2. 程式人生 > >使用JWT Token進行RestFul API許可權驗證

使用JWT Token進行RestFul API許可權驗證

阿新 發佈:2018-12-25

問題

後端提供的RestFul API一般都需要進行許可權驗證,而Web框架一般採用Cookies+Session來進行認證。但RestFul API屬於無狀態協議,而在後臺使用Session的話,由於Session本身需要服務端進行維持,這樣就破壞了Rest的無狀態性。

解決方案

拋棄Cookie+Session的認證架構,選用Token作為認證手段。在登入驗證時,後臺收集賬號資訊、IP、訪問時間等資訊,生成對應Token,通過cookies傳回客戶端。之後的每次請求API,都需要帶上Token;後臺對Token進行解碼與鑑權操作。這樣就可以在服務端本身不維護登入狀態的情況下,進行許可權認證,不會破壞RestFul的特性。

Java Web 示例

由於Web後臺框架是SpringMVC,這裡選擇使用JWT作為Token生成工具。

編寫一個Token生成工具類,完成兩個方法:Token生成以及Token驗證。

package com.example.utils;

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import
 
 java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * 用於JWT Token的生成與解碼驗證
 */
public class JwtTokenUtils {

    // 加密用的私鑰
    private static String TOKEN_KEY = "keys";

    /**
     * 生成返回給客戶端的token
     * @param username 登入使用者名稱
     * @return token
     * @throws
 
 Exception
     */
    public static String createToken(String username) throws Exception {
        // Token產生時間點
        Date startDate = new Date();

        // 設定過期時間
        Calendar now = Calendar.getInstance();
        now.add(Calendar.HOUR, 24);
        Date expireDate = now.getTime();

        Map<String, Object> map = new HashMap<String, Object>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");
        String token = JWT.create()
                .withHeader(map)
                .withClaim("username", username)
                .withExpiresAt(expireDate)      // 過期時間
                .withIssuedAt(startDate)        // 簽發時間
                .sign(Algorithm.HMAC256(TOKEN_KEY));        // 加密簽名演算法
        return token;
    }

    /**
     * 驗證客戶端token合法性
     * @param token
     * @return 解碼token,獲得的claim對
     * @throws Exception
     */
    public static Map<String, Claim> vertifyToken(String token) throws Exception {
        JWTVerifier verifier = JWT.require(Algorithm.HMAC256(TOKEN_KEY)).build();
        DecodedJWT jwt = null;
        try {
            jwt = verifier.verify(token);
        } catch (Exception e) {
            throw new RuntimeException("token無效");
        }
        return jwt.getClaims();
    }
}

這裡採用的是自定義私鑰以及使用者名稱進行混合加密,有需要可以新增IP等其他資訊。

登入驗證後,生成Token,通過Cookies返回給客戶端:

try {
    String token = JwtTokenUtils.createToken(username);
    Cookie cookie = new Cookie("token", token);
    response.addCookie(cookie);
} catch (Exception e) {
    e.printStackTrace();
    logger.error("create token error : " + username);
}

注意,使用者登出後,需要使Token失效。

自定義攔截器,對需要許可權控制的API進行攔截,驗證Token:

package com.example.interceptor;


import com.auth0.jwt.interfaces.Claim;
import com.example.service.IManagerService;
import com.example.utils.JwtTokenUtils;
import org.apache.log4j.Logger;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Map;

/**
 * Access Token 攔截器
 * 驗證Api許可權
 */
@Component
public class VerifyInterceptor extends HandlerInterceptorAdapter {

    private static final Logger logger = Logger.getLogger(VerifyInterceptor.class);

    @Autowired
    private IManagerService managerService;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        logger.debug("Access token executing...");

        // 標記,用於最後返回值
        boolean flag = false;

        // 從請求報文cookies中獲取token
        String token = null;
        Cookie[] cookies = request.getCookies();
        // 結果非空時,從陣列中查詢名為token的cookie
        if (null != cookies) {
            for (Cookie cookie : cookies) {
                if ("token".equals(cookie.getName())) {
                    token = cookie.getValue();
                    break;
                }
            }
        }

        // 開發時無需token,測試or部署時需要改成false
        if (null == token || "".equals(token)) {
            System.out.println("empty token");
            flag = true;
        } else {
            try {
                Map<String, Claim> map = JwtTokenUtils.vertifyToken(token);
                String name = map.get("username").asString();
                flag = managerService.isUsernameExist(name);
            } catch (RuntimeException e) {
                e.printStackTrace();
                System.out.println("許可權認證失敗");
                logger.debug("許可權認證失敗");
            }
        }
        if (!flag) {    // 驗證失敗時設定response錯誤碼
            response.setStatus(401);
        }
        return flag;
    }
}

這樣我們的RestFul API簡易許可權驗證模組就基本完成了。

相關推薦

使用JWT Token進行RestFul API許可權驗證

問題 後端提供的RestFul API一般都需要進行許可權驗證,而Web框架一般採用Cookies+Session來進行認證。但RestFul API屬於無狀態協議,而在後臺使用Session的話,由於Session本身需要服務端進行維持,這樣就破壞了Rest

API安全驗證JWT(JSON WEB TOKEN) OLCMS

假如www.olcms.com/getUserInfo獲取使用者資訊,你怎麼知道當前使用者是誰?有人說登陸時候我把他UID寫入session了,如果是API介面,沒有session怎麼辦,那麼就需要把UID帶到引數裡面,如果直接帶裡面,安全怎麼辦?所以我們需要加密成別人看不懂的字串,這就是JWT(JSON W

tp5.1 使用Composer安裝firebase php-jwt token驗證 API

PHP有很多jwt包,包括比如:lcobucci/jwt,我這裡使用firebase。可以從 git地址 下載 一、首先安裝Composer,已經安裝就跳過 不會的看這裡:https://blog.

Web Api Owin+Oauth2.0(ClientCredentials)+Jwt Token許可權認證控制

OAuth簡介 OAuth簡單說就是一種授權的協議,只要授權方和被授權方遵守這個協議去寫程式碼提供服務,那雙方就是實現了OAuth模式。 OAuth 2.0 四種授權模式: 授權碼模式(authorization code) 簡化模式(implicit) 密碼模

golang 如何進行jwt許可權驗證

閱讀本文需要有基本的go語法基礎,以及熟悉gin框架 在go裡沒有session物件,而又不想使用cookie的方式來進行許可權驗證的話,可以考慮最近比較火的jwt方式進行驗證。 JWT jwt的

asp.net core 整合JWT(二)token的強制失效,基於策略模式細化api許可權

【前言】   上一篇我們介紹了什麼是JWT,以及如何在asp.net core api專案中整合JWT許可權認證。傳送門:https://www.cnblogs.com/7tiny/p/11012035.html   很多博友在留言中提出了疑問: 如何結合jwt認證對使用者進行API授權? tok

asp.net Web API 身份驗證 不記名令牌驗證 Bearer Token Authentication 簡單實現

驗證 tca star ati manager ace .com return public 1. Startup.Auth.cs文件 添加屬性 1 public static OAuthBearerAuthenticati

token進行身份驗證

ssi 驗證 dci 返回 裏的 擴展性 訪問 數據返回 定期 相比於傳統的身份驗證方法,token驗證更具有可擴展性,安全性更強。非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”,我覺得挺好,意思就是,你拿著這個令牌,才能過一些關卡。 一、

如何使用ABAP Restful API進行代碼的全文搜索

clas upload 分享 auto uri 技術分享 mage orien -i 使用這個代碼全文搜索的前提條件,是在事務碼SFW5裏激活業務功能:SRIS_SOURCE_SEARCH 只需要把這個url貼到瀏覽器裏: https:// 意思是搜索host指定的服務

登入許可權驗證token驗證的原理和實現

原理 後端不在儲存認證資訊,而是在使用者登入的時候生成一個token,然後返回給前端,前端進行儲存,在需要進行驗證的時候將token一併傳送到後端,後端進行驗證 加密的方式:對稱加密和非對稱加密,對稱加密指的是加密解密使用同一個金鑰,非對稱加密使用公鑰和私鑰,加密用私鑰加密,解密用公鑰解密

基於JWT許可權驗證及實戰演練

前言: 大部分系統,除了大部分金融類的系統需要嚴格的安全框架(如shiro),一般的系統安全性要求都不是很高,只需要簡單的許可權驗證(比如登入驗證)即可,下面將簡單介紹JWT用法及登入驗證的實現方式(註解方式) jwt分析(原理啊什麼的廢話就不說了,只說用法) hea

如何使用ABAP Restful API進行程式碼的全文搜尋

使用這個程式碼全文搜尋的前提條件,是在事務碼SFW5裡啟用業務功能:SRIS_SOURCE_SEARCH 只需要把這個url貼到瀏覽器裡: https:// 意思是搜尋host指定的伺服器上所有包含了字串Jerry的ABAP程式碼。 瀏覽器裡顯示的結果: 隨便驗證幾個結果,證明搜尋是準確

【TP5.1】使用路由進行許可權驗證(跟使用全域性中介軟體驗證是一樣的)

author:咔咔 wechat:fangkangfk   在之前的驗證許可權中,我們使用了中介軟體進行了全域性驗證   今天我們在說另一種方法,那就是路由中介軟體 使用這種驗證方式,就需要將全域性的中介軟體刪除掉,另外白名單也可不需要

基於RESTful API 設計使用者許可權控制

RESTful簡述   本文是基於RESTful描述的,需要你對這個有初步的瞭解。 RESTful是什麼? Representational State Transfer,簡稱REST,是Roy Fielding博士在2000年他的博士論文中提出來的一種軟體架構風格。 REST比較

Java中使用JWT生成Token進行介面鑑權實現

先介紹下利用JWT進行鑑權的思路: 1、使用者發起登入請求。 2、服務端建立一個加密後的JWT資訊,作為Token返回。 3、在後續請求中JWT資訊作為請求頭,發給服務端。 4、服務端拿到JWT之後進行解密,正確解密表示此次請求合法,驗證通過;解密失敗說明Token無效或者已過期。 流程圖如下:

OpenShift 如何獲取bearer Token以便進行各種API呼叫

Openshift 需要通過bearer token的方式和API進行呼叫,比如基於Postman就可以瞭解到,輸入bearer token後 1.如何獲取Bearer Token 但Bearer Token如何獲取是個巨大的問題,一般來說有兩種方式 1.基於oc命令列,如 [[email&

OpenShift 如何獲取bearer Token以便進行各種API調用

sting 快的 form agent nbsp .sh utf field ice Openshift 需要通過bearer token的方式和API進行調用,比如基於Postman就可以了解到,輸入bearer token後 1.如何獲取Bearer Token 但B

SpringBoot學習(三)--構建RESTFUL API並用spring-data-jpa進行儲存&&使用IDEA反向生成帶註釋的例項

構造User物件(/domain),如果有資料庫的表可以直接使用IDEA反向生成例項的類。過程如下: 開啟IDEA:View-ToolWindows-Database。新增資料來源,選擇資料庫型別,輸入資料庫的ip。如果不是預設Windows登陸資料庫,則取消勾選然後填入使用者名稱,密碼。

SpringBoot學習(二)--構建RESTFUL API並用JdbcTemplate進行儲存

RESTFUL API 首先,REST是所有Web應用都應該遵守的架構設計指導原則。面向資源是REST最明顯的特徵,對於同一個資源的一組不同的操作。在這裡我們是對一個User物件進行操作。增刪改查。REST要求,必須通過統一的介面來對資源執行各種操作。對於每個資源只能執行一組有限的操作。

從壹開始前後端分離[.netCore 不定期 ] 36 ║解決JWT許可權驗證過期問題

緣起 哈嘍,老張的不定期更新的日常又開始了,在咱們的前後端分離的.net core 框架中,雖然已經實現了許可權驗證《框架之五 || Swagger的使用 3.3 JWT許可權驗證【修改】》,只不過還是有一些遺留問題,最近有不少的小夥伴發現了這樣的一些問題,本來想著直接就在原文修改,但是發現可能怕有的小夥伴