功能性的安全性保障:TOKEN鉴权校验

已于 2024-07-25 10:06:05 修改
阅读量1.2k 收藏 13
点赞数 32
分类专栏: 代码分析 文章标签: java vue 安全
于 2024-07-24 22:54:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44073008/article/details/140661263
版权

前言

在软件开发过程中,确保系统的安全性是至关重要的一环。它不仅关乎保护用户数据的完整性和隐私性,也是维护系统稳定运行的基石。我认为,从宏观角度审视,软件开发的安全性保障主要可分为两大类:功能性的安全性保障和系统性的安全性校验。

功能性的安全性保障专注于应用程序层面,它着眼于那些直接影响用户数据和交互过程安全的特性。这些特性是构建用户信任和保障数据安全的关键。

而系统性的安全性校验则放眼于更为广阔的视角,它涵盖了整个系统架构和网络层面,确保从服务器到网络的每一环节都具备足够的防御能力,以抵御各种潜在的攻击。

在前文功能性的安全性保障:实现强制登录和密码加密功能,我们已经讨论了功能性的安全性保障中的两个核心议题:身份验证和密码加密。所以在本文中,我们将继续从功能性的安全性保障这个话题展开,通过对概念的细致解读、实施策略的全面分析,以及实际代码实现的展示,深入讨论其中的另外一个核心议题:TOKEN鉴权校验。

1. Token的定义

当我们准备使用Token进行鉴权校验时,首先得先了解Token是什么,我们才能扩展下去。这里简单讲下,所谓Token,是一种数据对象,通常由一组字符组成,主要用户身份验证和授权信息。通常所说的Token可以是多种形式,例如Session ID、Bearer Token、Access Token等。它们的安全性取决于如何生成、存储和传输。

2. JWT(Json Web Token):用户的身份和权限验证

在实际项目中,常用JWT作为Token来验证用户的身份和权限,确保请求的合法性。这种机制允许系统在不直接存储用户敏感信息的情况下,对用户进行身份验证和授权。

JSON Web Tokens (JWT) 是一种广泛采用的、用于在不同实体间安全传输信息的开放标准(RFC
7519)。它定义了一种紧凑且自包含的方式,允许通过JSON对象在通信双方之间传递安全性声明。这种机制不仅确保了信息的完整性和可验证性,还通过使用数字签名技术,保障了其安全性。

在JWT的框架下,令牌(Token)本身封装了一系列声明(Claims),这些声明可以被应用程序用来控制对资源的访问权限。这些声明包括但不限于用户的身份信息、权限级别以及令牌的有效期等。JWT的令牌通常采用JSON Web Signature (JWS) 进行签名,确保了其内容的不可篡改性和验证的可靠性。

2.1 JWT的构成

一个JWT由三部分组成,用点 . 分隔:

  • Header(头部):通常包含令牌的类型(即JWT)和所使用的签名算法(如HS256或RS256)。
  • Payload(负载):包含所谓的Claims(声明),它们是关于实体(通常是用户)和其他数据的声明。例如,用户ID、用户名、角色信息等。
  • Signature(签名):用于验证消息在传输过程中未被篡改,并且,对于使用私钥签名的令牌,还可以验证发送者的身份。

2.2 签名机制

特别地,JWT的签名过程常采用RSA公钥-私钥对机制。这种方式不仅提供了强大的安全保障,还使得JWT在各种应用场景中,如单点登录(SSO)、移动应用认证等,都能发挥其独特的优势。通过这种方式,JWT成为了一种理想的解决方案,用于发布和验证接入令牌(Access Tokens),从而在不同的服务和应用程序之间实现安全、高效的用户认证和授权。

2.3 过期时间

JWT通常包含一个过期时间(exp),这有助于限制Token的生命周期,增加安全性。其他类型的Token可能也需要设置过期时间,但它们的管理方式可能不同。

3. Spring Security:基于令牌的认证机制

另外,还有个话题我们不得不关注,那就是Spring Security。Spring Security是一个功能强大且高度可自定义的认证和访问控制框架,是Spring项目的一部分。它为JVM(Java虚拟机)语言提供了一套全面的安全服务,主要用于保护基于Spring的应用程序。

简单来说,当用户尝试访问一个需要认证的网站或应用时,Spring Security会要求提供Token。只有提供了正确的Token,Spring Security才会让请求通过。

3.1 核心功能

  • 认证(Authentication)
    确认用户身份,通常通过用户名和密码,但也支持多种其他认证方法(如OAuth2、JWT、LDAP等)。
    提供内置的表单登录和HTTP基本认证。
  • 授权(Authorization,也称为访问控制)
    决定已认证的用户是否有权访问某些资源或执行某些操作。
    支持基于角色和权限的访问控制。
  • 保护Web应用程序
    通过声明式的URL访问配置,定义哪些URL需要认证,哪些URL可以匿名访问。
    支持防止常见的Web攻击,如CSRF(跨站请求伪造)、XSS(跨站脚本)等。
  • 方法级安全
    使用注解(如 @Secured, @PreAuthorize, @PostAuthorize)对方法调用进行访问控制。
    整合其他Spring项目
  • 无缝集成Spring Boot、Spring MVC、Spring Data等项目。

4. 代码实现:登录生成TOKEN,并使用TOKEN进行权限校验

4.1 前端代码实现

首先,我们基于之前开发的前端代码进行扩展,在主页创建一个头部导航栏、侧边栏。

<template>
  <el-container style="height: 100vh;">
    <el-header style="padding: 0; background-color:#545c64; height: 60px;">
      <TopNavbar/>
    </el-header>
    <el-container style="flex: 1; display: flex;">
      <SideNavbar />
      <el-main style="flex: 1; display: flex; justify-content: center; align-items: center;">
        <router-view class="my"></router-view>
      </el-main>
    </el-container>
  </el-container>
</template>

<script>
import TopNavbar from './TopNavbar.vue';
import SideNavbar from "@/views/SideNavbar.vue";

export default {
   
  name: 'HomePage',
  components: {
   
    SideNavbar,
    TopNavbar,
  }
};
</script>

<style>
.el-main {
   
  padding: 0;
}
</style>

头部导航栏主要定义两个按钮,分别是登录按钮和登出按钮,主要为了实现对TOKEN的创建和销毁。

<template>
    <div class="navbar">
        <div class="navbar-links">
            <div class="nav-item" v-if="true">
                <el-button @click="goToLogin">登录</el-button>
            </div>
          <div class="nav-item" v-if="true">
            <el-button @click="loginOut">退出</el-button>
          </div>
        </div>
    </div>
</template>  
  
<script >
import {
    ref } from 'vue';
export default {
   
  methods: {
   
    goToLogin() {
   
      this.$router.push({
   name: 'Login'});
    },
    loginOut() {
   
      fetch('http://localhost:8081/user/logout', {
   
        method: 'POST',
        headers: {
   
          Authorization: localStorage.getItem('token')
        }
      }).then(response => {
   
        if (response.ok) {
   
          localStorage.removeItem('token');
          this.$router.push('/login');
        }
      }).catch(error => {
   
        console.log(error);
      });
    }
  }
}
</script>
<style scoped>
.navbar {
   
  display: flex;
  justify-content: flex-end; /* 确保内容靠右对齐 */
  align-items: center; /* 垂直居中对齐 */
  width: 100%;
}

.navbar-links {
   
  display: flex;
  justify-content: flex-end; /* 确保按钮靠右对齐 */
}

.nav-item {
   
  margin-right: 15px; /* 可选:增加按钮之间的间距 */
  margin-top: 10px;
}
</style>

左侧导航菜单包含两个主项:“首页” 和 “我的”,其中"我的"菜单项下包含个人信息。实现用户界面与路由的集成。

<template>
  <el-aside style="width: 200px; background-color: #545c64;">
    <el-menu active-text-color="#ffd04b" background-color="#545c64" class="el-menu-vertical-demo"
             text-color="#fff" @select="handleSelect" :default-active="activeIndex">
      <el-sub-menu index="1">
        <template #title>
          <span>首页</span>
        </template>
      </el-sub-menu>
      <el-sub-menu index="2">
        <template #title>
          <span>我的</span>
        </template>
        <<
最低0.47元/天 解锁文章
FastAPI学习最后一天: Cors跨域和token
百锦再的博客
11-23 1万+
在FastAPI中配置CORS时,我们可以通过中间件来设置不同的限制。
订单防重复提交:token 发放以及校验
Blue_Pepsi_Cola的博客
09-16 1352
在很多秒杀场景中,用户为了能下单成功,会频繁的点击下单按钮,这时候如果没有做好控制的话,就可能会给一个用户创建重复订单。
Token
maoyudashen的博客
07-29 1168
需要注意的是,在实际应用中,为了增强安全性Token通常会设置过期时间,并采用加密算法对Token进行签名和验证。常见的Token类型有两种:基于Session的Token和基于JSON Web Token (JWT)的Token。5. 服务端接收到请求后,根据携带的Session ID进行验证,如果验证通过,则允许客户端访问相应资源。5. 服务端接收到请求后,对Token进行解析和验证,如果验证通过,则允许客户端访问相应资源。6. 服务端对Token进行验证,验证通过后允许客户端访问相应资源。
token
m0_47127594的博客
12-17 8246
前言 上一篇博客介绍了什么是cookie、session,以及cookie和session之间的区别,运行机制等。那么这篇博客一起来看看另外一种方式,也就是tokentoken就是接口层面的一种校验而已。 一、什么是token? 其实token就是一个令牌,通俗一点可以称为‘暗号’,在一些数据传递之前,要先进行暗号的核对,不同的暗号(令牌)之前被授不同的数据操作。 二、token的运行机制。 #mermaid-svg-uUOHpzCQGpWVw5Nd .label{font-family:'
使用Token方式实现用户身份认证
最新发布
2401_86343726的博客
03-24 1037
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 1068
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
Token
yxrsssssss的博客
10-27 317
关于token的处理
】深入解析 Token:身份认证的核心技术
人生苦短,睡觉要紧,睡醒再说
11-09 5977
Token(令牌)是一个用于身份认证的凭证,通常是由服务器生成并返回给客户端。客户端在后续请求中携带该 Token,服务器通过解析 Token 验证用户身份,从而决定是否授访问资源。Token 的一个显著特点是其无状态性,这意味着服务器不需要存储关于用户会话的数据,而是通过解析客户端携带的 Token 来获取所有的身份信息。Token 认证是现代 Web 和移动应用中最常见的身份验证方式之一。
轻量级Java限认证框架sa-token:简化流程
资源摘要信息:"sa-token-dev.zip是一个轻量级的Java限认证框架,...综上所述,sa-token-dev.zip是一个功能全面、设计精良的限认证框架,对于需要在Java应用中实现安全的开发者来说,是一个非常有价值的工具。
【仿默往IM源码深度解析】:用户机制详解与安全策略(核心安全
![【仿默往IM源码深度解析】:用户机制详解与安全策略(核心安全)]...本章将为您展示用户机制的基本概念和重要性,同时构建起一个关于用户的学习框架,让您对后续章节的深入内
网站的安全校验
xujunwei2010的专栏
05-08 1997
网站中添加安全校验思路整理。
学习笔记(二):Token实现
qq_49111986的博客
03-31 2042
上次总结了有关Token的理论知识,本次内容学习了将jwt、shiro、redis整合,实现token的自动刷新和可控性。
android APK安全性校验
阳光灿烂的日子的博客
03-27 916
扫描上面公众号查看更多面试技术分享,为你的人生加油!努力 APK安全性校验 获取签名证书keystore的SHA1值和完整性校验获取的classes.dex的SHA-1哈希值字符串 建议后台保存初始值与前端获取sha1值做判断是否可以进行下一步操作 1. 签名证书文件校验码 获取签名证书的SHA1值 public static String getSign(Context...
Token机制
qq_34794066的博客
08-26 412
TOken机制,,记录一下,转一下收藏好,看以后忘 https://blog.youkuaiyun.com/kongtiao5/article/details/82898247
接口测试中的Token(Postman中Token的获取和引用)
热门推荐
weixin_44901808的博客
08-25 1万+
Token的获取和引用
Token 认证完全指南 (来自前端高级专业编程人员详解)
2301_78359537的博客
12-16 388
通过使用 Token ,我们可以为 Node.js 应用程序提供高度安全的用户认证机制。然而,在实践中,还需要考虑到安全最佳实践、Token 的管理和存储、以及对于不同用户角色的限控制等方面。希望本文能够为您提供深入理解 Token 方案的指导,并在您的 Node.js 应用程序中实现可靠的用户身份验证机制。
我的token机制hanhan
hanpenghu的博客
10-25 398
   
node.js中的Token机制
mengxiaodi的博客
12-18 402
Token作为一种常见的身份验证和授方式,具有简单、灵活、安全等优点。通过本文的介绍,相信大家对Token有了更深入的了解。在实际项目中,可以根据业务需求和场景选择合适的Token生成和验证方式,实现安全可靠的身份验证和授功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值