = requests.get(url=gl_project_url, cookies=jar)

    res_3 = requests.get(url=gl_project_url, cookies=cookie_dict)

    print('第2次 请求,响应头:')
    print(res_3.headers)
    req_3 = res_3.request
    print('第2次 请求,请求头:')
    print(req_3.headers)

在这里插入图片描述

JWT解码后 PAYLOAD出现秘密数据

JWT 不加密的情况下,不能将秘密数据写入 JWT;
但我还真碰上了;

在这里插入图片描述

某手机App的Token

先说下流程:

  1. App端发起登录请求,发送加密的用户名和密码到服务器;
  2. 服务器验证用户名和密码,如果成功,生成一份Token【会有一个有效期】,存储到服务器中,同时将此Token返回给App端;
  3. App端将此Token保存到本地,以后App请求时,凡是需要验证的地方都要带上该Token,然后服务器端验证Token和有效期,成功返回所需要的结果,失败返回错误信息,重新登录。

拿我之前公司的App来分享下:

在这里插入图片描述

在这里插入图片描述

翻找出来 以前的代码 :

在这里插入图片描述

我现在公司 测过 某App,走得是 比较传统的 cookie + session, 我把这部分 加到 session-cookie 的认证

交流技术 欢迎+QQ 153132336 zy
个人博客 https://blog.csdn.net/zyooooxie

zyooooxie
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
APP接口设计安全问题-app接口鉴权
奔跑的小车车博客专栏
12-10 9339
我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了 系统无用户登录 新手问题(从来没做过服务端开发),如果可以,给几个主流方法的链接,多谢 直观总结方法二: 1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。 有点:防止了服务器端api被随意
JWT Token生成及验证
02-11
http://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.html
ab压测命令
fuck487的博客
12-16 408
命令如下 ./ab.exe -n 1000 -c 100 -T 'application/json; charset=utf-8' http://127.0.0.1:8080/xxx -n 请求数 -c 模拟用户数 -T 请求头
app java token_APP用户登录解决方案——JWT(java web token生成Token
weixin_31703753的博客
02-12 514
什么是JSON Web Token?JSON Web Token(JWT)是一个开放式标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密(使用HMAC算法)或使用RSA的公钥/私钥对对JWT进行签名。为什么使用JWT?随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成...
App (客户端)登录接口设计Token探究(一)
yundashi168.com
12-02 6395
Token 的的特性: 通过随机算法生成(Hash),里面包含这个 Token 对应用户的基本信息有生命周期,(TODO)可获得剩余的生命周期可延续生命周期(TODO)可主动销毁 先看效果图: 基本符合规范的验证token的接口: { code: 100, message: "成功", content:  { expire: 116
利用jwt实现token生成
weixin_43728298的博客
09-05 178
jwt相关依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> 工具类 package com.heima.utils.common; import io.jsonwebtoken.*; import javax.crypto.SecretKey; import javax.cry
Node.js Koa2使用JWT进行鉴权的方法示例
10-18
前后端分离的开发模式中,API的安全性显得尤为重要。本文将深入探讨如何在Node.js Koa2框架下利用JSON Web TokenJWT)进行鉴权JWT是一种标准,用于在两个不同的系统之间安全地传递信息,其特点是轻量级、自...
一个token的源码php-jwt
01-13
php-jwt是一个非常好用的token机制,它配合app可实现安全性的用户鉴权问题,但是token都有一个过期时间,如果过期了,如何让用户无感知进行刷新呢?其实这个主要是在前端进行判断,如果token过期,后端肯定会给前端...
基于springboot+oauth2.0+jwtToken鉴权认证开发的后台接口,整套架构采用restful风格,车牌识别,阿里云消息推送,短信接口等
04-04
内容只为接口开发,配合前端和移动app调用使用,不包含html页面,基于springboot+oauth2.0+jwttoken鉴权(内有怎么使用redistoken和数据库token注释)+restful风格+阿里短信+阿里消息推送+车牌识别等。该项目为工作...
sanic-jwt:Sanic的身份验证,JWT和权限范围
04-30
安装: pip install sanic-jwt初始化: from sanic import Sanicfrom sanic_jwt import Initializedef my_authenticate ( request , * args , ** kwargs ): ...app = Sanic ()Initialize ( app , authenticate = my...
jwt
weixin_45180770的博客
09-07 159
JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “2018-08-08 20:15...
android app token过期退出登录_nodejs实现jwt token认证登录
weixin_39922534的博客
01-16 335
在本文中采用koa2框架编写接口的方式实现一遍jwt token登录认证的流程,主要涉及的知识点有如何生成登录校验码,koa2如何配置session以及前后端token的处理.githup项目地址session配置在koa2项目中安装一个依赖包 koa-session 能够方便的操作session.配置如下:const session = require('koa-session');...
JWT在Java和Android中的使用,Android-App的设计架构经验谈
最新发布
2401_83946722的博客
03-30 1665
我见过很多技术leader在面试的时候,遇到处于迷茫期的大龄程序员,比面试官年龄都大。这些人有一些共同特征:可能工作了7、8年,还是每天重复给业务部门写代码,工作内容的重复性比较高,没有什么技术含量的工作。问到这些人的职业规划时,他们也没有太多想法。其实30岁到40岁是一个人职业发展的黄金阶段,一定要在业务范围内的扩张,技术广度和深度提升上有自己的计划,才有助于在职业发展上有持续的发展路径,而不至于停滞不前。不断奔跑,你就知道学习的意义所在!
App后台开发运维和架构实践学习总结(10)——基于Java-JWT前后端token认证实战使用详解
科技D人生
04-14 7257
一、什么是JWT?了解JWT,认知JWT 首先jwt其实是三个英语单词JSON Web Token的缩写。通过全名你可能就有一个基本的认知了。token一般都是用来认证的,比如我们系统中常用的用户登录token可以用来认证该用户是否登录jwt也是经常作为一种安全的token使用。JWT的定义:  JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(...
webapp用户身份认证方案 JSON WEB TOKEN 实现
liao1990的专栏
07-24 1134
webapp用户身份认证方案 JSON WEB TOKEN 实现Deme示例,Java版 本项目依赖于下面jar包: nimbus-jose-jwt-4.13.1.jar (一款开源的成熟的JSON WEB TOKEN 解决方法,本仓库的代码是对其的进一步封装) json-smart-2.0-RC2.jar和asm-1.0-RC1.jar (依赖jar包,主要用于JSONObject序列化)...
基于JWTtoken认证实现登录鉴权接口
andwey的博客
06-10 2595
一、JWT简介 1、JWT的全称是JSON WEB TOKEN 基于token进行身份验证的方案; 是一个字符串,由hearder、payload、signature组成; 具备安全、自包含、紧揍等特点。 2、JWT优点 安全性高,防止token被伪造和篡改; 自包含,减少存储的开销; 跨语言,支持多种语言的实现; 支持过期,发布者校验。 3、不足 消息体可以被base64解密成明文; 不适合存放大量信息; 无法作废未过期的JWT; 二、流程图 三、具体实现 1、引..
使用Token作为凭证,从App免登陆跳转到Web是否足够安全?
每天积累一点,一年后你会发现,自己变化很大
05-24 4220
我们有一个App,可以通过用户名密码登录我们的服务器。 现在我们有一个需求,就是从app里面打开网站的一个链接。这个链接是需要登录才能打开的。由于我们的app已经登录了服务器,因此我们想从app里面打开这个链接时,不再让用户又登录一次。 我们参考了OAuth机制做了下面的方案,但是不知道: 是否够安全?把认证和授权分开来是否过度设计?这个方案如果用在客户端上,也就是说客户端获得acces
jwt token 过期刷新_替换JWT,移动APP保持用户登录的改进方案
weixin_40004081的博客
12-03 3484
一 面临问题当前移动app最常见的保持登录的方案就是:持续刷新的JWT(json web token)方案。即用户登录后,客户端获得JWT,此后不断刷新或是过期后刷新token。这个方案使用得十分广泛,几乎成了事实标准。但并不安全,有以下几个问题:1,JWT 密钥管理问题JWT 的安全的基石是保证秘钥(secret key)的安全,因为一旦秘钥泄露,拥有秘钥的人可以伪造所有用户。这给管理带来了麻烦...
AB 压测工具命令
cyt
03-19 403
-n 即requests,用于指定压力测试总共的执行次数。 -c 即concurrency,用于指定的并发数。 -t 即timelimit,等待响应的最大时间(单位:秒)。 -b 即windowsize,TCP发送/接收的缓冲大小(单位:字节)。 -p 即postfile,发送POST请求时需要上传的文件,此外还必须设置-T参数。 -u 即putfile,发送PUT请求时需要上传的文件,此外还必须设置-T参数。 -T 即content-type,用于设置Content-Type请求头信息,例如:applic
tornado如何实现app和web同时token鉴权
03-23
Tornado可以通过使用JWT(JSON Web Token)来实现同时对App和Web进行Token鉴权JWT是一种基于JSON的开放标准(RFC 7519),用于在网络上安全地传输信息。它由三部分组成:Header、Payload和Signature。其中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值