接口服务验证与用户验证

最新推荐文章于 2026-05-15 07:26:45 发布
原创 最新推荐文章于 2026-05-15 07:26:45 发布 · 1.4k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#JWT
本文探讨了接口服务验证和用户验证的传统方法,并重点介绍了Json Web Token(JWT)的工作原理,包括其Payload负载和Signature签名部分。讨论了签名的目的,同时也提醒了关于信息暴露的风险。最后,总结了JWT在实际使用中的优势和注意事项。 
	由于HTTP协定是不储存状态的,这意味着当我们透过帐号密码验证一个使用者时,当下一个request请求时就无法和之前的请求联系到一起。于是我们的程序就不知道谁是谁,就要再验证一次。

传统方式

在传统的项目中,使用的最多最简单的方式:前端登录,后端根据用户信息生成一个token并将这个 token 和对应的用户id进行存储或保存在Session中,然后把 token 传给用户,存入浏览器 cookie。之后浏览器的请求将带上这个cookie,后端根据这个cookie值来查询用户,验证是否过期。(tomcat提供sessionId管理)
在设置 cookie 的时候,其实你还可以设置 httpOnly 以及 secure 项。设置 httpOnly 后 cookie 将不能被 JS 读取,浏览器会自动的把它加在请求的 header 当中,设置 secure 的话,cookie 就只允许通过 HTTPS 传输。secure 选项可以过滤掉一些使用 HTTP 协议的 XSS 注入,但并不能完全阻止。
Session方式存储用户id的最大缺陷在于Session是存储在服务器端的,所以需要占用大量服务器内存,一般而言,大型集群应用还需要借助一些中间库数据库和一系列缓存机制来实现Session的存储和共享。
Session方式来存储用户id,一开始用户的Session只会存储在一台服务器上,这要求我们在多台服务器上同步Session。使用JWT的方式则没有这个问题的存在,因为用户的状态已由客户端管理。

Json Web Token(JWT)

JWT 是一个开放标准(RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。它具备两个特点:
简洁(Compact)
可以通过URL, POST 参数或者在 HTTP header 发送,因为数据量小,传输速度快
自包含(Self-contained)
负载中包含了所有用户所需要的信息,避免了多次查询数据库

JWT 组成

Header 头部
头部包含了两部分,token 类型和采用的加密算法
{
  "alg": "HS256",
  "typ": "JWT"
}

它会使用 Base64 编码组成 JWT 结构的第一部分,如果你使用Node.js,可以用Node.js的包base64url来得到这个字符串。
Base64是一种编码,也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。

Payload 负载

这部分就是我们存放信息的地方了,你可以把用户 ID 等信息放在这里,JWT 规范里面对这部分有进行了比较详细的介绍,常用的由 iss(签发者),exp(过期时间),sub(面向的用户),aud(接收方),iat(签发时间)。
{
    "iss": "lion1ou JWT",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "lion1ou@163.com"
}
同样的,它会使用 Base64 编码组成 JWT 结构的第二部分

Signature 签名

前面两部分都是使用 Base64 进行编码的,即前端可以解开知道里面的信息。Signature 需要使用编码后的 header 和 payload 以及我们提供的一个密钥,然后使用 header 中指定的签名算法(HS256)进行签名。签名的作用是保证 JWT 没有被篡改过。
三个部分通过.连接在一起就是我们的 JWT 了,它可能长这个样子,长度貌似和你的加密算法和私钥有关系。	
其实到这一步可能就有人会想了,HTTP 请求总会带上 token,这样这个 token 传来传去占用不必要的带宽啊。如果你这么想了,那你可以去了解下 HTTP2,HTTP2 对头部进行了压缩,相信也解决了这个问题。

签名的目的

最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改,再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。

信息暴露

在这里大家一定会问一个问题:Base64是一种编码,是可逆的,那么我的信息不就被暴露了吗?
因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录。

JWT 使用

首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。
后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串。
后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage或sessionStorage上,退出登录时前端删除保存的JWT即可。
前端在每次请求时将JWT放入HTTP Header中的Authorization位。(解决XSS和XSRF问题)。后端检查是否存在,如存在验证JWT的有效性。例如,检查签名是否正确;检查Token是否过期;检查Token的接收方是否是自己(可选)。
验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作,返回相应结果。

总结

JWT的主要作用在于
(一)可附带用户信息,后端直接通过JWT获取相关信息。
(二)使用本地保存,通过HTTP Header中的Authorization位提交验证。
(三)解决session集群服务共享问题
http接口认证实现
05-10
http对外接口安全认证,利用spring aop方式,对特定的controller的方法进行拦截,类似微信SDK的安全认证功能,实现http请求认证。认证后产生令牌,30分钟有效期内可使用令牌无需认证。详细内容请关注微信公众号“懵懂少年songyou”
HTTP接口鉴权方式
08-22 1182
方式安全性扩展性适用场景推荐度Basic Auth低 (需HTTPS)中内部简单系统、设备认证⭐⭐API Key中 (需HTTPS)高服务器间通信、公开API⭐⭐⭐中 (需防CSRF)低 (需Session共享)传统有状态Web应用⭐⭐⭐JWT高 (需HTTPS)极高 (无状态)前后端分离、移动端、微服务⭐⭐⭐⭐⭐OAuth 2.0极高极高第三方登录、开放平台授权⭐⭐⭐⭐⭐如何选择?如果是前后端分离的现代应用(如Vue/React + Node.js/Java)
接口测试 — 8.接口测试的认证
m0_73409141的博客
12-20 1218
【已更新】B站讲的最详细的Python接口自动化测试实战教程全集(实战最新版)共计200条视频,包括:1、接口自动化之为什么要做接口自动化、2、接口自动化之request全局观、3、接口自动化之接口实战等,UP主更多精彩视频,请关注UP账号。这个选项提供了username 和password 的选项,但这里的Auth用户名和密码,系统登录的用户名密码有所区别,登录的用户名密码是作为接口数来传输,而Auth不是,但它仍然包含在request请求中。的子类来实现的,也非常容易定义。Requests 在。
实战篇03:登录接口
分享简单的安全技术
04-02 1757
请求路径:/user/login请求方式:POST接口描述:该接口用于登录。
SpringSecurity 用户名和密码的校验过程及自定义密码验证
热门推荐
z69183787的专栏
02-06 2万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
SpringBoot整合CXF发布WebService接口,及动态调用(用户名和密码验证
SuperSunnyBoy的博客
03-25 7855
服务端继承AbstractPhaseInterceptor<T>,来实现AuthInterceptor的权限控制功能
国际短信验证接口入实践:为全球用户提供统一且可靠的验证服务
m0_61627247的博客
12-05 1139
本文介绍了入国际短信验证接口的关键流程和注意事项。针对跨境业务中的验证码发送需求,重点分析了专业接口的必要性,并详细说明了从注册账号、获取测试额度到调试接口的完整步骤。文章强调了国际号码格式、模板备案等易忽略细节,建议开发者通过工程化封装实现稳定可靠的短信验证功能。最后推荐互亿无线接口作为解决方案,帮助开发者快速实现全球短信验证能力。
魔方APP项目-05-注册功能实现,手机号唯一验证接口、客户端进行手机号验证、保存用户注册信息接口、客户端用户进行注册、使用云通讯发送短信,服务端实现发送短信验证码的api接口、客户端实现点击发送短信
Hi文的博客
12-03 703
用户模块 一、注册功能实现 1.手机号码唯一验证接口 在开发中,针对客户端提交的数据进行验证或提供模型数据转换格式成字典给客户端。可以使用Marshmallow模块来进行。 为了方便导包,所以我们设置当前language作为导包路径进行使用. application.__init__.py代码: import sys ... def init_app(config_path): """全局初始化""" # 创建app应用对象 app = Flask(__name__) # 项
ajax webapi 接口认证,WebApi用户登录验证服务器端用户状态存取
weixin_39579468的博客
08-06 628
最近项目需要给手机端提供数据,采用WebApi的方式,之前的权限验证设计不是很好,这次采用的是Basic基遇新是直朋能到分览础认证。1、常见的认遇新是直朋能到分览证方式我们知道,asp.net的认证机制有很多种。对于WebApi也不例外,常见的认证方式有FORM作一新求抖直微圈身份验证集成WINDOWS验比抖朋要插支一圈不者地证Basic基遇新是直朋能到分览础认证Diges中比需抖朋功要朋插t摘...
运营商二要素认证API接口:提供手机号实名验证服务,确保用户信息的真实性
挖数据API接口的博客
08-13 1995
其中,涉及到用户个人信息的场景,如电商、游戏、直播、金融等需要用户实名认证的场景,必须要进行实名认证。通过本文所介绍的方法,我们可以快速的实现手机号实名验证服务,并且提供相应的API接口。我们可以选择国内一些大型的互联网公司提供的API,如阿里云、腾讯云等,也可以选择相应的第三方服务商,如挖数据等。其中,appkey为挖数据平台提供的应用程序注册的appkey,cardno为待验证的身份证号码,realname为待验证的真实姓名。获得数后,我们就可以根据指定的接口地址,进行API的调用。
鼎捷Tiptop ERP T100/GP Webservice接口开发实战:从零构建用户权限验证服务
最新发布
weixin_30386713的博客
05-15 480
本文详细介绍了鼎捷Tiptop ERP T100/GP Webservice接口开发中的用户权限验证服务构建实战。从开发环境配置、核心4GL代码实现到服务注册发布,全面解析了身份认证、权限控制和数据隔离等关键功能。文章还提供了SoapUI测试技巧和安全加固方案,帮助开发者高效构建安全可靠的ERP接口服务
短信接口验证码发送到用户手机上
一叶之秋的博客
11-19 1747
短信接口验证码发送到用户手机上 /** * 给远程第三方短信接口发信息请求,把验证码发送到用户手机上 * * @param host 短信接口的调用url地址 * @param path 具体发送短信的地址 * @param method 请求方式(get) * @param phoneNum 着短信的手机号码 * @param appCode 用户来调用第三方短信api的appCode * @pa
C# 用SoapUI调试WCF服务接口(WCF中包含用户名密码的验证
weixin_30369041的博客
12-30 485
问题描述: 一般调试wcf程序可以直建一个单元测试,直接口。 但是,这次,我还要测试在接口内的代码中看收到的用户名密码是否正确,所以,单一的直调用接口方法行不通, 然后就想办法通过soapUI输入用户名和密码调用接口调试。 解决方案: 1.建立IIS站点a,指向……src\WCF(右键项目名称->在文件资源管理器中打开文件夹,直复制该打开的文件夹路径,建立站点,指...
一种服务接口身份验证方法
lgb861127的专栏
02-13 5652
一种服务接口身份验证方法 本人觉得安全、高效的方法是: 1  登陆的时候 向服务端发送用户名和密码, 服务端会返回给我们一个用户ID,这个用户ID是服务端通过某种规则生成(根据用户绑定)。 2  下次每次访问其他方法都需要带上这个 用户Id ,服务端会根据 用户ID监测该用户是否登录。这样是不需要每次携带用户名和密码  不安全而且麻烦
京东用户授权登录接口调用部署到服务器报错 javax.net.ssl.SSLHandshakeException 证书验证不通过
weixin_42737985的博客
11-01 1626
调用京东用户授权登录接口 https://jauth.jd.com/access_token 使用httpCilent get请求 在本地测试时没有问题 可以正常获取到用户openid等信息 但是工程部署到云测试服务器上后 请求报错: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExceptio...
基于微服务用户注册时的手机短信验证
weixin_46007404的博客
08-04 1636
基于微服务用户注册时的手机短信验证码,这里将短信验证码的第三方接口(阿里云提供)封装成一个工具类 截图: 示例 1.工程结构: 2.crowd-common子模块中: (1).RedisProviderService.java: import com.kmu.util.ResultEntity; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.anno
wcf 断点 调试_C# 用SoapUI调试WCF服务接口(WCF中包含用户名密码的验证
weixin_40008135的博客
12-24 351
问题描述:一般调试wcf程序可以直建一个单元测试,直接口。但是,这次,我还要测试在接口内的代码中看收到的用户名密码是否正确,所以,单一的直调用接口方法行不通,然后就想办法通过soapUI输入用户名和密码调用接口调试。解决方案:1.建立IIS站点a,指向……src\WCF(右键项目名称->在文件资源管理器中打开文件夹,直复制该打开的文件夹路径,建立站点,指向该路径)2.设置站点a的...
魔方APP项目-06-用户注册,完成短信验证码的校验、基于Celery实现短信异步发送、用户登录,jwt登陆认证、服务端提供用户登录的API接口
Hi文的博客
12-03 669
一、用户注册… 1.完成短信验证码的校验 application.utils.language.message,代码: class ErrorMessage(): ok = "ok" mobile_format_error = "手机号码格式有误!" mobile_is_use = "对不起,当前手机已经被注册!" username_is_use = "对不起,当前用户名已经被使用!" password_not_match = "密码和验证密码不匹配!" sm
基于JWT用户token验证
码上悦读
06-30 1390
文章摘要:本文对比分析了两种用户身份验证机制。基于Session的验证通过服务器端存储会话信息,客户端携带SessionID进行验证JWT则采用Token机制,由服务器生成签名Token供客户端存储和携带。详细介绍了二者的工作流程、实现步骤及代码示例(包括Token生成、验证接口测试),并探讨了JWT的失效管理和无感刷新等优化问题。两种方案各具特点,适用于不同应用场景。
CXF实现用户验证
zerojunyan的专栏
04-18 835
CXF实现用户验证 1服务器端编写验证类 package Interceptor; import javax.xml.soap.SOAPException; import javax.xml.soap.SOAPHeader; import javax.xml.soap.SOAPMessage; import org.apache.cxf.binding.soap.SoapMessage
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值