Token认证策略

最新推荐文章于 2025-05-25 01:59:03 发布
最新推荐文章于 2025-05-25 01:59:03 发布
阅读量754 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 架构设计 文章标签: Java Ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40583490/article/details/96424355

一、传统模式

session做认证			就不过多介绍了

二、采用JWT

  JSON WBEB TOKENS实现Token

概念 :将用户的信息做成一个加密字符串传递给客户端,客户端访问时服务器验证token 确认身份

前端部分 1

	$.ajaxSetup({ //设置全局ajax的属性,如果属性被重写会覆盖
        cache: false,
        beforeSend: function (XHR) {
            XHR.setRequestHeader("Authorization", "Bearer " + Storage.getToken());// 这个就是 token,具体参数名可更改 Storage 是自定义的本地储存对象 (Local Storage)储存方式是 window.localStorage.setItem("Token", "123123"); 
        },
//下面是后台对token认证不通过的处理 401是没有登陆 403是没有权限
        statusCode: {
            400: function (r) {
                var errJson = r.responseJSON;
                location.href = "/no_operation?msg=" + errJson.message;
            }
            , 401: function () {
                var topWindow = AppHelper.getTopWindow();
                var dir = layui.setter.base.replace("layuiadmin/",layui.setter.dir);
                console.log(dir)
                topWindow.location.href = dir + "sys/user/login.html";
            }403: function () {
.
.
.
        }
});

后端部分(怕以后忘记 先记录一下Token概念)

  1. 生成一个 Token 发放给用户
    Token 包含3个部分:
    ·头部 储存两个信息 加密算法、声明类型(这里声明类型是 jwt)
    ·载荷 看心情
    ·签证 签名
    不同部分之间使用 . 隔开,这是JAVA定义的东西

  2. 验证Token 直接写到 filter 就完事

如何使用:
生成token:

Jwts.builder()
        .setSubject(subject)//设置主题 类似于key 自定义
        .setClaims(claims)//设置所搭载的数据  类型Map
        .setIssuedAt(new Date())//设置开始使用时间
        .setExpiration(expireDate)//设置到期时间
        .signWith(SignatureAlgorithm.HS256,SECRET_KEY)//设置加密类型和密钥
        .compact()  //return 的token字符串

解析token:

Jwt jwt=Jwts.parser()
        .setSigningKey(SECRET_KEY)//密钥
        .parse(token);//token字符串
//claims就是所搭载的数据        
Map<String,Object> claims=(Map<String, Object>) jwt.getBody();

下面放点资料截图:
在这里插入图片描述
在这里插入图片描述

  1. (写法很多 目前感觉就这个好) ↩︎

【前后端交互】token过期验证策略(express+axios)
qq_34838046的博客
10-16 1682
文章目录逻辑服务端保存tokentoken更新部分代码校验token校验中间件 逻辑 登录时,服务端生成token,保存并返回token。前端保存token 退出时,服务端删除服务端token。 发送请求时,前端携带token,服务端校验token并与保存的token对比。 校验token token未过期,正常返回。 token接近过期,服务端重新生成token并返回,前端更新tokentoken已过期,判断token与服务器保存的token是否相同。 若相同,则token正常过期,生成token,保
SpringBoot + jwt 详解+使用案例
zkcJava的博客
08-26 1万+
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案
记:解决创建jwt时Claims和subject之间的值被覆盖问题
zkcJava的博客
05-25 421
关于使用jjwt创建jwt时Claims和subject之间的一个小坑 在创建jwt过程中,如果前面已经设置了setSubject,后面再设置setClaims的时候,会将前面内置的subject内容覆盖掉,但是claims里面的内容可以正常显示;原因是在setClaims的方法里面,已经有setSubject,所以会将之前设置的内容覆盖掉,所以要注意使用setClaims这个方法的时候要将它移动到上面,避免覆盖。 例如 改之前代码: String token = Jwts.builder().set
基于token认证的JWT方案
凉茶冰
10-15 384
2014年的时候做移动APP开发,那时候的后端就是纯接口类型的服务。前后端进行安全校验及认证是通过token机制来做的。 基本思路: app提交用户名、密码进行登录 后端校验用户名密码,生成token返回给前端,有时也会保存token到用户表或者保存到全局Map中 toekn的生成规则一般是Base64(uid+(MD5(u_pwd+secret))) 前端拿到token之后,保存到lo...
关于Token安全策略的初步思考
ArroGance_X的博客
08-21 627
前言 若是谈起Token安全策略,无论大家对其研究深不深,但绝对多多少少都对其进行一定的接触。 他也是我们在开发之中,最令开发人员厌烦的一个步骤( 大家应该都有或多或少莫名其妙被 token 策略 阻挡住,并且对其根本的原因摸不着头脑 )。 ...
OAuth 2.0 协议原理与实现:token 生成策略
chunqingtai2922的博客
06-22 1991
OAuth2.0 协议定义了授权详细流程,并最终以 token 的形式作为用户授权的凭证下发给客户端,客户端后续可以带着 token 去请求资源服务器,获取 token 权限范围内的用户资源。 对于 token 的描述,OAuth 2.0 协议只是一笔带过的说它是一个字符串,用于表示特定的权...
token实现token超时策略示例
09-04
总的来说,双Token策略提供了一种灵活而安全的方式来处理RESTful应用的认证和授权。通过设置合理的Access Token和Refresh Token的超时策略,可以在保证安全性的同时,减少用户频繁登录的不便,提升用户体验。同时,...
Python源码-Web开发-实现Beareer模式的Token认证.zip
最新发布
05-25
3. 安全策略:设计Token认证机制时,安全性的考虑是非常重要的。开发者需要考虑如何安全地存储Token,防止泄露,并确保整个认证过程不易受到各种攻击。 4. 整合Web框架:将Token认证逻辑与Web框架(如Flask或Django...
hadoop中的token认证
hncscwc的博客
05-12 1548
周更快变成月更了,但还是要坚持,本文来聊聊hadoop中的token,涉及到的点如下图所示。【Hadoop为什么需要Token】hadoop最初的实现中并没有认证机制,这意味着存储在hadoop中的数据很容易泄露。后来,基于kerberos认证的安全特性被加入到hadoop中,但是基于kerberos的认证在使用过程中,会存在以下问题:过程比较复杂,认证过程中还需要涉及到...
token认证的实现流程图
命师
04-15 2963
操作机制:双Token主要包含了AccessToken (访问令牌) 和 RefreshToken (刷新令牌),它的出现就是为了解决单token的不足,所以才会引入双token的机制也就是 RefreshToken (刷新令牌),因为它可以延长实际的绘画时间,用户提供了一种安全的方式来去更新AccessToken,并且在必要的时候撤销特定用户的权限,而并不会影响有效的绘画内容。没有权限细分管理(单一的access token包含所有的授权信息,不易于对不同范文或者是力度的一个资源进行精细化的访问控制)
创建token令牌的算法示例
12-30
这是一个token的示例,众所周知,token是用于后台服务器认证浏览器的一种技术,它弥补了cookie对数据大小限制和安全性问题
简易Token认证系统实现指南(Spring Boot - Vue)
赫客的博客
07-11 1945
Token认证是一种安全机制,通常使用JSON Web Tokens (JWT) 来实现。服务器对用户凭证进行验证后,生成一个包含用户信息和有效期限的Token,随后客户端需要在每个请求中携带这个Token以验证用户身份。
JWT生成token策略及具体实现
干勾鱼的优快云博客
06-24 8666
JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。...
Token登录认证详解
tc979907461的博客
05-25 2万+
参考文章: Token 认证的来龙去脉 前后端分离使用 Token 登录解决方案 理解Cookie和Session机制 基于 Cookie/Session 的认证方案 Cookie Cookie的工作原理 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是。 cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cooki
Token相关内容简述
answer3lin的博客
01-10 8275
Token的应用 Token是一种标志用户登录,保持用户状态的一种认证方法,令牌(临时)是服务端生成的一串字符串,作为客户端进行请求的一个标识。但是和Session id不同,其是通过特殊手段生成的,不同的服务器对应token的生成是不同的。 简单token的组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制...
签发的用户认证token超时刷新策略
热门推荐
tomsun28
05-15 3万+
签发的用户认证token超时刷新策略 这个模块分离至上上上上一篇api权限管理系统与前后端分离实践,感觉那样太长了找不到重点,分离出来要好点。 对于登录的用户签发其对应的jwt,我们在jwt设置他的固定有效期时间,在有效期内用户携带jwt访问没问题,当过有效期后jwt失效,用户需要重新登录获取新的jwt。这个体验不太好,好的体验应该是:活跃的用户应该在无感知的情况下在jwt失效后获取到...
深入理解 Token:生成和校验过程详解
weixin_42279822的博客
03-21 9403
标题:深入理解 Token:生成和校验过程详解在网络应用中,Token 是一种常见的身份验证和授权机制,它通过加密技术来确保通信的安全性和用户身份的合法性。在本文中,我们将深入探讨 Token 的生成和校验过程,并提供详细的示例来帮助读者更好地理解。
从生成的token解析上传策略
weixin_34365417的博客
08-12 219
token 示例: JmTcjiVWsoRxql3OA2krgoW-Fu9bzBZZGCd2lXem:hnuOE5rHuQjyfTIBTH06IaFY0ME=:eyJzY29wZSI6ImF0ZXN0IiwiZGVhZGxpbmUiOjE1MDY5Mzg5NDF9 token 字符串分为三段,以“:”分割,base64解码第二个”:“后的...
Java JWT token认证详解及实战示例
Java实现基于token认证是一种现代的、安全性更高的用户身份验证机制,尤其适合分布式和微服务架构。相比于传统的用户名密码和基于cookie的session认证,基于token认证具有以下优势: 1. **跨域支持**:token通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

璐先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值