Token的技术详解

于 2024-08-01 11:42:01 发布
阅读量532 收藏 11
点赞数 20
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79714460/article/details/140818726
版权

 前言:

第一次团队独立做一个前后端分离的项目,学到了很多东西,然后也是增长了一些经验。目前后端的基本完成,还剩小程序端的,在此就稍微歇脚写几篇博客做一个总结。

然后第一个是选择了Token,这个技术运用的十分广泛,然后又是登入后的第一个技术,就拿出来好好详细写一些。其实主要选择这个是因为我旁边一哥们面试的时候面试官问了一个Token,然后那个面试官不知道英语四级过没过他竟然把Token读的和Cookie一样,然后就懵了,有点离谱。。所以就借着这个机会详细总结一下Token这个技术。

用途:

Token 是一个常见的技术概念,广泛用于身份验证、授权、API 访问控制等场景。Token 是一种用于在不同系统、应用程序或服务之间传递身份或权限信息的字符串。Token 通常是一个加密或编码的字符串,包含了用户信息、权限、有效期等信息。 

Token 的运用场景

a. 身份验证

Token 用于验证用户身份,确保请求是由合法用户发出的。常见的实现是通过 JWT 进行用户认证和授权。

b. 授权

Token 也用于授权,确保用户对特定资源或操作具有足够的权限。例如,OAuth Token 用于授权第三方应用访问用户的数据。

c. API 安全

API Token 用于控制对 API 的访问,确保只有授权的用户或应用程序可以访问 API。

1. 身份验证和授权

在身份验证系统中,Token 通常用于身份验证和授权。最常见的是 JSON Web Token (JWT)。

产生:当用户登录时,服务器会生成一个包含用户信息的 JWT,并将其返回给用户。
作用:用户在访问受保护的资源时,将 JWT 附加到请求头中,服务器通过验证 JWT 来确认用户身份。

什么是JWT??

JWT 是一种常用的 Token 格式,用于在网络应用中传递声明。它由三部分组成:Header(头部)、Payload(负载)和 Signature(签名)。

Header:包含 Token 类型和加密算法,例如 {"alg": "HS256", "typ": "JWT"}。
Payload:包含声明或用户信息,例如 {"sub": "1234567890", "name": "John Doe", "admin": true}。
Signature:用来验证 Token 是否被篡改,通过对 Header 和 Payload 进行加密得到,例如 HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)。

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import io.jsonwebtoken.Claims;

import java.util.Date;

public class JwtUtil {
    private static final String SECRET_KEY = "your-256-bit-secret";

    // 生成 JWT
    public static String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username)
                .setIssuedAt(new Date())
                .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 1 hour
                .signWith(SignatureAlgorithm.HS256, SECRET_KEY)
                .compact();
    }

    // 解析 JWT
    public static Claims parseToken(String token) {
        return Jwts.parser()
                .setSigningKey(SECRET_KEY)
                .parseClaimsJws(token)
                .getBody();
    }
}

 OAuth Token
OAuth 是一个授权框架,OAuth Token 用于授权访问资源。它有两个主要类型:

Access Token:用于访问受保护的资源,通常具有短期有效性。
Refresh Token:用于获取新的 Access Token,通常具有较长的有效性。

import java.util.UUID;

public class OAuthUtil {
    // 生成 Access Token
    public static String generateAccessToken() {
        return UUID.randomUUID().toString();
    }
}

 

 Token令牌是如何携带在接口上每次访问校验的??

这个也是我的那个同学问到的问题(翻译过来的)。

Token 令牌在接口上每次访问时的校验通常通过以下步骤进行:

1. Token 的生成和获取

首先,用户在进行身份验证后(如登录或授权),服务器生成一个 Token 并返回给客户端。这个 Token 可能是 JWT、OAuth Token 或其他自定义格式的字符串。

2. Token 的传递方式

客户端通常将 Token 放置在 HTTP 请求的头部(Header)中,作为授权信息发送给服务器。常见的做法是将 Token 放在 Authorization 头部的 Bearer 字段中,格式如下:
Authorization: Bearer your_token_here


3. 接收和解析 Token

服务器在接收到请求时,会从请求头中提取 Token。具体实现可能依赖于框架或库来处理 Token 的解析和验证。

4. Token 的验证

服务器通过以下步骤验证 Token 的合法性:

解析 Token:使用事先定义好的密钥(对于 JWT)或验证服务(对于 OAuth Token),解析 Token 的内容。这通常涉及到对 Token 的解码和验证签名(对于 JWT)或向授权服务器验证 Token 的有效性(对于 OAuth Token)。

验证 Token 的有效期:检查 Token 是否过期。对于 JWT,Payload 中包含了 Token 的过期时间,服务器可以通过比较当前时间和过期时间来验证 Token 是否仍然有效。

验证 Token 的权限:如果 Token 包含了权限信息或角色信息,服务器可能还会根据请求的操作(例如访问特定资源)来验证 Token 中的权限是否足够。

5. 响应和处理

根据 Token 的验证结果,服务器会相应地处理请求:如果 Token 验证通过且权限足够,则允许访问请求的资源或执行操作。
如果 Token 验证失败(如过期、无效或权限不足),则拒绝访问,并可能返回相应的错误信息或状态码(如 401 Unauthorized)。
示例代码(使用 Spring Security 进行 Token 验证)
以下是使用 Spring Security 框架进行 JWT Token 验证的简单示例:

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.jwt.Jwt;
import org.springframework.security.jwt.JwtHelper;
import org.springframework.security.jwt.crypto.sign.MacSigner;
import org.springframework.stereotype.Service;

@Service
public class JwtUserDetailsService implements UserDetailsService {

    private static final String SECRET_KEY = "your_secret_key_here";

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 实际项目中,从数据库或其他存储中获取用户信息
        // 这里简单返回一个 UserDetails 对象
        return new org.springframework.security.core.userdetails.User(username, "", new ArrayList<>());
    }

    public boolean validateToken(String token) {
        try {
            Jwt jwt = JwtHelper.decodeAndVerify(token, new MacSigner(SECRET_KEY));
            // Token 验证成功
            return true;
        } catch (Exception e) {
            // Token 验证失败
            return false;
        }
    }
}


在实际应用中,还可以根据具体情况对 Token 的验证逻辑进行扩展,例如添加更复杂的权限控制、使用 OAuth Token 等其他身份验证方案。

北极以北的雪
关注
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
vue全局配置请求token_详解vue项目中使用token的身份验证的简单实践
weixin_42513944的博客
01-13 2504
工作原理前端页面进行登录操作, 将用户名与密码发给服务器;服务器进行效验, 通过后生成token, 包含信息有密钥, uid, 过期时间, 一些随机算法等 ,然后返回给前端前端将token保存在本地中, 建议使用localstorage进行保存. 下次对服务器发送请求时, 带上本地存储的token服务器端,进行对token的验证, 通过的话, 进行相应的增删改查操作, 并将数据返回给前端为通过则...
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
Token令牌技术
最新发布
qq_65501447的博客
05-02 338
Token在计算机科学和网络安全中,指的是一种代表特定身份或权限的数据结构,通常用于确认用户身份并授权其访问特定资源。在互联网环境中,Token的运作主要涉及到服务器和客户端之间的交互。通过这种方式,Token服务器和客户端之间建立了一种安全、可靠的通信机制。同时,由于Token不包含用户的敏感信息,如密码,因此它比直接传递用户信息更安全。请注意,Token的安全性取决于其生成、存储和验证过程中的多个因素。因此,在实际应用中,需要采取适当的安全措施来保护Token,防止其被窃取或滥用。
Token技术分析
12-14
关于Token技术分析的开发文档,有需要的可以下载看一看,新手可以了解一下。
会话技术(三):Token
二进制杯莫停的博客
02-01 642
TokenToken服务器端会话技术 自定义的Session 如果在Web页面开发中,使用基本和Session一致 如果使用移动端或客户端开发中,通常以Json形式传输,需要移动端自己存储Token,需要获取Token关联数据的时候主动传递Token。 ...
Token技术的功能及实现
热门推荐
走了两万五千里的钉子的博客
07-05 3万+
## Token功能及其技术及其实现 ##目前就知道Token功能就两种:1.防止表单重复提交2.用来作身份验证1.下面来介绍其用法下面根据以上流程用代码演示 我写了两个页面 一个是主页 会跳转到添加页面 第二个是添加页面 模拟用户提交数据场景 说明下 token一般放在隐藏域中 在这里方便大家看 没有隐藏 主要说明下后台的代码 token其实只要是任何字符串都行 这里用到的是uui
详解vue项目中使用token的身份验证的简单实践
01-19
工作原理 ... 服务器进行效验, 通过后生成token, 包含信息有密钥, uid, 过期时间, 一些随机算法等 ,然后返回给前端 前端将token保存在本地中, 建议...所用技术: vuex + axios + localStorage + vue-router 1、在登录路由
详解JWT token心得与使用实例
10-16
在实际应用中,JWT还可能与其他技术结合,如OAuth2,用于授权第三方应用访问资源。此外,为了增加安全性,还可以使用更复杂的加密算法,并定期更新密钥。同时,需要注意对JWT的有效期管理,避免长期有效的JWT成为...
webapi token验证例子
06-05
webapi token验证例子
创建token令牌的算法示例
12-30
这是一个token的示例,众所周知,token是用于后台服务器认证浏览器的一种技术,它弥补了cookie对数据大小限制和安全性问题
后端登录功能token技术
weixin_52777510的博客
04-13 5736
后端登录功能实现——token技术 内容参考自以下博客: https://www.yunliyunwai.cn/blog/detail/da87ec1283706f0c0995a9c235f2eb31(过度借鉴,请勿在意~) 【详细而又具体有逻辑的内容请直接点击链接访问,笔者只是一个过度的参考者+生疏的搬运工】 计时器参考以下博客: https://www.yunliyunwai.cn/blog/detail/6df3b14ac972cbabf8484cd1c9da9554 【我不说我其实没写过…】 前端
【前端开发必备】深入理解Token技术的实现原理和安全性
DevCorner的Pro技术博客
06-22 4185
Token,又称令牌,是一种用于身份验证的方式。在前后端分离的应用中,当用户登录后,后端会生成一个Token字符串,然后将其返回给前端。前端可以将该Token保存在客户端,例如浏览器的Cookie或LocalStorage中,以便在需要访问后端API时,将该Token发送给后端进行身份验证。后端在验证Token的有效性后,会根据Token所代表的用户身份等信息,返回相应的数据或执行相应的操作。前端Token技术是一种常用而且重要的身份验证方式,在前后端分离的应用中得到了广泛应用。
token机制详说
Blue
03-09 2204
token机制详说
token令牌以及登录小例子
m566666的博客
03-19 2590
token令牌:通过账号密码换取一个有时效的token令牌,基于token去进行认证和授权相关的操作。 在进行登录验证时,我们需要session或cookie会话进行验证,前端包括浏览器还有微信小程序、app、公众号,而采用前后端分离并且不使用浏览器的情况下就会导致前端无法用cookie存储信息,这时我们就需要使用token令牌进行登录验证。 使用token令牌前后端交互验证登录过程如下图: 从上图可以看到和session验证时很相似的。 基于内存存储token令牌示例如下: 先在spring
动态token-4
qq_41344503的博客
04-14 4589
思与观 UI层 前端: 加载初始数据,通过前端技术读取出来,接收页面上的输入和操作,将输入传给后台处理 后端:对前端传入的数据或操作进行处理,将处理结果返回前端 具有开发思维+具有自动化测试能力+具有测试开发的能力 Python+UI+wxPytho的模式 接口自动化和性能自动化 测试工具研发+测试框架研发 界面编程代码: 标签文字是否是固定不变的。前端手机自带的语言库发生的文字改变,不需要做弱网测试;如果读的是后端的语言库,一定要进行弱网测试,因为这时候有大
基于token身份认证的完整实例
~~~~~~~BUG FLY~~~~~~~~~
08-09 4201
文章目录前言一、基于Token的身份认证工作流程二、实现步骤1.配置过滤请求2.实现过滤器3.登录接口4.登录之后获取用户信息总结 前言 基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息。 一、基于Token的身份认证工作流程 1.用户通过用户名和密码请求访问 2.服务器验证用户,通过校验则向客户端返回一个token 3.客户端存储token,并且在随后的每一次请求中都带着它 4.服务器校验token并返回数据 每一次请求都需要token -Token应该放在请求hea
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值