Bearer Token 一种安全的接口认证方式

淡淡的烟草味﹌ 2023-02-12 10:29 161阅读 0赞

因为HTTP协议是开放的，可以任人调用。所以，如果接口不希望被随意调用，就需要做访问权限的控制，认证是好的用户，才允许调用API。

目前主流的访问权限控制/认证模式有以下几种：

**1、Bearer Token（Token 令牌）**

**定义**：为了验证使用者的身份，需要客户端向服务器端提供一个可靠的验证信息，称为Token，这个token通常由Json数据格式组成，通过hash散列算法生成一个字符串，所以称为Json Web Token（Json表示令牌的原始值是一个Json格式的数据，web表示是在互联网传播的，token表示令牌，简称JWT)

**2、JWT的三部分**

第一部分：头部

{
        "typ" : "JWT",    （typ：类型）
        "alg" : "HS256" （alg：算法，HS256表示哈希算法的mac值。SHA256/HmacSHA256，SHA256表示直接加密，HmacSHA256表示用秘钥进行加密。SHA(Secure[sɪˈkjʊə(r)]  Hash Algorithm [ˈælgərɪðəm]，安全散列算法) HMAC(Hash Message Authentication [ɔ:ˌθentɪ'keɪʃn] Code，散列消息鉴别码)）
    }

第二部分（Claim正文部分）

{
        "iss" : "joe",（issuer，发布者）
        "exp": 1300819380,（expiration[ˌekspəˈreɪʃn]  time 过期时间，毫秒数计算）
        "http://example.com/is_root" :true（主题）
    }

第三部分：签名（将上面的两个部分组合在一起+本地信息做的一个的签名（头部在前）

网络解释:签名是把header和payload（载荷）对应的json结构进行base64url编码之后得到的两个串，用英文句点号拼接起来，然后根据header里面alg指定的签名算法生成出来的。

https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-19

1，令牌的好处：避免在使用中不断的输入账号和密码，比较安全

2，如果要测试带token的接口，首先要进行登录，登录成功会有个token信息，向api接口发送请求的时候必须带上这个token，故需要做2次请求（1，登录，拿到token 2，正式对接口进行测试）

![format_png][]

这个时候头部会多一个Authorization

![format_png 1][]

Authorization可能在头部，也可能直接跟在请求行里面

[http://www.xxx.com/ada?token=xxxxx][http_www.xxx.com_ada_token_xxxxx]

要么是用post请求，然后放在参数里面

![format_png 2][]

**3、Bearer Token实战**

Bearer Token中的token获取方式代码实现，如下所示：

String auth = ctx.getRequest().getHeader("Authorization");
    if (StringUtils.isNotBlank(auth) && auth.indexOf("Bearer") >= 0) {
        auth = auth.substring("Bearer ".length() - 1, auth.length());
        Object obj = param.get("param");
        Map<String, Object> paramOld = JSONObject.parseObject(obj.toString());
        paramOld.put("ticketTgt", auth.trim());
        param.put("param", paramOld.toString());
    }

过滤器中Token校验方式，代码如下所示：

/**
     * @Classname: com.openailab.oascloud.gateway.filter.CasBearerFilter
     * @Description: 组装cas的bearer token 请求方式，校验tickets
     * @Author: chenliang
     * @Date: 2020/01/08
     */
    @Component
    public class CasBearerFilter extends ZuulFilter {
    
        private static final Logger LOGGER = LoggerFactory.getLogger(CharacterEncodeFilter.class);
    
        @Autowired
        private IUnifiedOpenService iUnifiedOpenService;
    
        @Override
        public String filterType() {
            return FilterConstants.PRE_TYPE;
        }
    
        @Override
        public int filterOrder() {
            return 100;
        }
    
        @Override
        public boolean shouldFilter() {
            RequestContext ctx = RequestContext.getCurrentContext();
            if (!ctx.sendZuulResponse()) {
                return false;
            }
    
            String uri = ctx.getRequest().getRequestURI();
            boolean result = (uri.indexOf("/user/tgt-login") > 0 || uri.indexOf("/cas/userinfo") > 0 || uri.indexOf("/cas/cancel") > 0 || uri.indexOf("/cas/serviceTicket") > 0 || uri.indexOf("/cas/serviceUrl") > 0);
            return result;
        }
    
        @Override
        public Object run() {
            RequestContext ctx = RequestContext.getCurrentContext();
            Map<String, Object> param = ParamUtil.getRequestParams(ctx);
    
            if (Objects.isNull(param.get("param"))) {
                ResponseUtil.resultFormat(ctx, ResponseEnum.RESPONSE_CODE_UUM_CAS_TICKETS_STATUS_LOST);
                return null;
            }
    
            //查看是否有ticketTgt属性
            String map = (String) param.get("param");
            JSONObject paramJson = JSONObject.parseObject(map);
            if (Objects.isNull(paramJson.get("ticketTgt"))) {
                ResponseUtil.resultFormat(ctx, ResponseEnum.RESPONSE_CODE_UUM_CAS_TICKETS_STATUS_LOST);
                return null;
            }
    
            RequestParameter requestParameter = new RequestParameter();
            requestParameter.setMethodname(UumMethodNameConst.USER_CAS_TICKETS_STATUS);
            requestParameter.setParam(map);
            ResponseResult responseResult = iUnifiedOpenService.checkTicketStatus(requestParameter);
            if (responseResult != null && ResponseEnum.RESPONSE_CODE_SUCCESS.getCode() == responseResult.getCode()) {
                return null;
            } else {
                ResponseUtil.resultFormat(ctx, ResponseEnum.RESPONSE_CODE_UUM_CAS_TICKETS_STATUS_LOST);
                return null;
            }
        }
    }

**4、注意点：**

1）token一般有时间限制。测试前需要跟开发确认token可以用多久，什么时候算token失效

2）token放在哪儿，怎么传回去，需要有开发文档，或者咨询开发，登录成功返回的token需要了解从什么地方获取（可以通过录制进行查看）

Bearer Token 接口认证方式介绍完成。

[format_png]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly91cGxvYWQtaW1hZ2VzLmppYW5zaHUuaW8vdXBsb2FkX2ltYWdlcy80Mjg5MTA4LTBjZWRjOTEyMzEzYTljMmIucG5nP2ltYWdlTW9ncjIvYXV0by1vcmllbnQvc3RyaXB8aW1hZ2VWaWV3Mi8yL3cvOTAwL2Zvcm1hdC93ZWJw?x-oss-process=image/format,png
[format_png 1]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly91cGxvYWQtaW1hZ2VzLmppYW5zaHUuaW8vdXBsb2FkX2ltYWdlcy80Mjg5MTA4LTM4ZTRhM2I5NDRlOWU3M2UucG5nP2ltYWdlTW9ncjIvYXV0by1vcmllbnQvc3RyaXB8aW1hZ2VWaWV3Mi8yL3cvMTIwMC9mb3JtYXQvd2VicA?x-oss-process=image/format,png
[http_www.xxx.com_ada_token_xxxxx]: https://link.jianshu.com?t=http%3A%2F%2Fwww.xxx.com%2Fada%3Ftoken%3Dxxxxx
[format_png 2]: https://imgconvert.csdnimg.cn/aHR0cHM6Ly91cGxvYWQtaW1hZ2VzLmppYW5zaHUuaW8vdXBsb2FkX2ltYWdlcy80Mjg5MTA4LTY0ZGE4YTJmZDYyZDE1ODYucG5nP2ltYWdlTW9ncjIvYXV0by1vcmllbnQvc3RyaXB8aW1hZ2VWaWV3Mi8yL3cvNzk5L2Zvcm1hdC93ZWJw?x-oss-process=image/format,png