Bearer Token 一种安全的接口认证方式
因为HTTP协议是开放的,可以任人调用。所以,如果接口不希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。
目前主流的访问权限控制/认证模式有以下几种:
1、Bearer Token(Token 令牌)
定义:为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播的,token表示令牌,简称JWT)
2、JWT的三部分
第一部分:头部
{"typ" : "JWT", (typ:类型)"alg" : "HS256" (alg:算法,HS256表示哈希算法的mac值。SHA256/HmacSHA256,SHA256表示直接加密,HmacSHA256表示用秘钥进行加密。SHA(Secure[sɪˈkjʊə(r)] Hash Algorithm [ˈælgərɪðəm],安全散列算法) HMAC(Hash Message Authentication [ɔ:ˌθentɪ'keɪʃn] Code,散列消息鉴别码))}
第二部分(Claim正文部分)
{"iss" : "joe",(issuer,发布者)"exp": 1300819380,(expiration[ˌekspəˈreɪʃn] time 过期时间,毫秒数计算)"http://example.com/is_root" :true(主题)}
第三部分:签名(将上面的两个部分组合在一起+本地信息做的一个的签名(头部在前)
网络解释:签名是把header和payload(载荷)对应的json结构进行base64url编码之后得到的两个串,用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。
https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-19
1,令牌的好处:避免在使用中不断的输入账号和密码,比较安全
2,如果要测试带token的接口,首先要进行登录,登录成功会有个token信息,向api接口发送请求的时候必须带上这个token,故需要做2次请求(1,登录,拿到token 2,正式对接口进行测试)
这个时候头部会多一个Authorization
Authorization可能在头部,也可能直接跟在请求行里面
http://www.xxx.com/ada?token=xxxxx
要么是用post请求,然后放在参数里面
3、Bearer Token实战
Bearer Token中的token获取方式代码实现,如下所示:
String auth = ctx.getRequest().getHeader("Authorization");if (StringUtils.isNotBlank(auth) && auth.indexOf("Bearer") >= 0) {auth = auth.substring("Bearer ".length() - 1, auth.length());Object obj = param.get("param");Map<String, Object> paramOld = JSONObject.parseObject(obj.toString());paramOld.put("ticketTgt", auth.trim());param.put("param", paramOld.toString());}
过滤器中Token校验方式,代码如下所示:
/*** @Classname: com.openailab.oascloud.gateway.filter.CasBearerFilter* @Description: 组装cas的bearer token 请求方式,校验tickets* @Author: chenliang* @Date: 2020/01/08*/@Componentpublic class CasBearerFilter extends ZuulFilter {private static final Logger LOGGER = LoggerFactory.getLogger(CharacterEncodeFilter.class);@Autowiredprivate IUnifiedOpenService iUnifiedOpenService;@Overridepublic String filterType() {return FilterConstants.PRE_TYPE;}@Overridepublic int filterOrder() {return 100;}@Overridepublic boolean shouldFilter() {RequestContext ctx = RequestContext.getCurrentContext();if (!ctx.sendZuulResponse()) {return false;}String uri = ctx.getRequest().getRequestURI();boolean result = (uri.indexOf("/user/tgt-login") > 0 || uri.indexOf("/cas/userinfo") > 0 || uri.indexOf("/cas/cancel") > 0 || uri.indexOf("/cas/serviceTicket") > 0 || uri.indexOf("/cas/serviceUrl") > 0);return result;}@Overridepublic Object run() {RequestContext ctx = RequestContext.getCurrentContext();Map<String, Object> param = ParamUtil.getRequestParams(ctx);if (Objects.isNull(param.get("param"))) {ResponseUtil.resultFormat(ctx, ResponseEnum.RESPONSE_CODE_UUM_CAS_TICKETS_STATUS_LOST);return null;}//查看是否有ticketTgt属性String map = (String) param.get("param");JSONObject paramJson = JSONObject.parseObject(map);if (Objects.isNull(paramJson.get("ticketTgt"))) {ResponseUtil.resultFormat(ctx, ResponseEnum.RESPONSE_CODE_UUM_CAS_TICKETS_STATUS_LOST);return null;}RequestParameter requestParameter = new RequestParameter();requestParameter.setMethodname(UumMethodNameConst.USER_CAS_TICKETS_STATUS);requestParameter.setParam(map);ResponseResult responseResult = iUnifiedOpenService.checkTicketStatus(requestParameter);if (responseResult != null && ResponseEnum.RESPONSE_CODE_SUCCESS.getCode() == responseResult.getCode()) {return null;} else {ResponseUtil.resultFormat(ctx, ResponseEnum.RESPONSE_CODE_UUM_CAS_TICKETS_STATUS_LOST);return null;}}}
4、注意点:
1)token一般有时间限制。测试前需要跟开发确认token可以用多久,什么时候算token失效
2)token放在哪儿,怎么传回去,需要有开发文档,或者咨询开发,登录成功返回的token需要了解从什么地方获取(可以通过录制进行查看)
Bearer Token 接口认证方式介绍完成。
清疚
左手的ㄟ右手
还没有评论,来说两句吧...