Token签名的设计
Token
使用JWT Token
JWT设计的好处是不用在服务器保持授权信息,会话不需要服务器维护
缺陷: 1,Token一旦签发,在有效期内不受控制,即服务端修改Token有效期时,之前签发的Token在过期前还是有效的 2,Token在过期后需要重新签发
签名的设计
原理:用户登录后向服务器提供用户认证信息(如账户和密码),服务器认证完后给客户端返回一个Token令牌,用户再次获取信息时,带上此令牌,如果令牌正取,则返回数据。对于获取Token信息后,访问用户相关接口,客户端请求的url需要带上如下参数:
时间戳:timestamp
Token令牌:token
然后将所有用户请求的参数按照字母排序(包括timestamp,token),然后使用MD5加密(需要加盐),全部大写,生成sign签名,这就是所说的url签名算法。登录后每次调用用户信息时,带上sign,timestamp,token参数。
例如:原请求https://www.andy.cn/api/user/update/info.shtml?city=北京 (post和get都一样,对所有参数排序加密)
加上时间戳和token https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc
然后根据url参数生成sign
最终的请求如https://www.andy.cn/api/user/update/info.shtml?city=北京×tamp=12445323134&token=wefkfjdskfjewfjkjfdfnc&sign=FDK2434JKJFD334FDF2
其最终的原理是减小明文的暴露次数;保证数据安全的访问。
具体实现如下:
1. 客户端向服务端请求一次用户认证信息(用户名和密码),服务端接收到该请求后,验证用户信息是否正确。
如果正确:则返回一个唯一不重复的字符串(一般为UUID),然后在Redis(任意缓存服务器)中维护Token----Uid的用户信息关系,以便其他api对token的校验。
如果错误:则返回错误码。
2.服务器设计一个url请求拦截规则
(1)判断是否包含timestamp,token,sign参数,如果不含有返回错误码。
(2)判断服务器接到请求的时间和参数中的时间戳是否相差很长一段时间(时间自定义如半个小时),如果超过则说明该url已经过期(如果url被盗,他改变了时间戳,但是会导致sign签名不相等)。
(3)判断token是否有效,根据请求过来的token,查询redis缓存中的uid,如果获取不到这说明该token已过期。
(4)根据用户请求的url参数,服务器端按照同样的规则生成sign签名,对比签名看是否相等,相等则放行。(自然url签名也无法100%保证其安全,也可以通过公钥AES对数据和url加密,但这样如果无法确保公钥丢失,所以签名只是很大程度上保证安全)。
(5)此url拦截只需对获取身份认证的url放行(如登陆url),剩余所有的url都需拦截。
3.Token和Uid关系维护
对于用户登录我们需要创建token–uid的关系,用户退出时需要需删除token–uid的关系。
Token签名的设计相关推荐
- App开放接口api安全:Token签名sign的设计与实现
点击上方蓝色"方志朋",选择"设为星标"回复"666"获取独家整理的学习资料! 来源:cnblogs.com/whcghost/p/5657 ...
- ASP.NET WebApi 基于分布式Session方式实现Token签名认证
一.课程介绍 明人不说暗话,跟着阿笨一起学玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebSer ...
- 使用 做签名的post_ASP.NET WebApi 基于分布式Session方式实现Token签名认证
一.课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NETWebServ ...
- ASP.NET WebApi 基于JWT实现Token签名认证
一.前言 开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NET WebService服务中可以通过SoapHead验证机制 ...
- API带签名接口设计
说明:在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(防窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输的安全性呢? 下面我们 ...
- 后端生成Token架构与设计详解
点击上方 好好学java ,选择 星标 公众号 重磅资讯.干货,第一时间送达 今日推荐:硬刚一周,3W字总结,一年的经验告诉你如何准备校招! 个人原创100W+访问量博客:点击前往,查看更多 作者:巨 ...
- Python爬虫实战——签名软件设计(一)python POST模拟网页按钮点击
Python爬虫实战(windows) 关于本文: 上一篇文章介绍了如何使用python爬虫进行网页图片等素材的抓取.我们以爬虫抓取作为基础,结合GUI设计,再通过自定义方法,就可以实现一些小软件的设 ...
- Python爬虫实战——签名软件设计(二)GUI界面
Python爬虫实战 关于本文: 上一篇文章我们介绍了POST方法的使用,现在我们就说一下界面设计以及方法的调用 使用模块 from Tkinter import * import tkMessage ...
- 电商平台-Java后端生成Token架构与设计详解
目的:Java开源生鲜电商平台-Java后端生成Token目的是为了用于校验客户端,防止重复提交. 技术选型:用开源的JWT架构. 1.概述:在web项目中,服务端和前端经常需要交互数据,有的时候由于 ...
最新文章
- html、css、js、react、vue 文字一行一行显示出来
- dp、px之间单位转换Util
- html上下走马灯特效,上下左右滚动的走马灯文字代码
- 我的2012移动开发年度总结——革命的一年
- python oop 继承_关于oop:使类数据在python中可继承的正确方法是什么?
- 正式学习python的第0天
- VC线程同步技术剖析
- 马蜂窝视频编辑框架设计及在 iOS 端的业务实践
- 010Editor逆向分析
- matlab竞赛论文模板,数学建模竞赛论文模板.doc
- 紫微星情大全系列之紫微星
- 辽宁省抚顺市谷歌高清卫星地图下载
- 男装品牌十如仕官宣谢霆锋为品牌代言人
- 百度地图API—简易操作
- mysql查询语句ppt_mysql简单查询.ppt
- 关于同包不能有同名类
- Codeforces Round #408 (Div. 2)-C. Bank Hacking-(三种方法)分类讨论,二分,集合
- swapidc如何销售服务器,swapidc对接云服务器
- geotools 创建表自定义主键
- SM8150 Audio驱动分析