私人工具集7——webapi中的Token时效性验证

原创 已于 2022-02-19 17:40:28 修改 · 2.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http #token #服务器 #asp.net #c#

于 2022-02-19 17:38:43 首次发布
本文探讨了如何在实际业务中验证JWT(JSON Web Token)的时效性,提出了两种策略:一是客户端携带时间戳,二是服务端记录token生成时间。针对第二种策略的存储消耗问题,提出了使用SQLite进行本地存储的优化方案,详细阐述了其实现过程,并给出了相关代码示例。

子曰:工欲善其事,必先利其器

github:https://github.com/redAntCpp/CSharpTools

紧接上篇,上篇只是实现了token的生成以及解析,顺便提到了验证机制。但是在实际业务中,通常需要对token进行时效性验证。就像去看电影,电影票当天有效,必须在有效期内进行使用,否则就需要重新买票。

token时效验证

总体思路

第一步中,有个代码:

 if (isAPIUser(UserName, PassWord))
                    {
   
   
                       //这里应该验证有效期,暂时没写,后续提供思路
                        return true;
                    }

这里应该加上时效验证。那么如何实现token的时效性验证呢,这里提供两个思路:

思路1

  1. 设置一个有效期,让客户端每次调用服务时,带上第一次获取token的时间戳(加密)。
  2. 服务端取到这个时间后,进行解密,然后加上有效期,对比当前服务器的时间,大于则有效,小于则失效,

在IsAuthorized加上这一段即可

string requestTime = httpContext.Request.Headers["rtime"]; //请求时间经过DESC签名,头文件
          if (string.IsNullOrEmpty(requestTime))return false;
            DateTime Requestdt = DateTime.Parse(Decrypt.RSADecrypt(PrivateKey,requestTime)).AddMinutes(int.Parse(TimeStamp));
            DateTime Newdt = DateTime.Now
最低0.47元/天 解锁文章
WebApi实现Token验证
Sqsdhc的博客
12-02 3018
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
私人工具集6——webapi中的Token功能
redAnt的博客
02-16 2427
c# webapi中的token实现类工具
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
webapi token验证例子
06-05
webapi token验证例子
C# WEB API实现token
最新发布
RulesChen的博客
09-05 539
本文介绍了如何在C# Web API中实现JWT Token认证。主要内容包括:1)JWT核心概念(Header、Payload、Signature)和认证流程;2)实现步骤:安装NuGet包、配置JWT服务、添加appsettings配置、创建登录控制器生成Token;3)测试流程和示例代码;4)安全增强建议(HTTPS、有效期控制等)。文中提供了完整的代码示例,包括Token生成和受保护API的访问控制,并强调实际项目中需替换硬编码验证为数据库查询。
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 4650
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
ASP.NET WebApi 实现Token验证
xulong5000的专栏
09-28 2642
基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗? 下面我们花个20分钟的时间来实现一个简单的WEB API token认证: Step 1:安装所需的NuGet包: 打...
面试04——整理
HRX98的博客
03-12 1136
1.抽象类怎么模拟接口 2.项目负责 3.线程与进程 4.List list =new Arraylist(Array.aslist(“a”,“b”,“c”,“d”)); ​ for(s:list){ ​ s.equls(“a”){ ​ s.removes() ​ } ​ } 5.io 异常关闭 应该在哪里关闭 6.public class test{ ​ private int value; ​ public void get(int x){ ​ this.value=x } publ
基于图像识别的智能停车定位应用
这种自动化的状态检测避免了人工上报的延迟与误差,提高了信息的准确性和时效性。 当用户发现一个空闲车位后,可点击获取导航路线,系统将调用路径规划算法(如Dijkstra或A*算法)生成最优行驶路线,并在地图上动态...
第2章 信息技术知识
hongyangcao的博客
07-08 2244
软件需求是针对待解决问题的特性的描述。所定义的需求必须可以被验证。在资源有限时,可以通过优先级对需求进行权衡。通过需求分析,可以检测和解决需求之间的冲突、发现系统的边界、并详细描述出系统需求。
WebApi安全性 使用TOKEN+签名验证
xv7777666的博客
05-08 2463
(4) webapi接收到相应的请求,取出请求头中的timespan,nonc,staffid,signature 数据,根据timespan判断此次请求是否失效,根据staffid取出相应token判断token是否失效,根据请求类型取出对应的请求参数,然后服务器端按照同样的规则重新计算请求签名,判断和请求头中的signature数据是否相同,如果相同的话则是合法请求,正常返回数据,如果不相同的话,该请求可能被恶意篡改,禁止访问相应的数据,返回相应的错误信息。合法的请求则会返回对应的商品信息。
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
WebApi_Token
08-06
WEBAPI+TOKEN验证 token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api 3.服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
基于Token认证的多点登录和WebApi保护
weixin_30443895的博客
12-11 302
  在文章中有错误的地方,或是有建议或意见的地方,请大家多多指正,邮箱: linjie.rd@gmail.com   一天张三,李四,王五,赵六去动物园,张三没买票,李四制作了个假票,王五买了票,赵六要直接FQ进动物园   到了门口,验票的时候,张三没有买票被拒绝进入动物园,李四因为买假票而被补,赵六被执勤人员抓获,只有张三进去了动物园   后来大家才知道,当一个用户带着自己的信息去买票的时...
WebAPI Token 验证
weixin_30535043的博客
05-11 206
WebAPI Token 验证 登录端 //HttpContext.Current.Session.Timeout = 10; ////生成Ticket //FormsAuthenticationTicket token = new FormsAuthenticationTicket(0,req.LUsername,DateTime.Now,...
MVC WebApi 实现Token验证
lvjcqq的博客
02-23 963
我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等。 需要安装的NuGet包 Install-Package Microsoft.AspNet.WebApi.Owin -Version 5.1.2 Install-Package Microsoft.O
深入WebApi安全性:TOKEN+签名验证机制解析
WebApi安全性使用TOKEN+签名验证的机制是一种有效的身份验证和授权策略,适用于ASP.NETWebApi开发框架。在这种机制下,客户端与服务器之间的交互采用基于Token的身份验证方式,并结合了签名算法以确保传输的数据...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值