Spring-Boot-13-Token

已于 2022-04-24 10:37:19 修改
阅读量977 收藏 1
点赞数
分类专栏: Spring Boot 文章标签: spring boot
于 2022-04-22 08:58:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44202160/article/details/124336964
版权

Spring Token

  1. Token是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回Token给前端。前端可以在每次请求的时候带上Token证明自己的合法地位。

1. 为什么要使用Token?

  1. Token完全由应用管理,所以可以避开同源策略。
  2. Token可以避免CSRF攻击
  3. Token可以是无状态的,可以在多个服务间共享(也就是前端请求的时候带上Token来证明自己的合法身份)

2. Token的时效性讨论

  1. 根本问题:如何让用户在操作过程中感觉不到token失效的问题

2.1. 解决方案一

  1. 服务器端保存Token状态,每一次操作都会刷新token的过期时间(Session的实现策略)
    1. 问题:前后端分离的部分会导致请求量过大
    2. 如果持久化:更大的代价
  2. 我们为了提升效率会将Token的过期时间保存在环境或者内存中。

2.2. 解决方案二

  1. 使用Refresh Token的策略,避免频繁的读写
  2. 一旦Token过期,前端使用一个Refresh Token申请一个新的Token,我们只需要对于新的Token进行有效性检查即可

2.3. 时序图表示法



3. 什么是无状态Token

  1. 如果我们把所有状态信息都附加在Token上,服务器就可以不保存。
  2. 签名有效性的检验:
    1. 一方签发,另一方检验:使用非对称加密算法
    2. 一方签发,一方检验:(同一方):使用对称加密算法
    3. 对称加密算法要远远快于非对称加密算法

3.1. 对称加密算法

  1. 加密
  2. 还原加密内容
  3. 不需要解密,摘要(散列算法会很快)么指定密码的散列算法,HMAC

3.2. 前端不同情况的不同操作

  1. 在前端可控的情况下(比如前端和服务端在同一个项目组内),可以协商:前端一但注销成功,就丢掉本地保存(比如保存在内存、LocalStorage 等)的 Token 和 Refresh Token。基于这样的约定,服务器就可以假设收到的 Token 一定是没注销的(因为注销之后前端就不会再使用了)。
  2. 如果前端不可控的情况,仍然可以进行上面的假设,但是这种情况下,需要尽量缩短 Token 的有效期,而且必须在用户主动注销的情况下让 Refresh Token 无效。这个操作存在一定的安全漏洞,因为用户会认为已经注销了,实际上在较短的一段时间内并没有注销。如果应用设计中,这点漏洞并不会造成什么损失,那采用这种策略就是可行的。

3.3. 注意点

  1. Refresh Token 有效时间较长,所以它应该在服务器端有状态,以增强安全性,确保用户注销时可控
  2. 应该考虑使用二次认证来增强敏感操作的安全性

3.4. 分离认证服务

  1. 当 Token 无状态之后,单点登录就变得容易了。前端拿到一个有效的 Token,它就可以在任何同一体系的服务上认证通过——只要它们使用同样的密钥和算法来认证 Token 的有效性。


  1. 可见,虽然认证和业务分离了,实际即并没产生多大的差异。当然,这是建立在认证服务器信任业务服务器的前提下,因为认证服务器产生 Token 的密钥和业务服务器认证 Token 的密钥和算法相同。换句话说,业务服务器同样可以创建有效的 Token。

3.5. 不受信的业务服务器

  1. 遇到不受信的业务服务器时,很容易想到的办法是使用不同的密钥。认证服务器使用密钥1签发,业务服务器使用密钥2验证——这是典型非对称加密签名的应用场景。
  2. 认证服务器自己使用私钥对 Token 签名,公开公钥。信任这个认证服务器的业务服务器保存公钥,用于验证签名。幸好,JWT 不仅可以使用 HMAC 签名,也可以使用 RSA(一种非对称加密算法)签名。
  3. 不过,当业务服务器已经不受信任的时候,多个业务服务器之间使用相同的 Token 对用户来说是不安全的。因为任何一个服务器拿到 Token 都可以仿冒用户去另一个服务器处理业务……悲剧随时可能发生。
  4. 为了防止这种情况发生,就需要在认证服务器产生 Token 的时候,把使用该 Token 的业务服务器的信息记录在 Token 中,这样当另一个业务服务器拿到这个 Token 的时候,发现它并不是自己应该验证的 Token,就可以直接拒绝。
  5. 现在,认证服务器不信任业务服务器,业务服务器相互也不信任,但前端是信任这些服务器的——如果前端不信任,就不会拿 Token 去请求验证。那么为什么会信任?可能是因为这些是同一家公司或者同一个项目中提供的若干服务构成的服务体系。
  6. 但是,前端信任不代表用户信任。如果 Token 不没有携带用户隐私(比如姓名),那么用户不会关心信任问题。但如果 Token 含有用户隐私的时候,用户得关心信任问题了。这时候认证服务就不得不再啰嗦一些,当用户请求 Token 的时候,问上一句,你真的要授权给某某某业务服务吗?而这个"某某某",用户怎么知道它是不是真的"某某某"呢?用户当然不知道,甚至认证服务也不知道,因为公钥已经公开了,任何一个业务都可以声明自己是"某某某"。
  7. 为了得到用户的信任,认证服务就不得不帮助用户来甄别业务服务。所以,认证服器决定不公开公钥,而是要求业务服务先申请注册并通过审核。只有通过审核的业务服务器才能得到认证服务为它创建的,仅供它使用的公钥。如果该业务服务泄漏公钥带来风险,由该业务服务自行承担。现在认证服务可以清楚的告诉用户,"某某某"服务是什么了。如果用户还是不够信任,认证服务甚至可以问,某某某业务服务需要请求 A、B、C 三项个人数据,其中 A 是必须的,不然它不工作,是否允许授权?如果你授权,我就把你授权的几项数据加密放在 Token 中……
  8. 废话了这么多,有没有似曾相识……对了,这类似开放式 API 的认证过程。开发式 API 多采用 OAuth 认证,而关于 OAuth 的探讨资源非常丰富,这里就不深究了。

4. Token结合Spring的使用

  1. 我们可以选择将token放置在body或者header(推荐)中发送请求
  2. 实现上重点看参考二

5. 参考

  1. 深入理解token
  2. SpringBoot整合token实现登录认证
【三】springboot整合token
weixin_56995925的博客
09-03 1万+
springboot整合token
SpringBoot框架集成token实现登录校验功能(APP)
Snow、杨
04-18 1万+
简介 公司新项目,需要做移动端(Android和IOS),登录模块,两个移动端人员提出用token来校验登录状态,一脸懵懵的,没做过,对于token的基本定义都模棱两可,然后查资料查查查,最终OK完成,写篇博客记录一下 思路: 1、基于session登录 基于session的登录(有回话状态),用户携带账号密码发送请求向服务器,服务器进行判断,成功后将用户信息放入session,用户发送请...
springBoot中不添加依赖 , 手动生成一个token ,并校验token (使用简单 , 但是安全会低一点)
最新发布
qq_45089709的博客
03-18 537
Spring Boot 里,即便不添加额外依赖,也能手动生成和校验 Token。下面以简单的基于时间戳和密钥的方式来生成和校验 Token 为例,介绍具体实现步骤。
深入了解Token认证的来龙去脉
zyh568879280的博客
02-15 541
转载至:https://blog.youkuaiyun.com/niugang0920/article/details/80615137 Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。     不久前,我在前后端分离实践中提到了基于 Token 的认证,现在我...
springboot中使用token
热门推荐
Cidaren的博客
07-15 1万+
1. pom.xml文件中添加依赖 <!-- 引入操作JWT的相关依赖 --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.11.0</version> </dependency> 除此依赖之外还需要添加springbootweb的起步依赖,以及使用的数据库依赖 2. 定
第23章 SpringBoot集成Token
richieandndsc的博客
11-07 1689
SpringBoot学习笔记
SpringBoot基于token的请求验证
一路向北的博客
09-09 5105
SpringBoot实现基于Token的请求验证
shrio-with-jwt-spring-boot-starter:spring-boot环境下基于JWT Token的无状态shiro权限验证框架
05-14
如需了解本框架的设计细节,请阅读:这篇文章 简介 用户权限管理是每个信息系统最基本的需求,对基于 Java 的项目来说,最常用的权限管理框架就是大名鼎鼎的 Apache Shiro。Apache Shiro 功能非常强大,使用广泛,...
spring-boot-jwt-sample:spring-boot-jwt-sample
05-16
spring-boot-jwt-sample spring boot整合jwt完成接口授权认证 1、注册用户(POST) { "id": 1, "userName": "admin", "loginName": "admin", "password": "admin", "roles": "admin", "email": "admin@ameizi...
spring-ai 下载不了依赖spring-ai-openai-spring-boot-starter
m0_67391521的博客
02-15 952
【代码】spring-ai 下载不了依赖spring-ai-openai-spring-boot-starter。
spring-boot-webflux-jjwt:示例Spring Boot和带有Spring Security和JWT的WebFlux(响应式Web),用于令牌认证和授权
01-30
该项目是关于如何在Spring Boot应用中集成Spring Security和JWT(JSON Web Tokens)来实现响应式Web(WebFlux)的认证和授权。Spring Boot简化了Java应用的开发,而Spring Security则提供了强大的安全框架,JWT则是...
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
SpringBoot实现基于token的登录验证
weixin_42408447的博客
06-11 9974
一.SpringBoot实现基于token的登录验证 基于token的登录验证实现原理:客户端通过用户名和密码调用登录接口,当验证数据库中存在该用户后,将用户的信息按照token的生成规则,生成一个字符串token,返回给客户端,客户端在调用其他接口的时候,需要在请求头上带上token,来验证登录信息。 二.Demo实现代码如下: (因为除登录接口外,其他接口每次都需要验证token信息,所以将验证token信息的部分放在了过滤器里面) 1.导入JWT(JSON WEB TOKEN)依赖 <depen
SpringBoot实现token登录
m0_52012606的博客
03-23 9630
在进行登录验证时,我们需要session或cookie会话进行验证,客户端包括浏览器、app、微信小程序、公众号,只有浏览器有session和cookie机制,当我们脱离浏览器用app等向服务端发请求就没有session和cookie机制,这时我们就需要使用token令牌进行登录验证。...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 1万+
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
SpringBoot集成Token
少年闰土
03-14 1298
在项目开发中,Token 是常见且重要的一个功能,目前对于 Token 设计有很多成熟的方案;比如使用 Redis 存储管理 Token,不过这种方式需要而额外集成 Redis 服务,虽然 Redis 查询效率很高,但是对于普通项目来说,还是增加了开发难度;
SpringBoot使用token简单鉴权
大老杨的博客
11-02 2462
本文使用SpringBoot结合Redis进行简单的token鉴权。 1.简介 刚刚换了公司,所以最近有些忙碌,所以一直没有什么产出,最近朋友问我登录相关的,所以这里先写一篇简单使用token鉴权的文章,后续会补充一些高阶的,所以如果感觉这篇文章简单,可以直接绕行,言归正传,现在一般系统都进行了前后端分离,为了保证一定的安全性,现在很流行使用token来进行会话的验证,一般流程如下: 用户...
springboot后台开发记录————token的使用
qq_44112824的博客
09-30 2182
springboot后台开发记录————token的使用 一、token的作用 session和token都是用来保持会话,功能相同; 而在前后端分离的项目中,使用token能够降低服务器压力,登录成功后,服务端会在响应主体中将{token:‘字符串’}返回给客户端。客户端通过cookie、sessionStorage、localStorage都可以进行存储。再次请求时不会默认携带,需要在请求拦截器位置给请求头中添加认证字段Authorization携带token信息,服务器端就可以通过token信息查找用
springboot-gradle-token
Java铭的博客
11-01 1729
token的使用 基于springboot-gradle创建项目,不懂得小伙伴可以前往我的博客: springboot使用gradle token官网: https://jwt.io/ token概念 token 令牌: JWT: JSON Web Token 是一种标准 java-jwt 框架 是java实现的JWT标准的一个框架 JWT标准: token由三部分组...
sa-token-spring-boot3用法
01-15
<artifactId>sa-token-spring-boot-starter <version>1.28.0 <!-- 如果项目基于SpringBoot,则引入web模块 --> <groupId>org.springframework.boot <artifactId>spring-boot-starter-web <!-- 开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值