Api接口登錄的鑑權方案

原創 biekeqi_zaowei 2020-05-06 18:37

Api接口登錄的鑑權方案
web登錄和前後端分離方式的登錄是不一樣的,web登錄成功主要靠的session,一但登錄成功後客戶端就會存儲一個session_id,這樣以後每次用戶訪問網頁都會帶着session_id,這樣就能取得存放在服務端的session數據。
app登錄就不能使用session,所以我們這裏可以使用登錄成功後要產生一個token值,以後用戶每次訪問app都要在header頭帶着這個token值,而這個token值需要一個過期時間。這個token值可以使用兩種方案,一、可以在用戶表上加上一個token字段和一個過期時間字段,二、可以使用JWT(json web token)這樣就不需要將token值存入到數據庫中
1 使用數據庫
用戶第一次註冊成功後,往數據庫中插入一條數據,同時生成一個token和token的過期時間,token的生成一定要具有唯一性。(token的生成可以使用md5(uniqid()));同時將token返回給客戶端,客戶端將token存起來,以後每次訪問都帶上這個token,這樣我們就能先檢測token是否存在,如果存在就可以查詢用戶信息,查到後然後對比過期時間就行,如果token不存在或者token不正確,或者過期返回重新登陸,登陸後也要重新生成token和token的過期時間,返回給客戶端。
但是上面還是有風險,如果網絡包中途被別人截獲了,別人就可以發送http請求了,(當然我們已經做了基本的參數的驗證,每次只能驗證一次),我們的token也可像sign一樣,當我們將token值返回給客戶端後,以後再發送請求給app時我們不用帶上token,帶上的是token和時間戳一起通過AES算法加密的access_user_token,這樣我們每次訪問access_user_token 都是不一樣的,我們在服務端驗證時,首先判斷傳遞access_user_token,如果有我在判斷在redis中有無access_user_token值,如果有說明被驗證過了,這個網絡包就不安全了,如果沒有,我們將access_user_token存入redis,然後進行解密,獲得token後從數據庫中查詢。如果解密失敗或者,數據庫中沒有數據或者時間過期了讓用戶重新登陸
2 使用JWT
我們也可以使用jwt,jwt是一種json web token ,當我們登陸成功或者註冊成功後,我們可以使用jwt加密算法將用戶的id通過jwt進行加密生成一個token值,我們可以把這個token值存入到客戶端,這樣客戶端每次請求都會帶上token值,我們的服務端拿到這個token值進行解密,如果解密失敗或者時間過期,我們就讓他重新登陸,如果解密成功我們就能獲取用戶的user_id,這樣我們就能查到用戶的信息了。
但是上面還是有風險,如果網絡包中途被別人截獲了,別人就可以發送http請求了,(當然我們已經做了基本的參數的驗證,每次只能驗證一次),我們的token也可像sign一樣,當我們將token值返回給客戶端後,以後再發送請求給app時我們不用帶上token,帶上的是token和時間戳一起通過AES算法加密的access_user_token,這樣我們每次訪問access_user_token 都是不一樣的,我們在服務端驗證時,首先判斷傳遞access_user_token,如果有我在判斷在redis中有無access_user_token值,如果有說明被驗證過了,這個網絡包就不安全了,如果沒有,我們將access_user_token存入redis,然後進行解密,獲得token後再使用jwt解密獲得用戶信息(比如用戶的user_id)然後再從數據庫中查詢用戶信息。如果解密失敗或者數據庫中沒有數據或者時間過期了讓用戶重新登陸。可以參考:https://www.cnblogs.com/yehuisir/p/11521165.html
Api接口登錄的鑑權方案
token和refresh_token的使用讓我們的app登錄狀態永久性掛起。
即使是這樣,不論我們使用哪種方式,token的過期時間原理上可以說是越短越安全,那麼存在的問題就是token有一個過期時間,那麼過期之後是不可能讓用戶重新輸入用戶名和密碼來重新獲取token的,那樣完全違背了提升體驗的初衷,相當於此功能是一個累贅了;
在token過期的情況,我們可以使用保存在手機本地的refresh_token去後臺刷新一下token,重新獲取一組令牌信息,覆蓋掉以前保存在手機上的令牌信息,這也算是提升了一點安全性,爲避免以前的令牌信息如果真落入別人之手
下面的例子是我用vue和jwt的案例
用戶登錄成功後我們同時生成token和refresh_token,token的時間是7200秒,refresh_token的時間是30天,爲了後期拿refresh_token生成新的token方便,token中加密的數據和refresh_token加密的數據是一樣的
Api接口登錄的鑑權方案

我們每次都要驗證token,如下圖是驗證token的中間件
Api接口登錄的鑑權方案
我們的客戶端收到返回50000的狀態碼是token不存在或者token錯誤,必須要重新登錄,收到的50001的狀態碼是因爲token過期,token過期後我們需要使用refresh_token 重新獲得新的token和refresh_token
Api接口登錄的鑑權方案
Api接口登錄的鑑權方案
Api接口登錄的鑑權方案
下面是驗證refresh_token的中間件
Api接口登錄的鑑權方案
如果驗證refresh_token的中間件通過後重新生成新的token和refresh_token
Api接口登錄的鑑權方案
這樣就能實現我們的app上只需要登錄一次,我們就不需要登錄了,除非在30天內我們沒有操作過我們的app導致refresh_token也失效了。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Ajax+Springboot+jooq實現登錄功能

Ajax+Springboot+jooq實現登錄功能Ajax+Springboot+jooq實現登錄功能簡介Springbootjooqajax代碼java代碼jooq代碼表 Ajax+Springboot+jooq實現登錄功能

IT小白098 2020-07-08 09:44:08

GDI vs GDI+ 通殺常見圖片

通常位圖(Bitmap)能夠滿足大多數體積小的情況了,但對於大的位圖, 如果是要放到資源,實不敢恭維啊,程序體積一下子大了N多,看着也不爽 同樣的圖片,如果是PNG啊JPEG啊等其它格式,體積明顯小了不是一般的多 那麼爲何不用它們呢? 微

Just_Fancy 2020-07-08 11:15:30

01-Django REST framwork 板塊( 01-REST規範)

文章目錄一、RESTFUL API 設計二、知識點1. 10個restfull規範,分析記憶2. 常見重點分析a. 用過rest framework,那麼寫視圖的時候,都繼承過哪些類?b. 用過比較接近原生的類,還可以繼承原生的其

AggressionStorm 2020-07-08 04:15:54

Animations的使用(一)

Animation的分類: 一,Tweened Animations。旋轉,移動,伸展,淡出等效果。 二,Frame-by-Frame Animations。可創建一個Drawable序列,按照指定的時間間隔一個個顯示。 Tweened

chuibb001 2020-07-08 04:10:21

百度地圖api 怎麼禁止百度自己的InfoWindow

var map = new BMap.Map("allmap", {enableMapClick: false}); 屬性屬性類型描述zoomLevelMinNumber地圖允許展示的最小級別。(自 1.2 廢棄)zoomLeve

世界太过浮夸 2020-07-08 03:46:15

如何使用FacesContext類{JSF}

  (轉)如何使用FacesContext類{JSF} 在Faces API中有兩個類是要經常使用的. 一個是FacesContext 一個是ExternalContext, 本篇文章講解如何使用前者, 在下面的一篇文章中在繼續講解

Arthur0088 2020-07-08 03:38:11

在ASP.NET 2.0中建立站點導航層次

站點導航提供程序--ASP.NET 2.0中的站點導航提供程序暴露了應用程序中的頁面的導航信息,它允許你單獨地定義站點的結構,而不用考慮頁面的實際物理佈局。默認的站點導航提供程序是基於XML的,但是你也可以通過編寫自定義的提供程序,從任何

yazoli2002 2020-07-08 03:08:01

VC中定時器的使用 實現數據自動發送

定時器的使用 實現數據自動發送 2011-06-03 08:57 VC中定時器的使用 實現數據自動發送 2010-04-10 22:13:21 1.1 用WM_TIMER來設置定時器 先請看SetTimer這個API函數的原型 U

学海无涯前头是岸 2020-07-07 23:40:36

win32的回調機制是如何現實的

 作者:MediaStar   ([email protected])   收錄於:2002年3月18日       調用(callin

学海无涯前头是岸 2020-07-07 23:40:36

Java中的String類解析

1.相等性的比較(==) (1)對於原生數據類型來說,比較的是左右兩邊的值是否相等 (2)對於引用類型來說,比較左右兩邊的引用是否指向同一個對象,或者說左右兩邊的引用地址是否相同。 2.Object 類的tostring方法返

柠檬2312 2020-07-07 23:15:57

通過調用API函數實現的無邊框窗體的拖拽,比判斷座標更快捷

在winform程序中,有時會選擇邊框設計會none,但是這樣就不能拖拽窗體移動 解決方案有二; 1,判斷座標控制拖拽 2.利用API函數, 下面介紹利用API函數,方便,快捷#region 移動無邊框窗體事件 priva

Joe-Fan 2020-07-07 22:28:44

linux內核--定時器API

/**<linux/timer.h> 定時器結構體 struct timer_list { ........ unsigned long expires; --內核希望定時器執行的jiffies值 void

ComingFlying 2020-07-07 21:19:40

java跨平臺運行【有關路徑獲取】

最近需要把項目發佈到linux裏。 總以爲很簡單就可以支持跨平臺。 但其實不然。 java中很多api還是不知道的。 windows下的項目到linux就出現路徑的問題啦。 windows系統下的路徑分隔符是\ linux系統下的路徑分

减肥啊啊啊啊啊 2020-07-07 20:48:28

windows 編程 何去何從

最終我們看到的程序或軟件實體總歸是要依託在操作系統上的,   我倒是看不到windows操作系統的滅亡,或許等雲操作系統出現的時   候,雲可以作爲服務提供端,windows成爲服務解釋和承載端。   因此,windows上的開發還是不會

dobest9014 2020-07-07 17:54:14

Android基礎篇-自動獲取屏幕的尺寸及密度

有的時候我們需要獲取設備的尺寸以及密度,Android是提供了相應的API的 DisplayMetrics metric = new DisplayMetrics(); getWindowManager(

a603473186 2020-07-07 17:43:01