Как сделать авторизацыонный токен на Java?

Question

[Sp1rtwork]

Пишу веб-сервис для андроид приложения и мне надо осуществить авторизацыонный токен. Что почитать, где посмотреть чтоб написать этот токен, просто я его в глаза не видел, не знаком с ним))).

Answer 1

[Виталий Пухов]

Вопрос сформулирован так как будто вы еще и не знаете зачем он вам вообще понадобился) В двух словах токен это некая последовательность достаточно уникальная, чтобы ее было трудно угадать. На сервисе должна быть функция аля Авторизация(логин пароль) или что у вас в нем используется, эта функция должна проверить корректность пользователя и если он корректный сгенерить ему некий Токен, для этого можно например использовать объект GUID или просто MD5 от некой достаточно уникальной строки. Этот токен возвращается при авторизации и сохраняется где то в БД, далее при обращении к сервису вместо пары логин\пароль отправляется этот токен и идет проверка уже не по логину или паролю а по наличию токена в БД. Соответственно если на каком то токене идет подозрительная активность его можно удалить из БД тем самым "заблокировав" токен, но не пользователя.

Comments

[Виталий Пухов]

если включить параноика можно еще немного изменить алгоритм, к примеру вместо отправки токена при запросе отправлять логин а сам запрос шифровать токеном, сервис же по логину может найти токен и расшифровать сообщение.

[Sp1rtwork]

Вы прави, я не знаю зачем он мне))). Хороший ответ. А дайте туториал, статейку, чтоб с примером)). Я понимаю суть , но не понимаю как реализовать, я только начинающий маг)). Спасибо

[Виталий Пухов]

Sp1rtwork: Это зависит от того на чем пришется веб сервис, потому как его можно написать чуть меньше чем на любом языке

[Sp1rtwork]

Виталий Пухов: Извиняюсь, Java

[Виталий Пухов]

Sp1rtwork: на чистой Java? Я бы использовал какой ни будь подходящий фреймворк, например https://spring.io/guides/gs/rest-service/ тут в примере есть функция public Greeting greeting(@RequestParam(value="name", defaultValue="World") String name) {
return new Greeting(counter.incrementAndGet(),
String.format(template, name));
в ней Greeting(counter.incrementAndGet(), String.format(template, name));
Это простейшая функция которая возвращает "Hello %s" где вместо %s подставляется name
вместо нее можно написать ту самую функцию авторизации.
Я бы не сказал что на java это просто сделать, пример тому показатель, такое проще было бы реализовать на каком ни будь .net или php.

[Sp1rtwork]

Спасибо большое. Я за месяц поиска инфи по крупицам и писания кода понял что проще на php))). Spring попадался на глаза, иду читать про этот фреймоворк....а все начиналось с Android Studio))))

[Виталий Пухов]

Sp1rtwork: Веб и андроид это немного разные сферы и инструменты для них чаще разные. Java удобна в android, но не факт что будет удобна для Web

[Макс]

Виталий Пухов: не факт, что Java удобна в Android :)

[Виталий Пухов]

Maxim: Есть такое) Мне так xamarin по душе больше, хотя его от javы почти не отличить)

Answer 2

[Viktor Koltcov]

Попробуйте почитать про JWT

jwt.io

В JWT токене содержится информация о пользователе, в виде JSON объекта.
этот JSON закодирован Base64 и подписан вашим "секретом"
получая JWT токен от пользователя вы можете проверить подпись, и убедится не подменен ли объект в токене.

Comments

[Виталий Пухов]

это как раз мой вариант для параноиков:) не знал что для этого уже все готовое есть) сохранил себе в копилку на будущее

[Sp1rtwork]

Спасибо, иду смотреть)