LTPA Cookie原理

LTPA Cookie原理

1. 什么是LTPA?

Lightweight Third-Party Authentication (LTPA)是IBM Websphere和Domino产品中使用单点登录技术。当服务器配置好LTPA认证方式,用户通过浏览器成功登录后,服务器会自动发送一个session cookie给浏览器;此cookie中包含一个LTPA Token。

2. WebSphere部分

本部分描述适用于已实施WebSphere系列产品应用和Domino平台应用,或WebSphere与Domino之间已完成单点登录。在这样的环境中与构异系统实现单点登录。

一个通过有效的LTPA Cookie能够在同一个认证域中所有服务器被自动认证。此Cookie中包含认证信息和时间戳。这些信息通过共享的3DES Key进行了bis 加密。使用公共密钥/私有密钥进行签名。
LTPA Cookie通过3DES密钥使用DESede/ECB/PKCS5P进行加密。此密钥也是采用DESede/ECB/PKCS5P进行加密,加密后再使用提供的密码再进行SHA Hash,生成24个字节的密钥,再进行Base64编码。
 
如果你要解析LTPA Token,先得使用Key的密码,生成3DES密钥;再使用3DES密钥解密Token Cookie。也可以使用公共/私有密钥来签名或验证LTPA Cookie。

2.1 WebSphere LTPA 生成原理

首先,这个 cookie 由以下部分组成,以%进行分隔:
  • 用户信息,格式为u:user\:<RealmName>/<UserDN>,如:u:user\:VGOLiveRealm/CN=squallzhong,O=VGOLive Technology
  • 过期时间
  • 签名信息,如:
    u:user\:VGOLiveRealm/CN=squallzhong,O=VGOLive Technology%1301558320666%Cy2CAeru5kEElGj0hrvYsKW2ZVsvvcu6Un573aeX55OO4G3EMYWc0e/ZbqDp1z7MS+dLzniuUH4sYWCMpnKdm7ZGabwmV+WcraBl+y+yzwcl722gHVMOnDZAW7U3jEay9Tk2yG4yXkMWU+617xndpVxke2jtS5wIyVVM3q7UDPw=

2.2 异构系统所需信息

从WebSphere系统中导出ltpa的key文件,使用文本文件打开,如:

com.ibm.websphere.CreationDate=Thu Mar 31 11\:08\:09 GMT+08\:00 2011 com.ibm.websphere.ltpa.version=1.0 com.ibm.websphere.ltpa.3DESKey=7dH4i81YepbVe+gF9XVUzE4C1Ca5g6A4Q69OFobJV9g\= com.ibm.websphere.CreationHost=wasserver com.ibm.websphere.ltpa.PrivateKey=N3bnOE1IbiXNsHXxxemC98iiCnmtw3JUuQvdFjEyh9r2gu+FlQRmG8xp5RBltqc6raI4EgYFhTr+t5/tmRQrFqfNKgvujeJZODeCspohi1V4C0qit7DOoqD9xOOn9Rzdb4PIuJM3ekwuBiZZYTYu7q0TANDygc7VbmwoD3xMPCk5svyvFJ/VshPyg5f7Q+VNM8dlIitU4gK9Qp8VZEqjGoXsYYzYYTQgnwAVtR2GfZtXKlf24EPXSkgUz9j8FwTvcylcKwjS22d6eVjciyAzInnxPqxE2iMRPEFDatHZFox3flsqBswmeDQrAGv8zIiffgP1DLKdjozUyAG+50v97xx7u1RtIrB4B01ik8DuLhw\= com.ibm.websphere.ltpa.Realm=VGOLiveRealm com.ibm.websphere.ltpa.PublicKey=AM04If2+ElGSyVRF0ZEesgvC59vGw8gSIfptjfoXj8iz4C7Ip/KVAu2PDkpQi3LUN/FgVF696tmsegBThks9rmMMHzOix/vGP2721dQZKbD7plOLdWtiY2AYZChsBVkOF26DfiWJ6euxD+a+KNcrfDnu2AXRC/tKncIUJV4LbeJdAQAB
  • 所使用的DNS域,如:vgolive.com
  • 过期时间(分钟),如:30
  • LTPA 3DESKey 密钥及密钥的保护密码
  • Base DN,如:O=VGOLive Technology或DC=vgolive,DC=com
注:
  • 在3DESKey中的反斜杠只是为了在JAVA中可解释等于号,所以正确的3DESKey为7dH4i81YepbVe+gF9XVUzE4C1Ca5g6A4Q69OFobJV9g=
  • 用户名可以通过Base Dn验证字进行拼接,如异构系统中用户名为SquallZhong,相应在Domino中的DN就是CN=SquallZhong,O=DigiWin。此类情况仅限于LDAP中的CN与异构系统中的用户名一致。如果不一致,需要异构系统做用户对应

2.3 实现

Base64解码/编码所需Jar包: apache-commons-codec-1.3.jar以上
SHA-1的校验使用 java.security.MessageDigest

2.3.1 解析

以下代码为解析从WebSphere或Domino发送过来的LTPAToken Cookie以Java为例:

show source
01
02         // LTPA 3DES 密钥
03         String ltpa3DESKey = "7dH4i81YepbVe+gF9XVUzE4C1Ca5g6A4Q69OFobJV9g=";
04         // LTPA 密钥密码
05         String ltpaPassword = "Passw0rd";
06         try {
07             // 获得加密key
08             byte[] secretKey = getSecretKey(ltpa3DESKey, ltpaPassword);
09             // 使用加密key解密ltpa Cookie
10             String ltpaPlaintext = new String(decryptLtpaToken(tokenCipher,
11                     secretKey));
12             displayTokenData(ltpaPlaintext);
13         } catch (Exception e) {
14             System.out.println("Caught inner: " + e);
15         }
16
17     //获得安全Key
18     private static byte[] getSecretKey(String ltpa3DESKey, String password)
19             throws Exception {
20         // 使用SHA获得key密码的hash值
21         MessageDigest md = MessageDigest.getInstance("SHA");
22         md.update(password.getBytes());
23         byte[] hash3DES = new byte[24];
24         System.arraycopy(md.digest(), 0, hash3DES, 0, 20);
25         // 使用0替换后4个字节
26         Arrays.fill(hash3DES, 20, 24, (byte) 0);
27         // BASE64解码 ltpa3DESKey
28         byte[] decode3DES = Base64.decodeBase64(ltpa3DESKey.getBytes());
29         // 使用key密码hash值解密已Base64解码的ltpa3DESKey
30         return decrypt(decode3DES, hash3DES);
31     }
32     //解密LtpaToken
33     public static byte[] decryptLtpaToken(String encryptedLtpaToken, byte[] key)
34             throws Exception {
35         // Base64解码LTPAToken
36         final byte[] ltpaByteArray = Base64.decodeBase64(encryptedLtpaToken
37                 .getBytes());
38         // 使用key解密已Base64解码的LTPAToken
39         return decrypt(ltpaByteArray, key);
40     }
41     // DESede/ECB/PKC5Padding解方法
42     public static byte[] decrypt(byte[] ciphertext, byte[] key)
43             throws Exception {
44         final Cipher cipher = Cipher.getInstance("DESede/ECB/PKCS5Padding");
45         final KeySpec keySpec = new DESedeKeySpec(key);
46         final Key secretKey = SecretKeyFactory.getInstance("TripleDES")
47                 .generateSecret(keySpec);
48         cipher.init(Cipher.DECRYPT_MODE, secretKey);
49         return cipher.doFinal(ciphertext);
50     }
51

解析出来的LTPAToken信息以%分隔

2.3.2 生成

Websphere LTPA生成时的签名信息是由用户DN和一些用户其他信息组成字符串,使用私有密钥进行签名,由于不清楚这些信息的组成,故无法产生正确的LTPA。

3. Domino部分

本部分的描述仅适用于单一的Domino平台应用与构异系统实现单点登录。

3.1 Domino LTPA Cookie 生成原理

在与 Domino 做 SSO 的时候,会使用 LTPA Token的认证方式,本文描述它的生成原理,通过它我们可以自己编码生成身份认证的 cookie,实现 SSO。
首先,这个 cookie 由以下部分组成:
  • LTPA token 版本(4字节)
  • 创建时间(8字节)
  • 过期时间(8字节)
  • 用户名(可变长度)
  • Domino LTPA 密钥(20字节)
接下来分别说明各部分的具体内容:
  • LTPA token 版本目前 Domino 只有一种值:0x0001
  • 创建时间为以十六进制方式表示的Unix time,例如:2009-04-09 13:52:42 (GMT +8) = 1239256362 = 49DD8D2A。
  • 过期时间=创建时间 + SSO 配置文档的过期时间(LTPA_TokenExpiration域)
  • 用户名为 Names 中用户文档的FullName域值;如:Squall Zhong/Digiwin
  • Domino LTPA 密钥通过 Base64编码后,保存在 SSO 配置文档的LTPA_DominoSecret域中

当然不能将密钥直接发送给浏览器,所以将上述部分合并起来(如上图),计算 SHA-1 校验和。
然后用 SHA-1 校验和替换掉 Domino LTPA 密钥,最后再将内容通过 Base64 编码,形成最终的 cookie 发送给浏览器(如上图)。这样如果 cookie 中的任何内容被修改,校验和就不对了,达到了防篡改的效果。所以最终LTPA Cookie所得到的值为以下公式组成:
SHA-1=LTPA版本号+创建时间+过期时间+用户名+Domino LTPA 密钥
LTPA Cookie= Base64(LTPA版本号+创建时间+过期时间+用户名+SHA-1)

3.2 异构系统所需信息

  • Domino 所使用的DNS域,如:vgolive.com
  • 过期时间(分钟),如:30
  • Domino LTPA 密钥
  • Domino验证字名称,如:/O=VGOLive Technology
注:用户名可以通过Domino验证字进行拼接,如异构系统中用户名为SquallZhong,相应在Domino中的DN就是CN=SquallZhong/O=VGOLive Technology。此类情况仅限于Domino中的CN与异构系统中的用户名一致。如果不一致,需要异构系统做用户对应

3.3 实现

Base64解码/编码所需Jar包:apache-commons-codec-1.3.jar以上

SHA-1的校验使用 java.security.MessageDigest
转换字符集使用: Cp850

3.3.1 解析

show source
01     import org.apache.commons.codec.binary.Base64;
02 …...
03 final String CHARSET = "Cp850";
04 byte[] dominoSecret = Base64.decodeBase64(ltpaDominoSecret.getBytes());
05 byte[] ltpa = Base64.decodeBase64(ltpaToken.getBytes());
06 ByteArrayInputStream stream = new ByteArrayInputStream(ltpa);
07 int usernameLength = ltpa.length – 40;
08 byte header[] = new byte[4];
09 byte creation[] = new byte[8];
10 byte expires[] = new byte[8];
11 byte username[] = new byte[usernameLength];
12 byte[] sha = new byte[20];
13 // 读取LTPAToken版本号
14 stream.read(header, 0, 4);
15 if (header[0] != 0 || header[1] != 1 || header[2] != 2|| header[3] != 3)
16         throw new IllegalArgumentException("Invalid ltpaToken format");
17     // 读取开始时间
18    stream.read(creation, 0, 8);
19    // 读取到期时间
20    stream.read(expires, 0, 8);
21    // 读取Domino用户DN
22    stream.read(username, 0, usernameLength);
23    // 读取SHA校验和
24    stream.read(sha, 0, 20);
25     // 转换用户名
26    char characters[] = new char[usernameLength];
27    try {
28         InputStreamReader isr = new InputStreamReader(
29             new ByteArrayInputStream(username),
30             CHARSET);
31         isr.read(characters);
32     } catch (Exception e) {
33     }
34     // 获得Domino用户DN
35     String dn = new String(characters);
36     // 获得创建时间
37    Date creationDate = new Date(
38         Long.parseLong(new String(creation), 16) * 1000);
39     // 获得到期时间
40    Date expiresDate = new Date(
41         Long.parseLong(new String(expires), 16) * 1000);
42 …...
43 // 创建LTPA Token
44     ByteArrayOutputStream ostream = new ByteArrayOutputStream();
45     try {
46         // LTPA Token版本号
47         ostream.write(header);
48         // 创建时间
49         ostream.write(creation);
50         // 过期时间
51         ostream.write(expires);
52         // Domino用户DN,如CN=SquallZhong/O=DigiWin
53         ostream.write(username);
54         // Domino LTPA 密钥
55         ostream.write(dominoSecret);
56         ostream.close();
57     } catch (IOException e) {
58         throw new RuntimeException(e);
59     }
60     // 进行 SHA-1 校验和
61     MessageDigest md;
62     try {
63         md = MessageDigest.getInstance("SHA-1");
64         md.reset();
65     } catch (NoSuchAlgorithmException e) {
66         throw new RuntimeException(e);
67     }
68     byte[] digest = md.digest(ostream.toByteArray());
69     // 完成 SHA-1 校验和,digest长度为20
70     boolean valid = MessageDigest.isEqual(digest, sha);

3.3.2 生成

show source
01     /**
02      * 为指定用户创建有效的LTPA Token.创建时间为<tt>now</tt>.
03      *
04      * @param username
05      *            - 用户名,注:使用用户全称,如:CN=SquallZhong/O=VGOLive Technology
06      * @param creationTime
07      *            - 创建时间
08      * @param durationMinutes
09      *            - 到期时间,单位:分钟
10 @param ltpaSecretStr
11      *            - Domino Ltpa 加密字符串
12      * @return - 返回已Base64编码的Ltpa Cookie.
13      * @throws NoSuchAlgorithmException
14      * @throws Base64DecodeException
15      */
16     public static String createLtpaToken(String username,
17             GregorianCalendar creationTime, int durationMinutes,
18             String ltpaSecretStr) throws NoSuchAlgorithmException {
19         // Base64解码ltpaSecretStr
20         byte[] ltpaSecret = Base64.decodeBase64(ltpaSecretStr.getBytes());
21         // 用户名字节数组
22         byte[] usernameArray = username.getBytes();
23         byte[] workingBuffer = new byte[preUserDataLength
24                 + usernameArray.length + ltpaSecret.length];
25  
26         // 设置ltpaToken版本至workingBuffer
27         System.arraycopy(ltpaTokenVersion, 0, workingBuffer, 0,
28                 ltpaTokenVersion.length);
29         // 获得过期时间,过期时间=当前时间+到期时间(分钟)
30         GregorianCalendar expirationDate = (GregorianCalendar) creationTime
31                 .clone();
32         expirationDate.add(Calendar.MINUTE, durationMinutes);
33  
34         // 转换创建时间至16进制字符串
35         String hex = dateStringFiller
36                 + Integer.toHexString(
37                         (int) (creationTime.getTimeInMillis() / 1000))
38                         .toUpperCase();
39         // 设置创建时间至workingBuffer
40         System.arraycopy(hex.getBytes(), hex.getBytes().length
41                 - dateStringLength, workingBuffer, creationDatePosition,
42                 dateStringLength);
43  
44         // 转换过期时间至16进制字符串
45         hex = dateStringFiller
46                 + Integer.toHexString(
47                         (int) (expirationDate.getTimeInMillis() / 1000))
48                         .toUpperCase();
49         // 设置过期时间至workingBuffer
50         System.arraycopy(hex.getBytes(), hex.getBytes().length
51                 - dateStringLength, workingBuffer, expirationDatePosition,
52                 dateStringLength);
53  
54         // 设置用户全称至workingBuffer
55         System.arraycopy(usernameArray, 0, workingBuffer, preUserDataLength,
56                 usernameArray.length);
57  
58         // 设置已Base64解码ltpaSecret至workingBuffer
59         System.arraycopy(ltpaSecret, 0, workingBuffer, preUserDataLength
60                 + usernameArray.length, ltpaSecret.length);
61         // 创建Hash字符串
62         byte[] hash = createHash(workingBuffer);
63  
64         // ltpaToken版本+开始时间(16进制)+到期时间(16进制)+用户全名+SHA-1(ltpaToken版本+开始时间(16进制)+到期时间(16进制)+用户全名)
65         byte[] outputBuffer = new byte[preUserDataLength + usernameArray.length
66                 + hashLength];
67         System.arraycopy(workingBuffer, 0, outputBuffer, 0, preUserDataLength
68                 + usernameArray.length);
69         System.arraycopy(hash, 0, outputBuffer, preUserDataLength
70                 + usernameArray.length, hashLength);
71         // 返回已Base64编码的outputBuffer
72         return new String(Base64.encodeBase64(outputBuffer));
73     }
74 …...

4. 通过F5 BIG-IP创建Domino LTPAToken

F5 iRule代码如下:

when RULE_INIT {

show source
01 set cookie_name "LtpaToken"           # 不更改
02 set ltpa_version "\x00\x01\x02\x03"   # 不更改
03 set ltpa_secret "b64encodedsecretkey" # 从Domino SSO文档获得ltpa密钥
04 set ltpa_timeout "1800"               # 从Domino SSO文档中获得过期时间,单位:秒
05 }
06  
07 when HTTP_REQUEST {
08 #
09 # Do your usual F5 HTTP authentication here
10 #
11 # Initial values
12 set creation_time_temp [clock seconds]
13 set creation_time [format %X $creation_time_temp]
14 set expr_time_temp [expr { $creation_time_temp + $::ltpa_timeout}]
15 set expr_time [format %X $expr_time_temp]
16 set username [HTTP::username]
17 set ltpa_secret_decode [b64decode $::ltpa_secret]
18 # First part of token
19 set cookie_data_raw {}
20 append cookie_data_raw $::ltpa_version
21 append cookie_data_raw $creation_time
22 append cookie_data_raw $expr_time
23 append cookie_data_raw $username
24 append cookie_data_raw $ltpa_secret_decode
25 # SHA1 of first part of token
26 set sha_cookie_raw [sha1 $cookie_data_raw]
27 # Final not yet encoded token
28 set ltpa_token_raw {}
29 append ltpa_token_raw $::ltpa_version
30 append ltpa_token_raw $creation_time
31 append ltpa_token_raw $expr_time
32 append ltpa_token_raw $username
33 append ltpa_token_raw $sha_cookie_raw
34 # Final Base64 encoded token
35 set ltpa_token_final [b64encode $ltpa_token_raw]
36 # Insert the cookie
37 HTTP::cookie insert name $::cookie_name value $ltpa_token_final
38 }
39 # Remove Authorization HTTP header to avoid using basic authentication
40 if { [HTTP::header exists "Authorization"] } {
41 HTTP::header remove "Authorization"
42 }
43 }
相关链接:

5. 源码

下载地址:LTPA.tar.gz

你可能感兴趣的:(cookie)

  • Session与Cookie的区别 李蕴Ronnie
    1.存储位置不同Cookie的数据信息存放在客户端浏览器上Session的数据信息存放在服务器上2.存储容量不同单个Cookie保存的数据<=4kb,一个站点最多保存20个CookieSession容量没有上限,但出于对服务器端的性能考虑,Session内不要存放过多的东西,并且要设置Session删除机制3.存取方式不同
  • cookie和session的区别 小草_fdba
    cookie是在客户端保持状态的方案,session是在服务端保持状态cookie不是很安全,可以分析本地的cookie,并进行cookie欺骗session一段时间内会保存在服务器上,当访问增多会占用服务器性能单个cookie保存数据不能超过4k,很有浏览器限制一个站点最多保存20个cookie
  • 网上商城项目总结 续 猫只i javaweb电子商城结构
    前台1.用户登录注册邮箱验证校验用户名是否存在验证码自动登录2.导航条自定义标签库采用异步读取数据(使用gson将集合转换json数据)Redis服务器3.首页热门商品查询展示4.分类列表分页查询5.商品详情用cookie实现浏览记录6.购物车实现商品添加到购物车商品的查询,添加,修改,删除清空购物车7.提交订单添加订单(订单详情)确认订单(易宝支付)8.我的订单9.Fliter定义权限拦截(提交
  • PTA:7-1 售货机内的商品数据 萠哥啥都行 c语言
    有一个售货柜员机,内有多种商品供人购买(商品种类不超过100个),每种商品有名称,数量,单价等信息。编程完成n种商品信息的输入输出。输入格式:第一行输入商品种类个数n,第二行依次输入商品的名称,数量,单价。输出格式:输出商品名称,数量,单价(保留1位小数)和总价(等于单价*数量,保留2位小数),不同数字之间有一个空格。输入样例:4bread35.2milk53.5cookie301.5cake25
  • 浏览器的新建无痕窗口:是否真的无痕? 晓生谈跨境 服务器运维
    随着互联网的普及和隐私保护意识的提升,浏览器的无痕模式(也称为隐私浏览模式或隐身窗口)逐渐成为用户保护个人隐私的一种常用手段。然而,关于无痕窗口是否真的无痕,却存在不少争议和误解。本文将从多个角度分析这一问题,揭示无痕窗口的真相。一、无痕窗口的定义与工作原理无痕窗口,顾名思义,就是用户在浏览网页时不留下任何本地记录的浏览器功能。在无痕模式下,浏览器不会保存浏览历史、Cookie、表单数据、缓存文件
  • 登录校验,会话技术,Cookie,Session,JWT令牌,统一拦截技术,过滤器FIlter,拦截器Interceptor,全局异常处理器 暖阳爱学计算机 springbootspringbootwebjava
    目录1登录校验2会话技术2.1会话技术介绍2.2Cookie2.2Session2.4令牌技术2.5JWT令牌2.5.1介绍2.5.2生成和校验2.5.3登录下发令牌3统一拦截技术3.1过滤器Filter3.1.1过滤器的使用步骤3.1.2代码实现3.1.3细节3.2拦截器Interceptor3.2.1拦截器的使用步骤3.2.2代码实现3.2.3细节4登录功能具体实现步骤5异常处理5.1异常的解
  • Cookie & Session & JWT认证 & Filter & Interceptor aDreamerOutOfTheSky javaspringspringboot
    文章目录前言一、Cookie和Session二、JWT1.三部分2.使用3.另外一种使用3.1引入依赖3.1定义工具类三、Filter过滤器3.1实现Filter接口,并且增加@WebFilter注解3.2启动类上增加注解3.3Filter过滤实现登陆校验3.4拦截器实现登陆校验总结前言本文介绍了Cookie,Session,JWT,过滤器,拦截器的相关知识一、Cookie和Session浏览器请
  • HTML5中的数据存储sessionStorage、localStorage 阿立聊代码 HTML实战html5前端html
    第8章HTML5中的数据存储之前通常使用Cookie存储机制将数据保存在用户的客户端。H5增加了两种全新的数据存储方式:WebStroage和WebSQLDatabase.前者用于临时或永久保存客户端少量数据,后者是客户端本地化的一套数据库系统。8.1WebStorage存储简介WebStorageAPI分为会话数据和长期数据,相应的API分为两类:sessionStorage(保存会话数据)lo
  • Java面试题真题·技术面试题部分总结 攸攸太上 Java面试题总结--攸攸太上java学习
    系列文章目录Java面试题真题·技术面试题部分总结Java面试题真题·融资管理系统项目介绍文章目录系列文章目录前言技术问题Java的跨平台原理String常用方法分布式的优点对cookie有什么了解,Cookie和Session的区别最熟悉jdk哪个版本redis的部署方式mysql的配置和安装熟不熟悉如何配置多集群mysqlspringboot分布式有了解吗http和https的区别,https
  • 11- 【JavaWeb】Cookie 、Session、Filter、Listener weixin_44329069 JavaWebhivepythonhadoop
    了解Cookie、Session、Filter和Listener是JavaWeb开发中非常重要的部分。1.CookieCookie是服务器在客户端浏览器上存储的小数据片段,用于在不同请求之间保持状态。Cookie通常用于保存用户信息、跟踪会话、保存用户偏好等。示例:创建和读取Cookie设置Cookie(在Servlet中):@WebServlet("/setCookie")publicclass
  • Android web view传递参数给js HEHE_fang
    https://www.jianshu.com/p/9d6a5353123b如果想加载之前就初始化一些数据给webview,比如登陆账户的id,cookie等如果是单纯的传递cookie,还是好办的如果是传递的参数比较多,用load中的loadurl(url,map);没有实验成功,难道webview没有直接修改js代码的方式?
  • Go 每日一库之 gorilla/sessions darjun pythonnginxjava数据库mysql
    简介上一篇文章《Go每日一库之securecookie》中,我们介绍了cookie。同时提到cookie有两个缺点,一是数据不宜过大,二是安全问题。session是服务器端的存储方案,可以存储大量的数据,而且不需要向客户端传输,从而解决了这两个问题。但是session需要一个能唯一标识用户的ID,这个ID一般存放在cookie中发送到客户端保存,随每次请求一起发送到服务器。cookie和sessi
  • 使用java9的uuid生成方式,让uuid生成速度提升一个档 编程小世界
    简介UUID的目的,是让分布式系统中的所有元素,都能有唯一的辨识信息,而不需要通过中央控制端来做辨识信息的指定。uuid常用场景IOT设备,设备号;网站sessionid,cookie用户id;数据库主键id;uuid生成工具hutoolJava工具包集mica基于Spring、java8微服务工具集压测代码测试基于JMH,是专门用于代码微基准测试的工具套件,基于方法层面的基准测试,精度可以达到微
  • F5BIG-IP会话保持cookie value换算 木尘zero 网络协议网络负载均衡运维http
    笔者在网络攻防演练时,在client端看到有铭文的F5BIG-IPcookievalue,铭文的value是一段IP和port的换算的组合,可以通过转码的方式换算出后台的IP地址和port。BIGipServer【#poolname】=XXXXXXXXXX.YYYYY.0000【#poolname】,代表F5BIG-IP设备中pool的名称;XXXXXXXXXX,10个十进制的数字代表IP地址;Y
  • Session、Cookies 和 Token 的关系详解 胡耀超 java面试常见问题java服务器数据库spring
    前置博客:Session和Cookies的区别详解Session、Cookies和Token的关系详解在Web应用程序的身份认证和状态管理中,除了Session和Cookies,Token(特别是JSONWebToken,JWT)也经常用于用户身份验证。它们在身份认证过程中有一定的关系与区别。为了更好地理解三者之间的关系,我将详细分析它们的工作方式和适用场景,并探讨如何结合使用来构建一个健全的认证
  • Python爬虫如何搞定动态Cookie?小白也能学会! 图灵学者 python精华python爬虫github
    目录1、动态Cookie基础1.1Cookie与Session的区别1.2动态Cookie生成原理2、requests.Session方法2.1Session对象保持2.2处理登录与Cookie刷新2.3长连接与状态保持策略3、Selenium结合ChromeDriver实战3.1安装配置Selenium3.2动态抓取&处理Cookie4、requests-Session结合Selenium技巧4
  • vue浏览器缓存sessionStorage、localStorage、Cookie Liumoui vue.js缓存前端
    在Vue.js项目中,管理浏览器缓存是常见的需求,主要可以通过sessionStorage、localStorage和Cookie来实现。下面分别介绍这三种方式及其用法。1.sessionStoragesessionStorage用于存储在会话(即浏览器窗口关闭前)期间的数据。每次打开一个新的窗口或标签页都会有一个新的会话。使用方法存储数据sessionStorage.setItem('key',
  • 关于api接口的开发 可能是假的程序员 api
    第一次发表博客欢迎大家提出意见在传统的web网站上,我们通过cookie或者session在记录用户的信息及登陆状态,但是在app上,是没有session跟cookie这个概念的,那么,如果用户在app登陆之后,在进行其他行为的时候,我们如何知道他已经登陆过了呢,此时问题就来了,如何知道用户是否登陆(引入token这个概念)?1.最简单粗暴的方法,用户登陆之后返回用户id,并且把生成的token存
  • 浅谈 cookie 和 session 鹿又笑 服务器前端javascriptcookiesession
    CookieCookie是一种存储在客户端(浏览器)的小型文本文件,用于保存一些用户相关的信息。它是由服务器发送,并在客户端存储的,每次用户发起请求时,浏览器会自动携带相应的cookie数据发送给服务器。作用:身份识别:最常用的场景就是身份认证。例如,用户登录后,服务器会生成一个唯一的身份标识(如会话ID)并保存在cookie中,以后每次请求时,浏览器会携带该cookie,服务器通过这个标识来识别
  • 前段存储sessionStorage值localStorage值 ___大鱼___
    对浏览器来说,使用WebStorage存储键值对比存储Cookie方式更直观,而且容量更大,它包含两种:localStorage和sessionStoragesessionStorage(临时存储):为每一个数据源维持一个存储区域,在浏览器打开期间存在,包括页面重新加载localStorage(长期存储):与sessionStorage一样,但是浏览器关闭后,数据依然会一直存在constinfo=
  • 「 网络安全常用术语解读 」同源策略SOP详解:没有SOP就没有隐私 全栈安全 安全术语web安全安全术语
    同源策略可保护用户的隐私和数据安全,防止恶意网站通过跨域请求(例如,通过JavaScript)访问或修改其他网站的数据。1.同源策略产生背景当浏览器从一个域发送一个HTTP请求到另一个域时,与另一个域相关的任何cookies,包括身份验证会话cookie,也会作为请求的一部分发送。如果没有同源策略,如果你访问一个恶意网站,该网站将能够读取你的电子邮件、私人消息等。2.同源策略定义同源策略(Same
  • Node.js+Express|Cookie&Session机制理解|实现保存登录状态 绍重先
    Q&A各个用户的sessionname如何设置用登陆的用户名?用当时时间?req.session.name=req.body.usernamelogout?url列表标签posthtml退出登陆js//登出事件监听varlogout=document.getElementById('logout');logout.onclick=function(){alert('logout');varlogo
  • 利用selenium获取cookies,实现浏览器免登陆自动化操作 crownyouyou seleniumpythonchrome自动化
    ###一、设置默认源为国内的清华源(不想设置可跳过一)#查看pip安装源pipconfiglist#清华源pipconfigsetglobal.index-urlhttps://pypi.tuna.tsinghua.edu.cn/simple###二、下载json。(如果下载好json,可以跳过二)如果没下载json,可以使用pip下载pipinstalljson-i https://pypi.t
  • 浏览器数据存储方式总结---localStorage、sessionStorage、cookie 一月清辉 javascript浏览器数据存储方式localStoragecookiesessionStorage
    1、cookie1.1、cookie的作用说到cookie,其实cookie有两个主要功能,用于解决http无状态的缺点,在客户端存储会话信息,记录用户的状态也就是我们现在也经常使用cookie在客户端存储一些数据1.2、cookie的构成document.cookie="key=value"key和value是包含在一个字符串中一般来说,cookie是由浏览器保存的以下几块信息构成的name这个
  • leetcode--greedy NOTEBOOK2
    BestTimetoBuyandSellStockIIclassSolution{publicintmaxProfit(int[]prices){int[]deltas=newint[prices.length];for(inti=0;i0)ret+=v;}returnret;}}AssignCookiesclassSolution{publicintfindContentChildren(int
  • 2019-07-16 Python接口测试实现获取登陆后的cookie访问下个接口 昨天今天下雨天1
    coding:utf-8importrequestsurl="你的登陆接口"par={"mobile":"13225811329","passwd":"ws123456","from":"ios"}r=requests.post(url,data=par)s=requests.session()print(r.cookies)获取登录后的cookiecookies=r.cookiesurl1="你
  • Cookie与Session的区别 YangEvol
    Cookiecookie是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域
  • 【网络安全】如何预防xss 不会代码的小徐 web安全xss安全
    XSS(Cross-SiteScripting,跨站脚本攻击)是一种代码注入攻击。攻击者通过在目标网站注入恶意脚本,使其在用户浏览器中执行,从而窃取用户敏感信息如Cookie和SessionID。CSS在前端已经被用了,为了避免歧义用了XSS作为缩写。XSS的本质是恶意代码与网站正常代码混在一起,浏览器无法分辨它们的可信度,最终导致恶意代码被执行。XSS的危害浏览器无法区分恶意代码和正常代码,它们
  • django(权限、认证)系统——User模型 weixin_30895603 pythonshell
    django(权限、认证)系统——User模型在Django的世界中,在权限管理中有内置的Authentication系统。用来管理帐户,组,和许可。还有基于cookie的用户session。这篇blog主要用来探讨这套内置的Authentication系统。Django内置的权限系统包括以下三个部分:用户(Users)许可(Permissions):用来定义一个用户(user)是否能够做某项任务
  • python web自动化 gaoguide2015 自动化脚本webhtml
    1.python爬虫之模拟登陆csdn(登录、cookie)http://blog.csdn.net/yanggd1987/article/details/52127436?locationNum=32、xml解析:Python网页解析:BeautifulSoup与lxml.html方式对比(xpath)lxml库速度快,功能强大,推荐。http://blog.sina.com.cn/s/blog
  • java线程Thread和Runnable区别和联系 zx_code javajvmthread多线程Runnable
    我们都晓得java实现线程2种方式,一个是继承Thread,另一个是实现Runnable。 模拟窗口买票,第一例子继承thread,代码如下 package thread; public class ThreadTest { public static void main(String[] args) { Thread1 t1 = new Thread1(
  • 【转】JSON与XML的区别比较 丁_新 jsonxml
    1.定义介绍 (1).XML定义 扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML使用DTD(document type definition)文档类型定义来组织数据;格式统一,跨平台和语言,早已成为业界公认的标准。 XML是标
  • c++ 实现五种基础的排序算法 CrazyMizzz C++c算法
    #include<iostream> using namespace std; //辅助函数,交换两数之值 template<class T> void mySwap(T &x, T &y){ T temp = x; x = y; y = temp; } const int size = 10; //一、用直接插入排
  • 我的软件 麦田的设计者 我的软件音乐类娱乐放松
         这是我写的一款app软件,耗时三个月,是一个根据央视节目开门大吉改变的,提供音调,猜歌曲名。1、手机拥有者在android手机市场下载本APP,同意权限,安装到手机上。2、游客初次进入时会有引导页面提醒用户注册。(同时软件自动播放背景音乐)。3、用户登录到主页后,会有五个模块。a、点击不胫而走,用户得到开门大吉首页部分新闻,点击进入有新闻详情。b、
  • linux awk命令详解 被触发 linux awk
    awk是行处理器: 相比较屏幕处理的优点,在处理庞大文件时不会出现内存溢出或是处理缓慢的问题,通常用来格式化文本信息 awk处理过程: 依次对每一行进行处理,然后输出 awk命令形式: awk [-F|-f|-v] ‘BEGIN{} //{command1; command2} END{}’ file [-F|-f|-v]大参数,-F指定分隔符,-f调用脚本,-v定义变量 var=val
  • 各种语言比较 _wy_ 编程语言
                        Java Ruby PHP 擅长领域                  
  • oracle 中数据类型为clob的编辑 知了ing oracle clob
    public void updateKpiStatus(String kpiStatus,String taskId){ Connection dbc=null; Statement stmt=null; PreparedStatement ps=null; try { dbc = new DBConn().getNewConnection(); //stmt = db
  • 分布式服务框架 Zookeeper -- 管理分布式环境中的数据 矮蛋蛋 zookeeper
    原文地址: http://www.ibm.com/developerworks/cn/opensource/os-cn-zookeeper/ 安装和配置详解 本文介绍的 Zookeeper 是以 3.2.2 这个稳定版本为基础,最新的版本可以通过官网 http://hadoop.apache.org/zookeeper/来获取,Zookeeper 的安装非常简单,下面将从单机模式和集群模式两
  • tomcat数据源 alafqq tomcat
    数据库 JNDI(Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。 没有使用JNDI时我用要这样连接数据库: 03.  Class.forName("com.mysql.jdbc.Driver");  04.  conn
  • 遍历的方法 百合不是茶 遍历
                                                          遍历 在java的泛
  • linux查看硬件信息的命令 bijian1013 linux
    linux查看硬件信息的命令 一.查看CPU: cat /proc/cpuinfo   二.查看内存: free   三.查看硬盘: df   linux下查看硬件信息 1、lspci 列出所有PCI 设备; lspci - list all PCI devices:列出机器中的PCI设备(声卡、显卡、Modem、网卡、USB、主板集成设备也能
  • java常见的ClassNotFoundException bijian1013 java
    1.java.lang.ClassNotFoundException: org.apache.commons.logging.LogFactory   添加包common-logging.jar2.java.lang.ClassNotFoundException: javax.transaction.Synchronization    
  • 【Gson五】日期对象的序列化和反序列化 bit1129 反序列化
    对日期类型的数据进行序列化和反序列化时,需要考虑如下问题:   1. 序列化时,Date对象序列化的字符串日期格式如何 2. 反序列化时,把日期字符串序列化为Date对象,也需要考虑日期格式问题 3. Date A -> str -> Date B,A和B对象是否equals   默认序列化和反序列化     import com
  • 【Spark八十六】Spark Streaming之DStream vs. InputDStream bit1129 Stream
      1. DStream的类说明文档:   /** * A Discretized Stream (DStream), the basic abstraction in Spark Streaming, is a continuous * sequence of RDDs (of the same type) representing a continuous st
  • 通过nginx获取header信息 ronin47 nginx header
    1. 提取整个的Cookies内容到一个变量,然后可以在需要时引用,比如记录到日志里面, if ( $http_cookie ~* "(.*)$") {         set $all_cookie $1; }     变量$all_cookie就获得了cookie的值,可以用于运算了
  • java-65.输入数字n,按顺序输出从1最大的n位10进制数。比如输入3,则输出1、2、3一直到最大的3位数即999 bylijinnan java
    参考了网上的http://blog.csdn.net/peasking_dd/article/details/6342984 写了个java版的: public class Print_1_To_NDigit { /** * Q65.输入数字n,按顺序输出从1最大的n位10进制数。比如输入3,则输出1、2、3一直到最大的3位数即999 * 1.使用字符串
  • Netty源码学习-ReplayingDecoder bylijinnan javanetty
    ReplayingDecoder是FrameDecoder的子类,不熟悉FrameDecoder的,可以先看看 http://bylijinnan.iteye.com/blog/1982618 API说,ReplayingDecoder简化了操作,比如: FrameDecoder在decode时,需要判断数据是否接收完全: public class IntegerH
  • js特殊字符过滤 cngolon js特殊字符js特殊字符过滤
    1.js中用正则表达式 过滤特殊字符, 校验所有输入域是否含有特殊符号function stripscript(s) {    var pattern = new RegExp("[`~!@#$^&*()=|{}':;',\\[\\].<>/?~!@#¥……&*()&mdash;—|{}【】‘;:”“'。,、?]"
  • hibernate使用sql查询 ctrain Hibernate
    import java.util.Iterator; import java.util.List; import java.util.Map; import org.hibernate.Hibernate; import org.hibernate.SQLQuery; import org.hibernate.Session; import org.hibernate.Transa
  • linux shell脚本中切换用户执行命令方法 daizj linuxshell命令切换用户
    经常在写shell脚本时,会碰到要以另外一个用户来执行相关命令,其方法简单记下:   1、执行单个命令:su - user -c "command" 如:下面命令是以test用户在/data目录下创建test123目录 [root@slave19 /data]# su - test -c "mkdir /data/test123" 
  • 好的代码里只要一个 return 语句 dcj3sjt126com return
    别再这样写了:public boolean foo() {    if (true) {         return true;     } else {          return false;    
  • Android动画效果学习 dcj3sjt126com android
    1、透明动画效果 方法一:代码实现 public View onCreateView(LayoutInflater inflater, ViewGroup container, Bundle savedInstanceState) { View rootView = inflater.inflate(R.layout.fragment_main, container, fals
  • linux复习笔记之bash shell (4)管道命令 eksliang linux管道命令汇总linux管道命令linux常用管道命令
    转载请出自出处: http://eksliang.iteye.com/blog/2105461     bash命令执行的完毕以后,通常这个命令都会有返回结果,怎么对这个返回的结果做一些操作呢?那就得用管道命令‘|’。     上面那段话,简单说了下管道命令的作用,那什么事管道命令呢?     答:非常的经典的一句话,记住了,何为管
  • Android系统中自定义按键的短按、双击、长按事件 gqdy365 android
    在项目中碰到这样的问题: 由于系统中的按键在底层做了重新定义或者新增了按键,此时需要在APP层对按键事件(keyevent)做分解处理,模拟Android系统做法,把keyevent分解成: 1、单击事件:就是普通key的单击; 2、双击事件:500ms内同一按键单击两次; 3、长按事件:同一按键长按超过1000ms(系统中长按事件为500ms); 4、组合按键:两个以上按键同时按住;
  • asp.net获取站点根目录下子目录的名称 hvt .netC#asp.nethovertreeWeb Forms
    使用Visual Studio建立一个.aspx文件(Web Forms),例如hovertree.aspx,在页面上加入一个ListBox代码如下: <asp:ListBox runat="server" ID="lbKeleyiFolder" />   那么在页面上显示根目录子文件夹的代码如下: string[] m_sub
  • Eclipse程序员要掌握的常用快捷键 justjavac javaeclipse快捷键ide
      判断一个人的编程水平,就看他用键盘多,还是鼠标多。用键盘一是为了输入代码(当然了,也包括注释),再有就是熟练使用快捷键。   曾有人在豆瓣评 《卓有成效的程序员》:“人有多大懒,才有多大闲”。之前我整理了一个 程序员图书列表,目的也就是通过读书,让程序员变懒。  写道 程序员作为特殊的群体,有的人可以这么懒,懒到事情都交给机器去做,而有的人又可
  • c++编程随记 lx.asymmetric C++笔记
     为了字体更好看,改变了格式……   &&运算符:   #include<iostream> using namespace std; int main(){      int a=-1,b=4,k;      k=(++a<0)&&!(b--
  • linux标准IO缓冲机制研究 音频数据 linux
    一、什么是缓存I/O(Buffered I/O)缓存I/O又被称作标准I/O,大多数文件系统默认I/O操作都是缓存I/O。在Linux的缓存I/O机制中,操作系统会将I/O的数据缓存在文件系统的页缓存(page cache)中,也就是说,数据会先被拷贝到操作系统内核的缓冲区中,然后才会从操作系统内核的缓冲区拷贝到应用程序的地址空间。1.缓存I/O有以下优点:A.缓存I/O使用了操作系统内核缓冲区,
  • 随想 生活 暗黑小菠萝 生活
    其实账户之前就申请了,但是决定要自己更新一些东西看也是最近。从毕业到现在已经一年了。没有进步是假的,但是有多大的进步可能只有我自己知道。   毕业的时候班里12个女生,真正最后做到软件开发的只要两个包括我,PS:我不是说测试不好。当时因为考研完全放弃找工作,考研失败,我想这只是我的借口。那个时候才想到为什么大学的时候不能好好的学习技术,增强自己的实战能力,以至于后来找工作比较费劲。我
  • 我认为POJO是一个错误的概念 windshome javaPOJO编程J2EE设计
                  这篇内容其实没有经过太多的深思熟虑,只是个人一时的感觉。从个人风格上来讲,我倾向简单质朴的设计开发理念;从方法论上,我更加倾向自顶向下的设计;从做事情的目标上来看,我追求质量优先,更愿意使用较为保守和稳妥的理念和方法。    &
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他