token验证失败

点击上方 好好学java ，选择 星标 公众号 重磅资讯、干货，第一时间送达 来源：jianshu.com/p/8ef0c5a551d3 今日推荐： 在阿里干了五年，面试个小公司挂了… 在Web应用中，HTTP请求是无状态的。即：用户第一次发起请求，与服务器建立连接并登录成功后，为了避免每次打开一个页面都需要登录一下，就出现了cookie，Session。 Cookie Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。Cookie存储的数据量有限，且都是保存在客户端浏览器中。不同的浏览器有不同的存储大小，但一般不超过4KB。因此使用 Cookie 实际上只能存储一小段的文本信息。 例如：登录网站，今输入用户名密码登录了，第二天再打开很多情况下就直接打开了。这个时候用到的一个机制就是Cookie。 Session Session是另一种记录客户状态的机制，它是在服务端保存的一个数据结构（主要存储的的SessionID和Session内容，同时也包含了很多自定义的内容如：用户基础信息、权限信息、用户机构信息、固定变量等），这个数据可以保存在集群、数据库、文件中，用于跟踪用户的状态。 客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是 Session

JWT官网： https://jwt.io/ JWT(Java版)的github地址: https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT) , 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准（(RFC 7519). 定义了一种简洁的，自包含的方法用于通信双方之间以 JSON 对象的形式安全的传递信息。 因为数字签名的存在，这些信息是可信的， JWT可以使用 HMAC 算法或者是 RSA 的公私秘钥对进行签名。 JWT请求流程 image.png 1. 用户使用账号和面发出post请求； 2. 服务器使用私钥创建一个jwt； 3. 服务器返回这个jwt给浏览器； 4. 浏览器将该jwt串在请求头中像服务器发送请求； 5. 服务器验证该jwt； 6. 返回响应的资源给浏览器。 JWT的主要应用场景 身份认证在这种场景下，一旦用户完成了登陆，在接下来的每个请求中包含JWT， 可以用来验证用户身份以及对路由，服务和资源的访问权限进行验证。 由于它的开销非常小，可以轻松的在不同域名的系统中传递，所有目前在 单点登录（SSO） 中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式， 由于它的信息是经过签名的，可以确保发送者发送的信息是没有经过伪造的。 优点 1.简洁

发展史 1、很久很久以前，Web 基本上就是文档的浏览而已， 既然是浏览，作为服务器， 不需要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议， 就是请求加响应， 尤其是我不用记住是谁刚刚发了HTTP请求， 每个请求对我来说都是全新的。这段时间很嗨皮。 2、但是随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理会话，必须记住哪些人登录系统， 哪些人往自己的购物车中放商品， 也就是说我必须把每个人区分开，这就是一个不小的挑战，因为HTTP请求是无状态的，所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串，每个人收到的都不一样， 每次大家向我发起HTTP请求的时候，把这个字符串给一并捎过来， 这样我就能区分开谁是谁了 3、这样大家很嗨皮了，可是服务器就不嗨皮了，每个人只需要保存自己的session id，而服务器要保存所有人的session id ！如果访问服务器多了， 就得由成千上万，甚至几十万个。 这对服务器说是一个巨大的开销 ， 严重的限制了服务器扩展能力， 比如说我用两个机器组成了一个集群， 小F通过机器A登录了系统， 那session id会保存在机器A上， 假设小F的下一次请求被转发到机器B怎么办？机器B可没有小F的 session id啊。 有时候会采用一点小伎俩：

　　最近做微信PC端网页微信相关功能的开发，从一个新手的角度来说，微信公众号的文档还是不好理解的，网上找的帖子大都也都基本上是复制微信公众平台上给的文档，开发微信带参数二维码过程中还是遇到不少坑的，在此把我的开发过程比较详细的记录下，希望对大家有所帮助。 　　我本次开发使用的是认证服务号。 1 接入 　　首先进入微信公众号 -> 基本配置 　　下面是基本配置的页面，在URL中填写服务器地址，这个地址就是接受微信推送事件的一个接口，我是使用thinkPHP框架开发的程序，在其中一个Module（Decoration）的Action目录下新建一个类，比如叫： WechatAction.class.php ，在该Action中新建一个public方法，比如叫： URLRedirect() ，那么在这个URL中填写的就是 http://[IP]:[port]/index.php/Decoration/Wechat/UrlRedirect ,然后填写Token，Token随意填，EncodingAESKey要不要都行，然后点击确认，微信会往这个URL上发送一个get请求，里面包含很多参数，其中大部分都是让我们自己核对这次访问是不是微信服务器请求的，我自己没有验证，他的要求是如果我们核对成功，即原样返回get请求中的一个参数echostr，这里的返回不是return，也不是ajaxReturn

前提:前几天在查询接口超时时，查看日志时，发现某个接口调用了很多次，最终发现是因为dubbo的重试次数，导致接口超时时，会重试多次； 一、dubbo常用配置 <dubbo:service/> 服务配置，用于暴露一个服务，定义服务的元信息，一个服务可以用多个协议暴露，一个服务也可以注册到多个注册中心。 <dubbo:service ref="demoService" interface="com.unj.dubbotest.provider.DemoService" /> <dubbo:reference/> 引用服务配置，用于创建一个远程服务代理，一个引用可以指向多个注册中心。 <dubbo:reference id="demoService" interface="com.unj.dubbotest.provider.DemoService" /> <dubbo:protocol/> 协议配置，用于配置提供服务的协议信息，协议由提供方指定，消费方被动接受。 <dubbo:protocol name="dubbo" port="20880" /> <dubbo:application/> 应用配置，用于配置当前应用信息，不管该应用是提供者还是消费者。 <dubbo:application name="xixi_provider" /> <dubbo:application name

概述 前后端分离之后，因为HTTP本身是无状态的，Session就没法用了。项目采用jwt的方案后，请求的主要流程如下：用户登录成功之后，服务端会创建一个jwt的token（jwt的这个token中记录了当前的操作账号），并将这个token返回给前端，前端每次请求服务端的数据时，都会将令牌放入Header或者Parameter中，服务端接收到请求后，会先被拦截器拦截，token检验的拦截器会获取请求中的token，然后会检验token的有效性，拦截器都检验成功后，请求会成功到达实际的业务流程中，执行业务逻辑返回给前端数据。在这个过程中，主要涉及到Shiro的拦截器链，Jwt的token管理，多Realm配置等。 Shiro的Filter链 Shiro的认证和授权都离不开Filter，因此需要对Shiro的Filter的运行流程很清楚，才能自定义Filter来满足企业的实际需要。另外Shiro的Filter虽然原理都和Servlet的Filter相似，甚至都最终继承相同的接口，但是实际还是有些差别。Shiro中的Filter主要是在ShiroFilter内，对指定匹配的URL进行拦截处理，它有自己的Filter链；而Servlet的Filter和ShiroFilter是同一个级别的，即先走Shiro自己的Filter体系

目录 介绍 建表，初始化数据 工程配置 Authorization Server - Spring Security配置 Authorization Server - 授权服务器 Resource Server - 资源服务器 测试 工程下载 (一) 简介 OAuth是一个关于授权的开放网络标准，在全世界得到的广泛的应用，目前是2.0的版本。OAuth2在“客户端”与“服务提供商”之间，设置了一个授权层(authorization layer)。“客户端”不能直接登录“服务提供商”，只能登录授权层，以此将用户与客户端分离。“客户端”登录需要OAuth提供的令牌，否则将提示认证失败而导致客户端无法访问服务。OAuth2.0是OAuth协议的延续版本，但不向后兼容OAuth 1.0即完全废止了OAuth1.0。 OAuth2为我们提供了四种授权方式： 1、授权码模式（authorization code） 2、简化模式（implicit） 3、密码模式（resource owner password credentials） 4、客户端模式（client credentials） 授权码模式 授权码相对其他三种来说是功能比较完整、流程最安全严谨的授权方式，通过客户端的后台服务器与服务提供商的认证服务器交互来完成。流程如下图所示： 简化模式 这种模式不通过服务器端程序来完成

Laravel框架中避免CSRF攻击很简单：Laravel自动为每个用户 Session 生成了一个CSRF Token，该Token可用于验证登录用户和发起请求者是否是同一人，如果不是则请求失败。 Laravel提供了一个全局帮助函数 csrf_token 来获取该Token值，因此只需在视提交图表单中添加如下HTML代码即可在请求中带上Token： <input type="hidden" name="_token" value="<?php echo csrf_token(); ?>"> 该段代码等同于全局帮助函数csrf_field的输出：在Blade模板引擎中还可以使用如下方式调用： {!! csrf_field() !!} 3、从CSRF验证中排除指定URL 并不是所有请求都需要避免CSRF攻击，比如去第三方API获取数据的请求。 可以通过在 VerifyCsrfToken （ app/Http/Middleware/VerifyCsrfToken.php ） 中间件 中将要排除的请求URL添加到 $except 属性数组中： <?php namespace App\Http\Middleware; use Illuminate\Foundation\Http\Middleware\VerifyCsrfToken as BaseVerifier; class

之前写了很多关于spring cloud的文章，今天我们对OAuth2.0的整合方式做一下笔记，首先我从网上找了一些关于OAuth2.0的一些基础知识点，帮助大家回顾一下知识点： 一、oauth中的角色 client：调用资源服务器API的应用 Oauth 2.0 Provider：包括Authorization Server和Resource Server （1）Authorization Server：认证服务器，进行认证和授权 （2）Resource Server：资源服务器，保护受保护的资源 user：资源的拥有者 二、下面详细介绍一下Oauth 2.0 Provider Authorization Server: （1）AuthorizationEndpoint:进行授权的服务，Default URL: /oauth/authorize （2）TokenEndpoint：获取token的服务，Default URL: /oauth/token Resource Server: OAuth2AuthenticationProcessingFilter：给带有访问令牌的请求加载认证 三、下面再来详细介绍一下Authorization Server: 一般情况下，创建两个配置类，一个继承AuthorizationServerConfigurerAdapter

之前写了很多关于spring cloud的文章，今天我们对OAuth2.0的整合方式做一下笔记，首先我从网上找了一些关于OAuth2.0的一些基础知识点，帮助大家回顾一下知识点： 一、oauth中的角色 client：调用资源服务器API的应用 Oauth 2.0 Provider：包括Authorization Server和Resource Server （1）Authorization Server：认证服务器，进行认证和授权 （2）Resource Server：资源服务器，保护受保护的资源 user：资源的拥有者 二、下面详细介绍一下Oauth 2.0 Provider Authorization Server: （1）AuthorizationEndpoint:进行授权的服务，Default URL: /oauth/authorize （2）TokenEndpoint：获取token的服务，Default URL: /oauth/token Resource Server: OAuth2AuthenticationProcessingFilter：给带有访问令牌的请求加载认证 三、下面再来详细介绍一下Authorization Server: 一般情况下，创建两个配置类，一个继承AuthorizationServerConfigurerAdapter