const token = base64(header) + '.' + base64(payload) + '.'+ base64(Signature)
比如:
eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyX2lkIjoiMGMxMDczOTYtZTRmZC00ZWI5LWE4M2ItNjQ2ZTRhZWE1NTZmIiwiZXhwIjoxNjU1ODkwODU2fQ.PULc3JkxEj1c0OJ7l6kL0IrGSu5eB37PaJBZlTSiI38
header: eyJhbGciOiJIUzI1NiJ9
payload: eyJ1c2VyX2lkIjoiMGMxMDczOTYtZTRmZC00ZWI5LWE4M2ItNjQ2ZTRhZWE1NTZmIiwiZXhwIjoxNjU1ODkwODU2fQ
Signature: PULc3JkxEj1c0OJ7l6kL0IrGSu5eB37PaJBZlTSiI38
1). header: 算法的类型
{
'alg': 'HS256' 用到的算法
'typ': 'JWT' 类型用来做什么的(登录、刷新...)
}
2). payload: 我们需要的 body 内容
{
"loggedInAs": "admin",
"exp": 1111111 // 过期时间
}
3). Signature: 加密(私钥, base64(header), base64(payload))
如果我们想看具体每部分的内容可以反 base64
// 将base64转成普通格式
window.atob('xxx')
// 将普通格式转成 base64
window.btoa('xxx')
Rails.application.routes.draw do
get '/', to: 'home#index'
# Define your application routes per the DSL in https://guides.rubyonrails.org/routing.html
namespace :api do
namespace :v1 do
# /api/v1
resource :session, only: [:create, :destroy]
end
end
end
bin/rails g controller api/v1/sessions_controller
require 'rails_helper'
RSpec.describe "Sessions", type: :request do
describe "会话" do
it "登录(创建会话)" do
post '/api/v1/session', params: {email: 'wanglifa1995@qq.com', code: '123456'}
expect(response).to have_http_status(200)
json = JOSN.parse response.body
expect(json['jwt']).to be_a(String)
end
end
end
class Api::V1::SessionsController < ApplicationController
def create
# 如果是测试环境, code 就永远是 123456
if Rails.env.test?
code = '123456'
else
code = params[:code]
end
end
end
class Api::V1::SessionsController < ApplicationController
def create
# 如果是测试环境
if Rails.env.test?
# 如果code不等于123456,则返回 401
if params[:code] != '123456'
return render status: 401
end
else
# 如果不是测试环境,通过数据表里有没有email 是用户传的 email code 是用户传的 code, used_at 是空(说明这个code没用过)
# 来判断可不可以登录
canSignin = ValidationCodes.exists? email: params[:email], code: params[:code], used_at: nil
if !canSignin
return render status: 401
end
end
# 通过 email 来查找这个用户
user = User.find_by_email params[:email]
# 如果用户不存在
if user.nil?
render status: 404, json: {error: '用户不存在'}
else
render status: 200, json: {
jwt: 'xxxxx'
}
end
end
end
然后在测试用例里先创建一个email
describe "会话" do
it "登录(创建会话)" do
+ User.create email: 'wanglifa1995@qq.com'
post '/api/v1/session', params: {email: 'wanglifa1995@qq.com', code: '123456'}
expect(response).to have_http_status(200)
json = JSON.parse response.body
expect(json['jwt']).to be_a(String)
end
end
gem 'jwt'
bundle install
修改 controller
require 'jwt'
if user.nil?
render status: 404, json: {error: '用户不存在'}
else
# 私钥
+ hmac_secret = 'my$ecretKey'
+ payload = { user_id: user.id }
+ token = JWT.encode payload, hmac_secret, 'HS256'
render status: 200, json: {
jwt: token
}
end
将我们的私钥通过临时文件保存
EDITOR="code --wait" bin/rails credentials:edit
添加一个 hmac_secret 的key
hmac_secret: xxxxxxx
然后替换
hmac_secret = Rails.application.credentials.hmac_secret
创建 router
resource :me, only: [:show]
创建 controller
bin/rails g controller api/v1/me_controller
写测试
require 'rails_helper'
RSpec.describe "Me", type: :request do
describe "获取当前用户" do
it "登录后成功获取" do
user = User.create email: 'wanglifa1995@qq.com'
post '/api/v1/session', params: {email: 'wanglifa1995@qq.com', code: '123456'}
json = JSON.parse response.body
jwt = json['jwt']
# 在请求头添加Authorization 值为 jwt
get '/api/v1/me', headers: {'Authorization': "Bearer #{jwt}"}
expect(response).to have_http_status(200)
json = JSON.parse response.body
expect(json['resource']['id']).to eq user.id
end
end
end
实现 controller
class Api::V1::MesController < ApplicationController
def show
header = request.headers['Authorization']
# 如果 header.split(' ')[1] 获取报错就让它等于空字符串,rescue 就相当于 try catch
jwt = header.split(' ')[1] rescue ''
payload = JWT.decode jwt, Rails.application.credentials.hmac_secret, true, { algorithm: 'HS256' } rescue ''
if payload.nil?
return head 400
end
user_id = payload[0]['user_id'] rescue nil
user = User.find user_id
if user.nil?
head 404
else
render json: { resource: user }
end
end
end
原因:我们每个接口里面都需要获取 jwt,这样我们在每个接口的 Controller 都需要写重复的代码
中间件可以帮助我们在每次进入这个 Controller 之前先获取到我们需要的 jwt
1). 在 lib 目录下新建
class AutoJwt
# 初始化函数
def initialize(app)
end
# call 中间件被调用的时候要执行的函数
# env 参数就包含你所有需要的信息包括请求和响应信息
def call(env)
# ruby 默认会 return 最后一句
# call 必须返回三个值,分别为状态码,响应头,响应体
{200, {}, ['Hello, world', 'hi']}
end
end
2). 使用
# require_relative 引入相对路径
+ require_relative "../lib/auto_jwt"
module Mangosteen1
class Application < Rails::Application
+ config.middleware.use AutoJwt
end
end
直接运行上面的代码我们的所有controller 都不会执行,所以要想执行 controller 我们得修改一下我们的 Auto_jwt
class AutoJwt
def initialize(app)
@app = app
end
def call(env)
# 获取 header 里的 authorization
header = env['HTTP_AUTHORIZATION']
# 从authorization获取 jwt
jwt = header.split(' ')[1] rescue ''
# 获取解密后的结果
payload = JWT.decode jwt, Rails.application.credentials.hmac_secret, true, { algorithm: 'HS256' } rescue nil
# 拿到 payload 第一部分里的user_id把它放到 env['current_user_id'] 里
env['current_user_id'] = payload[0]['user_id'] rescue nil
# 执行我们所有的 controller,@status, @headers, @response 这三个变量是执行每个 controller 给我们返回的
@status, @headers, @response = @app.call(env)
[@status, @headers, @response]
end
end
在我们的 controller 里获取到 current_user_id
- header = request.headers["Authorization"]
- jwt = header.split(' ')[1] rescue ''
- payload = JWT.decode jwt, - Rails.application.credentials.hmac_secret, true, { algorithm: 'HS256' } rescue nil
- return head 400 if payload.nil?
- user_id = payload[0]['user_id'] rescue nil
+ user_id = request.env['current_user_id'] rescue nil
直接使用 rspec -e 用例的名字 跑指定用例
$ rspec -e "登录后成功获取"
- payload = { user_id: self.id }
# exp 过期时间字段:(Time.now + 2.hours).to_i 当前时间加两个小时转整数
+ payload = { user_id: self.id, exp: (Time.now + 2.hours).to_i }
def call(env)
+ # jwt 跳过以下路径
+ return @app.call(env) if ['/api/v1/session'].include? env['PATH_INFO']
header = env['HTTP_AUTHORIZATION']
jwt = header.split(' ')[1] rescue ''
- payload = JWT.decode jwt, Rails.application.credentials.hmac_secret, true, { algorithm: 'HS256' } rescue nil
+ begin
+ payload = JWT.decode jwt, Rails.application.credentials.hmac_secret, true, { algorithm: 'HS256' }
+ rescue JWT::ExpiredSignature
+ return [401, {}, [JSON.generate({reason: 'token已过期'})]]
+ rescue
+ return [401, {}, [JSON.generate({reason: 'token无效'})]]
+ end
+ require 'active_support/testing/time_helpers'
it "jwt过期" do
# 更改时间为三小时前
travel_to Time.now - 3.hours
user1 = User.create email: '1@qq.com'
jwt = user1.generate_jwt
# 把时间恢复到现在
travel_back
# 把三小时前生成的 jwt 放进 header 里
get '/api/v1/me', headers: {'Authorization': "Bearer #{jwt}"}
expect(response).to have_http_status(401)
end
it "jwt没过期" do
travel_to Time.now - 1.hours
user1 = User.create email: '1@qq.com'
jwt = user1.generate_jwt
travel_back
get '/api/v1/me', headers: {'Authorization': "Bearer #{jwt}"}
expect(response).to have_http_status(200)
end
我们设置了我们的jwt过期时间为2小时,那么2小时后就失效了,所以我们有两个选择
1). 让用户重新登录,但是这样交互体验不太好
2). 后端除了生成一个jwt还帮我生成一个随机数xxx(这个随机数就是一个hash表也就是 refreshToken 表,通过这个随机数对应相关联的用户),下次再次请求的时候如果jwt过期了,直接用这个随机数请求一个新的 refresh api,然后就会下发给前端一个新的 jwt,如果这个随机数的有效期是七天的话,七天后再次请求会提示用户重新登录
内容
我有一个用户工厂。我希望默认情况下确认用户。但是鉴于unconfirmed特征,我不希望它们被确认。虽然我有一个基于实现细节而不是抽象的工作实现,但我想知道如何正确地做到这一点。factory:userdoafter(:create)do|user,evaluator|#unwantedimplementationdetailshereunlessFactoryGirl.factories[:user].defined_traits.map(&:name).include?(:unconfirmed)user.confirm!endendtrait:unconfirmeddoenden
华为OD机试题本篇题目:明明的随机数题目输入描述输出描述:示例1输入输出说明代码编写思路最近更新的博客华为od2023|什么是华为od,od薪资待遇,od机试题清单华为OD机试真题大全,用Python解华为机试题|机试宝典【华为OD机试】全流程解析+经验分享,题型分享,防作弊指南华为o
C#实现简易绘图工具一.引言实验目的:通过制作窗体应用程序(C#画图软件),熟悉基本的窗体设计过程以及控件设计,事件处理等,熟悉使用C#的winform窗体进行绘图的基本步骤,对于面向对象编程有更加深刻的体会.Tutorial任务设计一个具有基本功能的画图软件**·包括简单的新建文件,保存,重新绘图等功能**·实现一些基本图形的绘制,包括铅笔和基本形状等,学习橡皮工具的创建**·设计一个合理舒适的UI界面**注明:你可能需要先了解一些关于winform窗体应用程序绘图的基本知识,以及关于GDI+类和结构的知识二.实验环境Windows系统下的visualstudio2017C#窗体应用程序三.
MIMO技术的优缺点优点通过下面三个增益来总体概括:阵列增益。阵列增益是指由于接收机通过对接收信号的相干合并而活得的平均SNR的提高。在发射机不知道信道信息的情况下,MIMO系统可以获得的阵列增益与接收天线数成正比复用增益。在采用空间复用方案的MIMO系统中,可以获得复用增益,即信道容量成倍增加。信道容量的增加与min(Nt,Nr)成正比分集增益。在采用空间分集方案的MIMO系统中,可以获得分集增益,即可靠性性能的改善。分集增益用独立衰落支路数来描述,即分集指数。在使用了空时编码的MIMO系统中,由于接收天线或发射天线之间的间距较远,可认为它们各自的大尺度衰落是相互独立的,因此分布式MIMO
遍历文件夹我们通常是使用递归进行操作,这种方式比较简单,也比较容易理解。本文为大家介绍另一种不使用递归的方式,由于没有使用递归,只用到了循环和集合,所以效率更高一些!一、使用递归遍历文件夹整体思路1、使用File封装初始目录,2、打印这个目录3、获取这个目录下所有的子文件和子目录的数组。4、遍历这个数组,取出每个File对象4-1、如果File是否是一个文件,打印4-2、否则就是一个目录,递归调用代码实现publicclassSearchFile{publicstaticvoidmain(String[]args){//初始目录Filedir=newFile("d:/Dev");Datebeg
通常,数组被实现为内存块,集合被实现为HashMap,有序集合被实现为跳跃列表。在Ruby中也是如此吗?我正在尝试从性能和内存占用方面评估Ruby中不同容器的使用情况 最佳答案 数组是Ruby核心库的一部分。每个Ruby实现都有自己的数组实现。Ruby语言规范只规定了Ruby数组的行为,并没有规定任何特定的实现策略。它甚至没有指定任何会强制或至少建议特定实现策略的性能约束。然而,大多数Rubyist对数组的性能特征有一些期望,这会迫使不符合它们的实现变得默默无闻,因为实际上没有人会使用它:插入、前置或追加以及删除元素的最坏情况步骤复
在ruby中,你可以这样做:classThingpublicdeff1puts"f1"endprivatedeff2puts"f2"endpublicdeff3puts"f3"endprivatedeff4puts"f4"endend现在f1和f3是公共(public)的,f2和f4是私有(private)的。内部发生了什么,允许您调用一个类方法,然后更改方法定义?我怎样才能实现相同的功能(表面上是创建我自己的java之类的注释)例如...classThingfundeff1puts"hey"endnotfundeff2puts"hey"endendfun和notfun将更改以下函数定
我目前有一个reddit克隆类型的网站。我正在尝试根据我的用户之前喜欢的帖子推荐帖子。看起来K最近邻或k均值是执行此操作的最佳方法。我似乎无法理解如何实际实现它。我看过一些数学公式(例如k表示维基百科页面),但它们对我来说并没有真正意义。有人可以推荐一些伪代码,或者可以查看的地方,以便我更好地了解如何执行此操作吗? 最佳答案 K最近邻(又名KNN)是一种分类算法。基本上,您采用包含N个项目的训练组并对它们进行分类。如何对它们进行分类完全取决于您的数据,以及您认为该数据的重要分类特征是什么。在您的示例中,这可能是帖子类别、谁发布了该项
我查看了Stripedocumentationonerrors,但我仍然无法正确处理/重定向这些错误。基本上无论发生什么,我都希望他们返回到edit操作(通过edit_profile_path)并向他们显示一条消息(无论成功与否)。我在edit操作上有一个表单,它可以POST到update操作。使用有效的信用卡可以正常工作(费用在Stripe仪表板中)。我正在使用Stripe.js。classExtrasController5000,#amountincents:currency=>"usd",:card=>token,:description=>current_user.email)
虽然1.8.7的构建我似乎有一个向后移植的Shellwords::shellescape版本,但我知道该方法是1.9的一个特性,在1.8的早期版本中绝对不支持.有谁知道我在哪里可以找到(以Gem形式或仅作为片段)针对Ruby转义的Bourne-shell命令的强大独立实现? 最佳答案 您也可以从shellwords.rb中复制您想要的内容。在Ruby的颠覆存储库的主干中(即GPLv2'd):defshellescape(str)#Anemptyargumentwillbeskipped,soreturnemptyquotes.ret