服务器验证——token

最新推荐文章于 2025-07-04 15:31:07 发布
原创 最新推荐文章于 2025-07-04 15:31:07 发布 · 9.1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

我们知道,http协议是无状态的,所以每次访问服务器的时候,都需要告诉服务器访问者的身份。在以前,我们常用Cookie+Session来完成服务器端验证。

具体过程为在客户端提交表单登录,服务器端通过验证之后,生成一个Session对象,存放用户登录信息,并将SessionID存放到Cookie中,通过Http响应发送到客户端。而客户端会在一定时间内保存cookie,此后的访问请求都会在请求头中带上Cookie的值,用于让服务器端验证,从而达到一次登录,后续不用验证的目的。

Session的缺点:

  • 当服务器访问量增加的时候,会存在很多Session,如果没有设置超时或者销毁的话,很容易造成服务器崩溃等状况。
  • 当服务端为集群或者分布式的时候,用户登陆其中一台服务器,会将session保存到该服务器的内存中,但是当用户的访问到其他服务器时,会无法访问,通常采用缓存一致性技术来保证可以共享,或者采用第三方缓存来保存session,不方便。

先来看看token的介绍:

Json Web Token:简称JWT,俗称token,它是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT传递的信息可以被验证和信任,因为它是数字签名的。JWTs可以使用一个秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对来签名。

JWT 的三个部分依次如下:

Header(头部) Payload(负载) Signature(签名),写成一行,就是下面的样子。

Header.Payload.Signature

下面依次介绍这三个部分。

1. Header  头部

Header 部分是一个 JSON 对象,描述 JWT 的元数据,通常是下面的样子。

{ "alg": "HS256", "typ": "JWT" }

上面代码中,alg属性表示签名的算法(algorithm),默认是 HMAC SHA256(写成 HS256);typ属性表示这个令牌(token)的类型(type),JWT 令牌统一写为JWT。

最后,将上面的 JSON 对象使用 Base64URL 算法转成字符串。

2. Payload  有效载荷

Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据。JWT 规定了7个官方字段,供选用。

iss (issuer):签发人

exp (expiration time):过期时间

sub (subject):主题

aud (audience):受众

nbf (Not Before):生效时间

iat (Issued At):签发时间

jti (JWT ID):编号

除了官方字段,你还可以在这个部分定义私有字段,下面就是一个例子。

{ "sub": "1234567890", "name": "sssssss", "admin": true }

注意,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

3. Signature   签名

jwt的第三部分是一个签证信息,这个签证信息由三部分组成:

header (base64后的)

payload (base64后的)

secret(这个是服务器端自定义的一个秘钥)

这个部分需要base64加密后的header和base64加密后的payload使用连接组成的字符串,以及秘钥secret构成一个组合,然后通过header中声明的加密方式对这个组合进行加密,然后就构成了jwt的第三部分。

最后我们会得到完整的JWT:字符串1.字符串2.字符串3;

再来看看token是怎么做的:

1、客户端通过用户名和密码登录服务器

2、服务端对客户端身份进行验证;

3、服务端对该用户生成Token,返回给客户端;

4、客户端将Token保存到本地浏览器,一般保存到cookie中;

5、客户端发起请求,需要携带该Token;

6、服务端收到请求后,首先验证Token,之后返回数据。

服务端不需要保存Token,只需要对Token中携带的信息进行验证即可。无论客户端访问后台的那台服务器,只要可以通过用户信息的验证即可。

本人碰到的常用做法是用户登录验证通过后,将用户的uuid保存在JWT的有效载荷中并返回,之后的请求只要通过解析token获得用户的uuid,就可以对用户进行之后的操作。

防干扰:生成token的过程中,ua的充作干扰码。没有相同的ua,就无法解析生成的token字符串。如果客户端是混合开发的模式,生成token和使用token的代理可能不同(比如一个是h5,一个是原生),ua就会不同,token就无法成功的使用。

防过期(刷新):Token管理者负责根据用户的数据生成token和摘要,摘要用来给APP端刷新token用

 

 

 

服务器身份验证和授权
weixin_44365748的博客
09-28 1006
服务器访问授权
servlet服务器验证
Mars学IT
04-27 1085
编程:编写服务器验证的程序 要求:(1)编写表单界面如下图: (2)编写servlet程序对用户所输入的内容进行验证,要求用户名不能为空,密码与确认密码不能为空且长度在4-10之间,密码与确认密码相同。如果用户输入的条件符合要求,则请求转发到success.jsp,否则请求转发到error.jsp (3)success.jsp用于输出用户所输入的用户名及密码。 (4)erro
token验证
m0_64990797的博客
04-21 3917
为什么使用token验证 在web领域基于token的身份验证随处可变,在大多说使用web API的互联网公司中,tokens是多用户下处理认证的最佳方式 一下几点特性会让你在程序中使用基于Token 的身份验证 无状态、可扩展 支持移动设备 跨程序调用 安全 那些使用基于Token的身份验证的大佬们 大部分你见到过的API和WEB应用都是用tokens,列如facebook, twitter, google+, github等 Token的起源 在介绍基于token的身份验证的原理与优势之前,不
什么是服务器,它如何工作,以及它的不同类型
最新发布
IDC_sxy的博客
07-04 951
服务器Server)是一种专门的计算机系统,其设计目的是为了提供服务、资源或数据给其他计算机(通常称为客户端)通过网络请求。服务器在计算机网络中扮演着核心角色,无论是在企业数据中心、云计算环境,还是在家庭网络中,服务器都是支撑各类应用和服务的关键基础设施。
服务器验证
deng1178182855的博客
08-07 1827
第一步: 在MAVEN中加入依赖包  第二部: (1)     在表示层(controller) 中获取页面数据对象进行验证加注解@Valid (2)     在该方法中传参数Errors Errors.hasErrors()为TRUE的话表示未通过验证                                       如图:                  
服务器验证
Java世界中的.Net笨鸟
10-12 208
using System; using System.Text.RegularExpressions; namespace BMS.Common {     public class JXType     {         /// <summary></summary>         /// 判断是否是整数         ///         ///      ...
实现登录验证——token&redis
qq_43524048的博客
11-19 4830
基于token的登录验证基于token的登录验证实现1. Redis数据库 存储token2. `JWT` 产生token3. 实现登录验证基于Session的登录验证 基于token的登录验证 token(令牌) 原理: 登录流程: 访问流程: 实现 下述代码的实现基于springboot 用户数据主要存储在mysql数据库的user表中 dao层使用了springdata jpa 1. Redis数据库 存储token 登录的信息仅需一个key-value,如果直接
php 公众号token认证,微信公众号开发——Token认证
weixin_35891142的博客
03-24 856
公众号开发第一步就是绑定TokenToken认证相当于把我们的公众号和服务器关联起来,只有Token认证成功了我们的服务器才能接收到来自公众号的消息。微信官方回调的地址必须能在公网上访问,后端服务的端口要是80。准备Sunny-Ngrok使用Sunny-Ngrok可以让微信官方平台调用你本地的接口,也可以把你本地搭建成服务器。在这里不做过多的介绍。ngrok官网上有详细的教程。Sunny-Ngr...
android token机制_Android网络实战篇——Token添加、过期判定以及处理(全局自动刷新)...
weixin_34997006的博客
02-22 1975
Android日常开发中网络请求必不可少,一般来说每一个接口API都会设置Token,用来验证和做唯一识别,Token都会设置一个有效时间,那么Token失效了怎么办?怎样来更新Token?首先怎样来判断Token失效呢?与后端约定,保存到本地,约定时间到了就判定Token已过期后端返回HTTP Code 401,客户端接到401后判定Token已过期后端返回与客户端约定的自定义Code,客户端接...
Python接口自动化 —— token登录(详解)_token接口
m0_61068088的博客
04-29 1521
Token是服务端端生成的一串字符串,作为客户端进行请求时辨别客户身份的的一个令牌。当用户第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。2、使用Token的目的:Token的目的是为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
HTTP学习笔记——token的原理和机制
xdk2166的博客
08-12 7937
HTTP学习笔记——token的原理,机制token的原理,机制什么是token为什么要使用token如何使用tokentoken的储存token的加密结语 token的原理,机制 什么是token token的意思是“令牌”,更通俗点说其实就是一种通信双方之间的暗号,大家应该都看过谍战片吧,里面地下党接头都免不了说一堆只有他们自己明白,而别人却一头雾水的废话。token其实也是一样的,是当客户端第一次发起请求时,服务器通过签名生成的一连串字符串,这个字符串只有服务器自己明白什么意思,别的人拿到也是一头雾水
ssh和alias快速登录远程机器
weixin_30872789的博客
02-08 299
Linux:本地机器local登录远程机器remote 在local机器下的~/.ssh文件夹生成公钥和密钥: ssh-keygen -t rsa -P '' 首先确保remote机器中存在~/.ssh文件夹;不存在创建即可. 创建好.ssh文件夹后,将local的公钥文件.id_rsa.pub通过scp拷贝到远程机器remote中(username和ip是remo...
token发布与验证(服务端)
sayhitoloverOvO的博客
10-14 473
将所有的认证和授权配进行整合 package com.jt.resource.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.oauth2.provider.token.TokenStore; import org.springframew
MVC学习系列10---验证系列之服务器验证
a0103122120的博客
07-20 221
这篇文章,我将会说到,使用数据注解API来进行服务端验证。ASP.NET MVC 框架在执行的时候,验证所有传递到控制器的数据,如果验证失败就把错误消息,填充到ModelState对象中,并且把这个对象传递给控制器,然后控制器中的方法,根据Modelstate的状态来判断,是否验证失败还是验证通过。 在这里,我将会使用两种方法来验证数据的合法性,一个是手动添加错误消...
Token验证怎么验证
大连赵哥的博客
02-25 2235
Token验证怎么验证
--服务器验证
@ 维生素
04-12 183
--服务器验证1.Action中,准备错误信息    addFiledError("fileName","message");        如何将错误信息国际化?    addFiledError("fileName",getText("login.failed"));    2.Jsp中,显示错误信息    //显示指定的错误消息    <s:fielderror fieldName=...
服务器登陆验证
hwbwdm的专栏
09-07 195
import java.io.IOException; import java.rmi.RemoteException; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLExcepti
服务端验证
weixin_30455023的博客
08-13 151
服务端验证代码: using System; using System.Collections.Generic; using System.Linq; using System.Text; namespace Common.Extensions { using System.Text.RegularExpressions; /// <summary...
话说客户端与服务器验证
lobster
04-06 703
  今天无意当中看了一位同事写的关于登陆页面的验证,由此引发了我对客户端与服务端验证的一点想法,只是个人一点粗略的见解: 一、客户端验证:对天客户端的验证一般都是通过JS来做的,像下面的这样一段代码 /** * 填写用户基本信息 */ $(document).ready(function() { $('#userid').focus(); // 用户名规则 ...
验证token403
03-31
### 关于Django中的CSRF Token验证导致403 Forbidden错误的原因 当在Django框架下执行POST请求时,如果未正确处理CSRF(跨站请求伪造)保护机制,则可能会触发`403 Forbidden`错误。此错误表明服务器拒绝了客户端的请求,因为所提供的CSRF令牌不匹配或缺失[^1]。 #### 解决方案一:确保模板中包含 `{% csrf_token %}` 标签 对于基于HTML表单的传统提交方式,在任何涉及POST方法的表单中都应嵌入Django提供的`{% csrf_token %}`标签。该标签会在页面渲染过程中自动生成隐藏字段并填充有效的CSRF令牌值[^2]。 ```html <form method="post"> {% csrf_token %} <!-- 其他表单项 --> </form> ``` #### 解决方案二:Ajax 请求中传递 CSRF Token 如果是通过JavaScript发起异步AJAX调用而非标准表单提交,则需手动设置HTTP头部携带CSRF令牌。以下是具体实现步骤: 1. **获取CSRF Token**: 可以从DOM元素或者Cookie中读取当前用户的CSRF令牌。 ```javascript function getCookie(name) { let cookieValue = null; if (document.cookie && document.cookie !== '') { const cookies = document.cookie.split(';'); for (let i = 0; i < cookies.length; i++) { const cookie = cookies[i].trim(); // Does this cookie string begin with the name we want? if (cookie.substring(0, name.length + 1) === (name + '=')) { cookieValue = decodeURIComponent(cookie.substring(name.length + 1)); break; } } } return cookieValue; } const csrftoken = getCookie('csrftoken'); // 获取CSRF Token ``` 2. **配置 AJAX 请求头**: 使用jQuery库为例,可以通过如下代码全局设定每次AJAX请求自动附加CSRF令牌到指定头部位置。 ```javascript $.ajaxSetup({ beforeSend: function(xhr, settings) { if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) { xhr.setRequestHeader("X-CSRFToken", csrftoken); } } }); ``` 上述操作能够有效防止由于缺少必要的安全凭证而导致的服务端拒绝响应问题[^3]。 #### 解决方案三:禁用特定视图上的CSRF防护 虽然通常建议保留CSRF防御措施来保障应用安全性,但在某些特殊场景下确实有必要绕过这一层校验逻辑。此时可以利用装饰器 `@csrf_exempt` 来豁免个别函数级别的检查需求。 注意这种方式仅适用于那些完全不需要考虑恶意攻击风险的功能模块上,并且应当谨慎评估潜在后果后再做决定。 ```python from django.views.decorators.csrf import csrf_exempt @csrf_exempt def my_view(request): ... ``` --- ### 总结 综上所述,针对Django项目里发生的因CSRF token不符而引发的403错误现象,主要可以从三个方面着手修正——确认前端已正确定义含CSRF标记的表单结构;调整JS脚本以便恰当传输对应参数至后端接口处接受检验;以及最后作为备选手段临时关闭部分区域内的防伪功能开关。以上任一种途径均能帮助开发者妥善应对此类状况的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值