token

JWT是什么 JWT一看就是简称，它的 全称JSON Web Token ，从字面上我们看出 1、数据是JSON格式 2、用于Web应用 3、是一个Token，也就是一个令牌方式 看看官方的说明，它定义了一种 紧凑且自包含 的方式，用于在各方之间以 JSON对象进行安全传输信息 。这些信息可以通过对称/非对称方式 进行签名，防止信息被串改 。 紧凑的含义： 就是 JWT比较小，数据量不大 ，可以通过URL、POST参数或 Header请求头 方式进行传输。 自包含的含义： jwt可以让用户自定义 JWT里面包含的用户信息 ，如：姓名、昵称等（ 不要放隐密的信息 ）。从而 避免了多次查询数据库 。 JWT数据结构 JWT由三个部分组成 1、Header 2、Payload 3、Signature 三者组合在一起 Header.Payload.Signature 案例 看上去是不是满乱，我们来依次看下里面的结构。 Header 这个是 JWT第一段数据，表示头部信息 ，主要的作用是 描述JWT的元数据 ，上面的案例就是： { alg: "HS256", typ: "JWT" } 1、alg属性表示 签名的算法，默认算法为HS256 ，可以自行别的算法。 2、typ属性表示这个 令牌的类型 ，JWT令牌就为JWT。 上面的JSON数据会通过 Base64算法 进行编码而成，看工具图

1.配置 mysite/setting.py 配置token module INSTALLED_APPS = ( ... 'rest_framework.authtoken' ) 2.生成相关表 python manage .py migrate mysql> show tables; +----------------------------+ | Tables_in_store | +----------------------------+ | auth _group | | auth_ group _permissions | | auth_ permission | | auth _user | | auth_ user _groups | | auth_ user _user_ permissions | | authtoken _token #生成此表 3.使用 在model中实现 testrestapi/model.py （1）.第一种，配置所有 # 为每个用户添加token值 @receiver(post_save, sender=settings.AUTH_USER_MODEL) def create_auth_token (sender, instance=None, created=False, **kwargs) : if created: Token

I have to work with RESTful web service which uses token-based authentication from Java application. I can successfully get token by this way: import java.io.BufferedReader; import java.io.InputStreamReader; import java.io.OutputStream; import java.net.HttpURLConnection; import java.net.URL; public void getHttpCon() throws Exception{ String POST_PARAMS = "grant_type=password&username=someusrname&password=somepswd&scope=profile"; URL obj = new URL("http://someIP/oauth/token"); HttpURLConnection con = (HttpURLConnection) obj.openConnection(); con.setRequestMethod("POST"); con.setRequestProperty(

目录 JWT认证 1.优点与格式 2.drf-jwt插件安装使用 JWT认证 1.优点与格式 优点 1.服务器不需要存储token,token交给每一个客服端自己存储,服务器压力小 2.服务器存储的是签发和校验token的两端算法,签发认证的效率高 3.算法完成各集群服务器同步成本低,路由项目完成集群部署(适应高并发) 格式 1.jwt token采用三段式: 头部,载荷,签名 2.每一部分都是一个json字典加密形参的字符串 3.头部和载荷采用的是base64可逆加密(前后端都可以加密) 4.签名采用hash256不可逆加密(后台检验采用碰撞校验) 5.各部分字典的内容: 头部: 基础信息 -公司信息,项目组信息,可逆加密采用的算法 载荷: 有用但非私密的信息 -用户可公开的信息,过期时间 签名: 头部+载荷+秘钥 不可逆加密后的结果 注意: 服务器jwt签名加秘钥一定不能泄露 签发token: 固定头部信息加密,当前的登录用户与过期时间加密.头部+载荷+签名+秘钥生成不可逆加密 校验token: 头部可校验也可以不校验,载荷校验出用户与过期时间,头部+载荷+秘钥完成碰撞检测校验token是否被篡改 2.drf-jwt插件安装使用 安装 # 相当于一个模块,只需要下载导入就可以使用,不需要注册,不和数据库打交道. pip install djangorestframework

In a WebApp development with AngularJS which uses token validation for authentication purposes, what's the best way to do this validation? For example: Validate the Token every time I have a route transition. For this I have to make a rest call for everytime I want to validate. Validate the token just one time, with one rest call, and then store the token in local storage. (The token itself just have a boolean telling if it is authenticated or not) My concern is to not make a rest call in every route transaction, I don't want to consume that much of http traffic. But, if there isn't another

CSRF攻击 CSRF漏洞的发生 相比XSS，CSRF的名气似乎并不是那么大，很多人都认为CSRF“不那么有破坏性”。真的是这样吗？ 接下来有请小明出场~~ 小明的悲惨遭遇 这一天，小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意： 甩卖比特币，一个只要998！！ 聪明的小明当然知道这种肯定是骗子，但还是抱着好奇的态度点了进去（请勿模仿）。果然，这只是一个什么都没有的空白页面，小明失望的关闭了页面。一切似乎什么都没有发生…… 在这平静的外表之下，黑客的攻击已然得手。小明的Gmail中，被偷偷设置了一个过滤规则，这个规则使得所有的邮件都会被自动转发到hacker@hackermail.com。小明还在继续刷着邮件，殊不知他的邮件正在一封封地，如脱缰的野马一般地，持续不断地向着黑客的邮箱转发而去。 不久之后的一天，小明发现自己的域名已经被转让了。懵懂的小明以为是域名到期自己忘了续费，直到有一天，对方开出了 $650 的赎回价码，小明才开始觉得不太对劲。 小明仔细查了下域名的转让，对方是拥有自己的验证码的，而域名的验证码只存在于自己的邮箱里面。小明回想起那天奇怪的链接，打开后重新查看了“空白页”的源码： <form method="POST" action="https://mail.google.com/mail/h

背景 vue前后端分离开发微信授权 2018-08-14更新 时隔四个月第一次更新，因为项目重构有一次接触到了微信授权，思路已经比原来清晰的多了，将重新修改一下整个文章 场景 app将商品分享到微信朋友圈或者分享给微信好友，用户点击页面时进行微信授权登陆，获取用户信息。 问题： 没有固定的h5应用首页，回调不能到index。授权后重定向url带参数并且很长 本人愚钝，开发过程中，尝试过很多方法，踩坑不足以形容我的心情，可以说每一次都是一次跳井的体验啊。 1.一开始尝试的方式是前端请求微信连接，返回code，然后code作为再去请求后台接口获取token，后面看到别人的博客说这个方法不好，最好就是直接请求后台接口，然后后台返回url做跳转，所以就采用了最传统的方法，后台返回url，前台跳转。 2.这个时候就出现一个问题，微信授权要跳跳跳，最终想回到第一次点进来时候的链接就蛋疼了，从网上查了一下解决方法，将链接本身作为redirect_uri参数，大概就是这个样子 https://open.weixin.qq.com/connect/oauth2/authorizeappid=xxxxxxxxxxxxxxxxxx&redirect_uri=*www.admin?http://www.xxx.com/h5/product*&response_type=code&scope=snsapi

使用jssdk的时候，发生了在配置时候产生的问题。config:invalid signature 后来发现是因为地址配置错误产生的。 如果代码写完后，确认签名算法正确，可用 http://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=jsapisign 页面工具进行校验。 参考网址： https://www.cnblogs.com/vipstone/p/6732660.html https://blog.csdn.net/dmw412724/article/details/81083058 我遇到的问题是 在生成签名(signature)的时候，生成出错了。是我的 window.location.href.split('#')[0] 手写的，应该动态获取。（建议全部小写） 在签名成功以后，傻傻的调用 wx.ready(function () { }) 一直没有执行。在这里也花费了好久时间 @{ Layout = null; } <!DOCTYPE html> <html> <head> <meta name="viewport" content="width=device-width" /> <script src="https://res.wx.qq.com/open/js/jweixin-1.4.0.js" type="text

最近在做一个新项目，我用的是SpringBoot框架，采用前后端分离方式进行开发，这样在联调的时候就涉及到跨域的问题，通过网上找了很多资料参考，最后整理出来一份可以大家直接拿来使用的代码示例，希望对大家有更多的帮助，本文并不想讲太多的理论，网上讲理论的太多了，直接把代码分享给大家： 1、跨域配置类： @Configuration @Slf4j public class CorsConfig { @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); final CorsConfiguration config = new CorsConfiguration(); // 允许cookies跨域 config.setAllowCredentials(true); // #允许向该服务器提交请求的URI，*表示全部允许，在SpringMVC中，如果设成*，会自动转成当前请求头中的Origin config.addAllowedOrigin("*"); // #允许访问的头信息,*表示全部 config.addAllowedHeader("*"); // 预检请求的缓存时间（秒），即在这个时间段里