关于app接口调用时如何使session和token票据来保证接口调用的安全

最新推荐文章于 2025-07-07 19:54:31 发布
最新推荐文章于 2025-07-07 19:54:31 发布
阅读量7.6k 收藏 9
点赞数
CC 4.0 BY-SA版权
分类专栏: ionic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weijinbo5741/article/details/52176195
本文详细阐述了HTTP请求中无状态特性的解决方案——Token与Session机制。解释了两者的概念与工作原理,并提供了具体的实现代码示例,帮助读者理解如何在实际应用中使用这两种机制来维护用户的会话状态。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >
传统的http请求时无状态的。及一个用户向服务器端发送请求时,当再次发送请求时不能判断是同一个用户发送 的请求,及无法记录用户信息。

Session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间也成为会话时间。

token是有后端加密产生的一段加密字符。app访问接口是的票据。

1.关于token域session之间的关联关系
 1-1.token和session必须存在否则接口无法调用
 1-1  1.用户A登陆--客户端A
 1-1  2.用户A 登陆---客户端B时 1.首先判断内存中是否存在token(通过账号名称查找)
         存在:给客户端B一个提示信息 --然后发送一个请求清空客户端A产生的session和token,
         然后重新登陆,产生新的token。
         不存在:直接登陆没有二次回调请求过程。
 1.当用户请求接口是:逻辑判断如下
   1.从session中取出当前会话的对象 ---
       会话存在 -
          1.解析token获取获取accesstoken对象
          2.判断当合会话的sessionid和内存中的session是否一致
          3.判断当前的accesstoken是否失效
          4.判断会话中的用户和当前的accesstoken是否一致。       

         5.当以上条件都满足是,在进行权限判断是否有权限调用当前请求的资源。

代码如下

   1.Accesstoken类如下

/**
 * app票据访问的凭证
 * @author Administrator
 *
 */
public class AccessToken {
	private String signature;// 签名  
    
    private String timestamp;// 时间戳  
    /*sessionid*/  
    private String sessionId;
    private String random;// 随机数  

	public String getRandom() {
		return random;
	}

	public void setRandom(String random) {
		this.random = random;
	}

	public String getSignature() {
		return signature;
	}

	public void setSignature(String signature) {
		this.signature = signature;
	}

	public String getTimestamp() {
		return timestamp;
	}

	public void setTimestamp(String timestamp) {
		this.timestamp = timestamp;
	}

	public String getSessionId() {
		return sessionId;
	}

	public void setSessionId(String sessionId) {
		this.sessionId = sessionId;
	}

	@Override
	public String toString() {
		return "signature="+signature+"×tamp="+timestamp+"&sessionId="+sessionId+"&random="+random;
	}
    
}
2TokenUtill工具如下 

public class TokenUtil {
	private static ConcurrentHashMap<String, AccessToken> map = new ConcurrentHashMap<String, AccessToken>();


	/**
	 * 生成加密Token
	 * 
	 * @param username
	 * @return
	 */
	public static AccessToken generateAccessToken(String username,
			String sessionId) {
		AccessToken accessToken = new AccessToken();
		// 设置签名
		accessToken.setSignature(username);
		// 设置时间戳
		accessToken.setTimestamp(getTimeStamp());
		// 设置sessionId
		accessToken.setSessionId(sessionId);
		// 设置授权码
		accessToken.setRandom(getRandom());
		return accessToken;
	}


	/**
	 * 【重新生成】更新Token
	 * 
	 * @param token
	 * @return
	 */
	public static String reCreateToken(String token) {


		return null;
	}


	/**
	 * 设置token 
	 * @param username
	 * @param userToken
	 */
	public static void putToken(String username, AccessToken accessToken) {
		map.put(username, accessToken);
	}


	/**
	 * 判定是否已经登录
	 * 
	 * @param signature
	 * @return
	 */
	public static boolean hasLogin(String signature) {
		if (map.containsKey(signature)) {
			return true;
		}
		return false;
	}
	/**
	 * 清空token
	 * 
	 * @param signature
	 * @return
	 */
	public static void removeToken(String signature) {
		 map.remove(signature);
	}
	/**
	 * 获取accesstoken对象
	 * 
	 * @param signature
	 * @return
	 */
	public static AccessToken getAccessToken(String signature) {
		return map.get(signature);


	}


	/**
	 * 加密签名
	 * 
	 * @param encrypt
	 * @return
	 * @throws Exception
	 */
	public static String encryptSignature(AccessToken token)
			throws Exception {
		return PBECoder.encrypt(token.toString(), PBECoder.PWD, PBECoder.salt);
	}


	/**
	 * 加密签名
	 * 
	 * @param encrypt
	 * @return
	 * @throws Exception
	 */
	public static String encryptSignature(String username, String sessionId,
			byte[] salt) throws Exception {
		AccessToken token = generateAccessToken(username, sessionId);
		return PBECoder.encrypt(token.toString(), PBECoder.PWD, salt);
	}


	/**
	 * 解密签名
	 * 
	 * @param signature
	 * @return
	 * @throws Exception
	 */
	public static String decryptSignature(String encryptToken, byte[] salt)
			throws Exception {
		return PBECoder.decryptString(encryptToken, PBECoder.PWD, salt);
	}


	/**
	 * 解密签名
	 * 
	 * @param signature
	 * @return
	 * @throws Exception
	 */
	public static String decryptSignature(String encryptToken) throws Exception {
		return PBECoder
				.decryptString(encryptToken, PBECoder.PWD, PBECoder.salt);
	}


	/**
	 * 生成时间戳
	 * 
	 * @return
	 */
	public static String getTimeStamp() {
		return Calendar.getInstance().getTimeInMillis() + "";
	}


	/**
	 * 生成随机数
	 * 
	 * @return
	 */
	public static String getRandom() {
		return new Random().nextInt(999999999) + "";
	}


	/**
	 * 解析加密用户Token
	 * 
	 * @param token
	 * @return
	 * @throws Exception
	 */
	public static AccessToken decryptToken(String encyptToken) throws Exception {


		String[] params = decryptSignature(encyptToken).split("&");
		// 分析用户提交过来的Token
		AccessToken accessToken = new AccessToken();
		for (int i = 0, j = params.length; i < j; i++) {
			String[] currentParams = params[i].split("=");
			String param = currentParams[0];
			if ("signature".equals(param)) {
				accessToken.setSignature(currentParams[1]);
			} else if ("timestamp".equals(param)) {
				accessToken.setTimestamp(currentParams[1]);
			} else if ("sessionId".equals(param)) {
				accessToken.setSessionId(currentParams[1]);
			}
		}
		return accessToken;
	}


	/**
	 * 验证token的失效性
	 * 
	 * @param timestampStr
	 *            时间戳
	 * @return
	 * @throws Exception
	 */
	public static boolean verifyAccessToken(String timestampStr)
			throws Exception {
		// 验证是否存在此用户登录的Token
		if (timestampStr != null) {
			// 判定时间戳是否过期
			long currentTime = Calendar.getInstance().getTimeInMillis();
			long timestamp = Long.valueOf(timestampStr);
			// Token有效时间为60分钟
			long verifyTime = 60 * 60 * 1000;
			if (currentTime - timestamp > verifyTime) {
				return true;
			}
			return false;
		}
		return true;
	}

3.在拦截器中拦截调用接口的请求 

/**
 * 跨域拦截器 --主要功能 获取会话信息和token--通过token解析成accesstoken对象--对用户进行权限判断以及token的失效性判断
 * 
 * @author wjb
 * @version 1.0.0 2016.8
 */


public class CrossInterceptor extends HandlerInterceptorAdapter {
	@Override
	public boolean preHandle(HttpServletRequest request,HttpServletResponse response, Object handler) throws Exception {
		String token = ""; /* app接口票据 */
		String errcode ="0" ; /*返回的状态码*/
		String errmsg = ""; /* 接口调用失败是返回给客户端的提示信息 */
		Enumeration e = request.getHeaders("X-CSRF-TOKEN");/* 从请求的header中获取token */
		while (e.hasMoreElements()) {
			token = (String) e.nextElement();
		}
		HttpSession session =  request.getSession();
		Object temp = session.getAttribute(ProperHelper.SESSION_KEY);/* 获取当前会话的用户 */
		/* token字符串解析成accesstoken对象对该对象进行验证 */
		if (token != null && !token.isEmpty() && temp != null) {
			Member member =(Member)temp;
			token = java.net.URLDecoder.decode(token, "UTF-8");
			AccessToken accessToken = TokenUtil.decryptToken(token);
			// 验证是否存在此用户登录的Token
			if (accessToken != null) {
				/*session是否一致*/
				if(!TokenUtil.getAccessToken(accessToken.getSignature()).getSessionId().equals(accessToken.getSessionId())){
					errcode="113";
					errmsg ="session异常请重新登陆";
				}// 判定时间戳是否过期,
				else if (TokenUtil.verifyAccessToken(accessToken.getTimestamp())) {
					errcode="111";
					errmsg = "token已失效,请重新登陆";
				}
				/* 验证登陆的用户和token解析出来的用户是否一致 */
				else if (!accessToken.getSignature().equals(member.getLoginName())) {
					errcode ="112";
					errmsg = "token被篡改";
				} else {
					/* token验证通过后下一步1.对请求访问的地址进行权限拦截 */
				}
			} else {
				errcode ="114";
				errmsg = "无效的token";
			}
		} else {
			errcode ="114";
			errmsg = "session失效";
		}
		if (!errmsg.isEmpty()) {
			/*异常时清空session*/
			session.invalidate();
		   JsonUtils.response(errcode ,errmsg, request, response);
			return false;
		}
		return super.preHandle(request, response, handler);
	}


}


微信授权登录:接口数据库设计
专注于计算机研发知识和资讯分享
11-21 389
请注意,网页授权获取用户基本信息也遵循UnionID机制。即如果开发者有在多个公众号,或在公众号、移动应用之间统一用户账号的需求,需要前往微信开放平台(open.weixin.qq.com)绑定公众号后,才可利用UnionID机制来满足上述需求。UnionID机制的作用说明:如果开发者拥有多个移动应用、网站应用公众账号,可通过获取用户基本信息中的unionid来区分用户的唯一性,因为同一用户,对同一个微信开放平台下的不同应用(移动应用、网站应用公众账号),unionid是相同的。
APP调用微信授权登录-JAVA后台实现
热门推荐
a1101282836的博客
09-29 3万+
由于最近项目需求,需要在app中实现微信授权快速登录,参考学习各位大佬的帖子后终于完成了。现在回头来总结记录一下,如有总结的不到位的,请谅解。 编码前准备工作:开发之前我们需要准备两个东西AppIDAppSecret,需要到微信开放平台(https://open.weixin.qq.com)注册开发者账号,并在移动应用中将我们的APP创建进去,填写对应资料后提交审核。 审核通过之后微信开放平...
如何保障 Token安全性:构建坚固的数字通行证
q68686的博客
02-12 1069
刷新 Token 是一种特殊的 Token,用于在访问 Token 过期后,无需重新输入用户名密码即可获取新的访问 Token。刷新 Token 通常具有较长的有效期,但使用频率较低,因此可以降低被盗用的风险。对于 JWT 等 Token,应该使用强加密算法(例如,AES)对 Token 的内容进行加密,并使用数字签名(例如,HMAC-SHA256)对 Token 进行签名。Token 的有效期越长,被盗用后造成的损失就越大。只有这样,才能有效地防止 Token 泄露被盗用,确保应用程序数据的安全
java 接口api设计的注意事项_Java++:安全|API接口安全性设计
weixin_36043142的博客
02-13 259
接口安全性主要围绕 token、timestamp sign 三个机制展开设计,保证接口的数据不会被篡改重复调用,下面具体来看:Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭...
cookie、sessiontoken详解区别
最新发布
qq_37292005的博客
07-07 1234
cookie、sessiontoken工作原理、特点、应用场景及三者区别
如何保证token安全性?
这天有点热的博客
07-12 6950
引入如何保证token安全性?原文在连接中,这里只是防止丢失做的备份。 接口安全性主要围绕token、timestampsign三个机制展开设计,保证接口的数据不会被篡改重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。 间戳超机制: 用户每次请求都带上
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 4510
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token安全性。
实现登录状态保持的两种方法 cookie、sessiontoken
暮云归@技术人生
09-23 7538
传统的实现登录状态保存的两种方法直接保存服务器端session 客户端cookie, 现在介绍一种通过生成token的方式保存登录信息。 实现登录状态保持的两种方法: 第一种,cookiesession的配合使用 实现原理:当用户请求页面,一般需要先登录,用户第一次输入用户名密码之后,前台发送post请求,后台获取用户信息,通过查询数据库来验证用户信息是否正确,如果验证通过,则会开辟一块...
app接口设计之token的php实现
空白_回忆的博客
11-25 3万+
app接口设计之token的php实现1、token的设计目的: 因为APP端没有PC端一样的session机制,所以无法判断用户是否登陆,以及无法保持用户状态,所以就需要一种机制来实现session,这就是token的作用,token是用户登陆的唯一票据,只要APP传来的token服务器端一致,就能证明你已经登陆(就你去看电影一样,需要买票,拿着票就能进了)2、token设计的种类: (1
PHP微信公众平台开:获取接口调用凭据access_token、订阅事件推、消息回复
ding_zhi_jie的专栏
11-01 2733
之前记录了微信公众平台开发的基础,接下来写一下在配置好了自己的服务器项目之后,对于最基础的事件推送获取接口调用凭据access_token的处理。 首先是获取接口调用凭据access_token,access_token是公众号的全局唯一票据,公众号调用接口都需使用access_token。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2
微信开发:使用微信jssdk接口调用语音,图片,分享等功能,获取config接口注入权限验证
崔向阳@李晓的博客
06-28 1165
微信公众号开发,在公众号界面调用微信JS SDK接口,实现媒体(图片、语言、视频)上传,分析等功能之前,需要获取Config接口注入权限验证。 微信Config接口注入权限验证,需要如下参数: wx.config({ debug: true, // 开启调试模式,调用的所有api的返回值会在客户端alert出来,若要查看传入的参数,可以在pc端打开,参数信息会通过log打出,仅在pc端才会打印。 appId: '', // 必填,公众号的唯一标识 timestamp: , // 必填,生
token防爆破
SS_liang的博客
01-06 763
在Options中的Grep-Extract选择Add,出现如下图所示,点击Refetch response 获取返回的包,找到返回的token值,选中并复制下来。点击确定(注意:一定要在选中token的状态下点击确定)顺便复制一下token的值23209659962b5856e4744648437​​​​​​​​​​​​​​。同样的,这题的token在验证后也没有销毁,我们可以随机使用一个token来持续对账号密码爆破。• 随机性:每次的token都是不一样的。• 不可预测性:没有规律,无法预测。
android与WEB服务器交互,如何保证在同一个会话Session中通信
chindroid
05-11 2万+
最近在开发项目的过程中,遇到android与web服务器要在同一session下通信的问题。 在解决问题前先回顾下Session与Cookie: CookieSession都为了用来保存状态信息,都是保存客户端状态的机制,它们都是为了解决HTTP无状态的问题而所做的努力。 Session可以用Cookie来实现,也可以用URL回写的机制来实现。 CookieSession有以下
web安全token
caozhiming20的博客
03-03 234
参考:http://blog.youkuaiyun.com/sum_rain/article/details/37085771   Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都
接口自动化测试如何获取cookie/session实现接口鉴权
ftploveing1234的博客
03-03 2274
接口自动化测试中如何获取cookie实现接口鉴权 1.登录接口请求成功后,使用cookie获取所有的cookie,并将cookie保存到对应的变量中,将获取的cookie变量放到下个接口的请求中,可以解决无法获取到cookie的这种方式,具体实现代码如下: import requests res=requests.post(url="http://xxxxx",json=data) cookie=res.cookies #下个接口 res=requests.post(url="http://xxxxx",j
app后端session共享问题
weixin_33980459的博客
12-15 388
在分布式中,session如何共享,用户登陆要解决的问题如下图所示,通过nignx请求转发,到不同的应用模块中,需要判断用户有没有登陆验证通过,问题又来了,app的移动端不像浏览器,没有cookie,session,那么怎么搞呢?这可以使用session外置方式解决,用redis统一管理session,用redis来模拟session。浏览器的sess...
接口自动化之requests学习(六)--获取session,并传到下一个请求中
doulihang的博客
10-13 4857
本次分享一段代码,将获取session的方法unittest框架相结合 #!usr/bin/env python #-*- coding:utf-8 -*- """ @author:Administrator @file: requests_post.py @time: 2018/10/13 """ import requests import json import unittest c...
【后端开发】直击痛点系列之——cookie、sessiontoken、LocalStorageSessionStorage。
独斟灬此夜的博客
07-30 688
背景 工作出现了一个错误,追根溯源,感觉在一个“字符串”上出了问题,于是想要打印出来看一下,结果用console.log()打印得出来了[object Object],这到底怎么回事? 原因 细心的同学可能早就已经发现了,我前面写的“字符串”都带上了引号,因为我以为的“字符串“其实不是字符串! 我是从前端的一个JSON对象中抽出来了一部分传到了后端,我认为传过来的是个”字符串“,但是他其实是一个JSON对象!我随即用JSON.stringify()方法解析了一下,得出来了正儿八经的字符串,然后终于成功打印
超简单解决token问题登陆验证回弹问题
qq_41792374的博客
06-19 5139
1.下图为登录页登陆,通过window.sessionStorage.setItem携带token 2.上图为请求拦截器通过config.headers.Authorization 验证token是否存在,如果不存在,页面内无法向服务器发送请求 3.设置路由导航卫士router.beforeEach((to, from, next)。如其他页面不带token.强制弹回登陆页 ...
微信小程序调取登录接口
01-13
### 微信小程序调用登录接口示例教程 在微信小程序开发过程中,为了实现用户的认证功能,通常会使用微信提供的登录接口。通过该接口可以获取到临登录凭证 code,并将其发送给服务器端换取 session_key openid。 #### 获取用户登录凭证 (code) 当用户打开小程序,可以通过 `wx.login` 方法来获得用户的登录状态以及拉取用户信息所需的 code: ```javascript wx.login({ success(res) { if (res.code) { console.log('Login Code:', res.code); // 将 code 发送到开发者服务器进行处理 } else { console.error('Failed to get login information:', res.errMsg); } }, }); ``` 此方法返回的数据包中包含了用于换取 session 的临票据 code[^1]。 #### 向开发者服务器请求数据 一旦获得了 code,则需要向自己的 PHP 或其他语言编写的后端服务发起 HTTP 请求,传递这个 code 参数以便于后续操作。这里以 GET 方式为例说明如何构建这样的网络请求: ```javascript const app = getApp(); // 假设这是你的服务器地址 const serverUrl = 'https://yourserver.com/login'; wx.request({ url: serverUrl, method: 'GET', data: { js_code: res.code }, // 把刚才得到的 code 放在这里面传过去 header: { 'content-type': 'application/json' // 默认值 }, success(response) { const respData = response.data; // 处理从服务器接收到的数据... console.log(respData); // 可能还需要保存某些重要信息比如 token 到本地存储里边去供之后使用 wx.setStorageSync('token', respData.token || ''); // 更新全局变量中的 userInfo 字段 app.globalData.userInfo = respData.userinfo; }, fail(error) { console.error('Request failed:', error); } }); ``` 上述代码片段展示了怎样利用 JavaScript 中的 `wx.request()` 函数来进行跨域 AJAX 调用来交换必要的身份验证令牌其他相关信息[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值