Token 令牌:原理、使用场景及操作指南

最新推荐文章于 2025-03-04 12:09:57 发布
最新推荐文章于 2025-03-04 12:09:57 发布
阅读量2.2k 收藏 34
点赞数 17
分类专栏: 编程学习 JAVA基础工作中实际总结 文章标签: 网络 分布式 物联网 java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Andrew_Chenwq/article/details/143253009
版权

Token 令牌:原理、使用场景及操作指南

一、引言

在当今的数字化时代,信息安全和用户权限管理是软件系统开发中的关键环节。Token 令牌作为一种有效的身份验证和授权机制,被广泛应用于各种网络应用、移动应用以及分布式系统中。它提供了一种安全、灵活且高效的方式来控制用户对资源的访问,同时也保护了系统的安全性。

二、Token 令牌的概念与原理

(一)什么是 Token 令牌

Token 令牌是一种包含用户相关信息的加密字符串。它由服务器生成并颁发给客户端,作为客户端身份的一种标识。Token 通常包含用户的身份信息(如用户 ID)、权限信息(如用户角色)以及一些用于验证的签名信息。这个加密字符串可以在不同的请求中传递,让服务器能够识别客户端的身份并验证其权限。

(二)工作原理

  1. 生成阶段
    • 当用户成功登录或者完成某种认证流程后,服务器会根据用户的信息和系统设置的规则生成一个 Token。这个生成过程通常涉及到加密算法,以确保 Token 的安全性。例如,服务器可能会使用 JSON Web Token(JWT)标准,通过对包含用户信息的 JSON 对象进行签名和加密,生成一个 JWT 令牌。
  2. 传递阶段
    • 客户端收到 Token 后,会将其存储起来,通常存储在浏览器的本地存储(Local Storage)、会话存储(Session Storage)或者作为 HTTP 请求头的一部分。在后续向服务器发送请求时,客户端会将 Token 一同发送给服务器。
  3. 验证阶段
    • 服务器收到带有 Token 的请求后,会对 Token 进行验证。这包括检查 Token 的签名是否正确(用于验证 Token 是否被篡改)、验证 Token 是否过期等。如果 Token 验证通过,服务器就会根据 Token 中包含的权限信息来决定是否允许客户端访问请求的资源。

三、Token 令牌的使用场景

(一)身份认证

  1. 单页应用(SPA)
    • 在单页应用中,传统的基于会话(Session)的身份认证可能会遇到一些问题,如跨域访问困难等。Token 令牌提供了一种更好的解决方案。例如,用户登录成功后,服务器颁发一个 JWT 令牌给客户端。客户端在后续的每一个 API 请求中都将这个令牌放在请求头中发送给服务器。服务器通过验证令牌来确认用户的身份,从而允许用户访问受保护的资源。
  2. 移动应用
    • 对于移动应用来说,Token 令牌同样适用。移动应用在用户登录后获取令牌,并将其存储在本地安全的存储区域(如设备的加密存储)。在与服务器通信时,将令牌添加到请求中,方便服务器进行身份验证。这样可以确保只有经过认证的用户才能访问移动应用后端的服务,如获取用户个人信息、进行数据更新等。

(二)授权访问

  1. 多用户角色系统
    • 在一个具有多种用户角色(如管理员、普通用户、访客)的系统中,Token 令牌可以携带用户的角色信息。服务器根据令牌中的角色信息来决定用户可以访问哪些资源。例如,管理员角色的用户可能拥有对系统所有功能的访问权限,而普通用户只能访问部分功能。当用户发送请求时,服务器通过验证令牌中的角色信息来授权或拒绝访问相应的资源。
  2. 第三方 API 集成
    • 当一个应用需要访问第三方 API 时,第三方服务提供商可能会要求使用 Token 令牌进行授权。应用首先需要向第三方服务申请令牌,通常是通过注册应用并获取客户端 ID 和客户端秘密,然后使用这些信息进行认证以获取令牌。在后续访问第三方 API 时,将令牌包含在请求中,以获得授权访问。

四、如何使用 Token 令牌

(一)在 Web 应用中使用 JWT(JSON Web Token)

  1. 后端生成 JWT 令牌
    • 首先,在后端应用(如使用 Node.js + Express)中,需要安装相关的 JWT 库,如 jsonwebtoken。当用户登录成功后,使用用户信息(如用户 ID、用户名等)生成 JWT 令牌。以下是一个简单的示例代码:
const jwt = require('jsonwebtoken');
const secretKey ='my_secret_key';

// 假设这是从数据库中获取的用户信息
const user = {
    id: 1,
    username: 'example_user'
};

// 生成JWT令牌
const token = jwt.sign(user, secretKey);
  • 在这个示例中,我们定义了一个密钥(secretKey),并使用 jwt.sign 方法将用户信息(user)进行签名,生成一个 JWT 令牌(token)。
  1. 前端存储和传递 JWT 令牌
    • 前端(如使用 JavaScript)在收到后端返回的 JWT 令牌后,可以将其存储在本地存储中。例如,使用 localStorage:
localStorage.setItem('token', token);
  • 在后续向服务器发送请求时,将令牌添加到请求头中。如果使用 Axios 库进行 HTTP 请求,可以这样设置:
import axios from 'axios';

const token = localStorage.getItem('token');
axios.defaults.headers.common['Authorization'] = 'Bearer'+ token;
  • 这样,每次发送请求时,Axios 都会将包含令牌的请求头发送给服务器。
  1. 后端验证 JWT 令牌
    • 在后端,需要对收到的 JWT 令牌进行验证。同样使用 jsonwebtoken 库,在处理受保护的路由时,添加验证逻辑。例如:
const jwt = require('jsonwebtoken');
const secretKey ='my_secret_key';

// 中间件函数用于验证JWT令牌
const authenticateToken = (req, res, next) => {
    const authHeader = req.headers['authorization'];
    const token = authHeader && authHeader.split(' ')[1];
    if (token == null) return res.sendStatus(401);

    jwt.verify(token, secretKey, (err, user) => {
        if (err) return res.sendStatus(403);
        req.user = user;
        next();
    });
};

// 在受保护的路由中使用中间件
app.get('/protected', authenticateToken, (req, res) => {
    res.send('You have access to protected resource.');
});
  • 在这个示例中,我们定义了一个中间件函数(authenticateToken)来验证 JWT 令牌。首先从请求头中获取令牌,然后使用 jwt.verify 方法进行验证。如果验证通过,将用户信息(user)添加到请求对象(req)中,并调用 next 函数,允许请求继续处理;如果验证失败,根据情况返回 401(未授权)或 403(禁止访问)状态码。

(二)在移动应用中使用 Token 令牌(以 Android 为例)

  1. 获取 Token 令牌
    • 在移动应用的登录模块,通过与后端服务器进行通信获取 Token 令牌。通常使用 HTTP 库(如 OkHttp)进行网络请求。假设后端返回的是一个 JSON 格式的响应,其中包含令牌,以下是一个简单的示例代码:
import android.os.AsyncTask;
import android.util.Log;

import org.json.JSONException;
import org.json.JSONObject;

import java.io.IOException;

import okhttp3.MediaType;
import okhttp3.OkHttpClient;
import okhttp3.Request;
import okhttp3.RequestBody;
import okhttp3.Response;

public class TokenFetcher extends AsyncTask<String, Void, String> {
    private static final String TAG = "TokenFetcher";
    private static final String BASE_URL = "https://your_backend_url/login";
    private static final MediaType JSON = MediaType.get("application/json; charset=utf-8");

    @Override
    protected String doInBackground(String... params) {
        String username = params[0];
        String password = params[1];

        OkHttpClient client = new OkHttpClient();
        JSONObject json = new JSONObject();
        try {
            json.put("username", username);
            json.put("password", password);
        } catch (JSONException e) {
            Log.e(TAG, "Error creating JSON object", e);
        }
        RequestBody body = RequestBody.create(json.toString(), JSON);
        Request request = new Request.Builder()
              .url(BASE_URL)
              .post(body)
              .build();
        try {
            Response response = client.newCall(request).execute();
            if (response.isSuccessful()) {
                JSONObject responseJson = new JSONObject(response.body().string());
                return responseJson.getString("token");
            } else {
                Log.e(TAG, "Login failed. Status code: " + response.code());
            }
        } catch (IOException | JSONException e) {
            Log.e(TAG, "Error fetching token", e);
        }
        return null;
    }

    @Override
    protected void onPostExecute(String token) {
        if (token!= null) {
            // 将令牌存储在安全的存储区域,如Android的SharedPreferences
            // 这里只是示例,实际应用中需要考虑加密等安全措施
            // 假设已经有一个名为TokenStorage的类用于存储令牌
            TokenStorage.storeToken(token);
        }
    }
}
  • 在这个示例中,我们通过 AsyncTask 在后台线程中进行网络请求,向服务器发送用户名和密码,获取返回的令牌,并将其存储在本地(这里只是简单演示存储在一个假设的 TokenStorage 类中,实际应用中需要更好的安全存储方式)。
  1. 使用 Token 令牌进行请求
    • 在移动应用需要访问受保护的后端资源时,将存储的 Token 令牌添加到请求中。同样使用 OkHttp 库,以下是一个示例代码:
import android.util.Log;

import java.io.IOException;

import okhttp3.Interceptor;
import okhttp3.OkHttpClient;
import okhttp3.Request;
import okhttp3.Response;

public class TokenInterceptor implements Interceptor {
    @Override
    public Response intercept(Chain chain) throws IOException {
        Request originalRequest = chain.request();
        String token = TokenStorage.getToken();
        if (token!= null) {
            Request newRequest = originalRequest.newBuilder()
                  .header("Authorization", "Bearer " + token)
                  .build();
            return chain.proceed(newRequest);
        } else {
            Log.w("TokenInterceptor", "No token found.");
            return chain.proceed(originalRequest);
        }
    }

    public static OkHttpClient getClient() {
        OkHttpClient client = new OkHttpClient.Builder()
              .addInterceptor(new TokenInterceptor())
              .build();
        return client;
    }
}
  • 在这里,我们定义了一个拦截器(TokenInterceptor),在每个请求中检查是否有令牌,如果有,则将其添加到请求头(“Authorization”)中,格式为 “Bearer <令牌内容>”,然后继续发送请求。通过这种方式,移动应用在访问后端资源时可以进行身份验证。
  1. 后端验证移动应用的 Token 令牌
    • 后端验证移动应用发送的 Token 令牌的方式与 Web 应用类似。根据使用的技术栈,采用相应的验证逻辑,确保令牌的真实性和有效性,以及验证用户的权限等信息。

五、Token 令牌使用的注意事项

(一)安全性

  1. 令牌存储安全
    • 在前端应用中,无论是 Web 应用还是移动应用,存储 Token 令牌时需要注意安全性。在 Web 应用中,避免将令牌存储在容易被跨站脚本攻击(XSS)获取的地方,如使用 Cookie 存储时要设置合适的安全属性(如 HttpOnly、Secure)。在移动应用中,要使用设备提供的安全存储机制,如 Android 的 KeyStore 或 iOS 的 Keychain。
  2. 传输安全
    • Token 令牌在网络传输过程中应该使用安全的协议,如 HTTPS。这样可以防止令牌被中间人拦截和窃取。

(二)有效期管理

  1. 设置合理的有效期
    • Token 令牌应该有合理的有效期设置。有效期过短可能会导致用户频繁登录,影响用户体验;有效期过长则增加了令牌被窃取后滥用的风险。根据应用的安全需求和用户使用场景,合理设置令牌的有效期,如几分钟到几天不等。
  2. 刷新机制
    • 对于需要长时间使用的应用,应该建立令牌刷新机制。当令牌接近过期时,自动向服务器请求刷新令牌,以确保用户的持续访问权限。

(三)权限管理

  1. 精细的权限控制
    • 根据应用的用户角色和功能需求,在 Token 令牌中设置精细的权限信息。确保服务器能够根据令牌准确地授权或拒绝用户对不同资源的访问。
  2. 权限更新
    • 当用户的权限发生变化时,如用户角色升级或权限被回收,要及时更新 Token 令牌中的权限信息或者重新颁发令牌,以保证权限控制的准确性。

六、总结

Token 令牌是一种强大的身份验证和授权工具,在现代软件系统中发挥着重要的作用。通过了解其原理、使用场景以及正确的使用方法,开发者可以构建更加安全、灵活的应用程序。在使用过程中,要注意安全性、有效期管理和权限管理等重要事项,以确保 Token 令牌能够有效地保护系统和用户的权益。无论是 Web 应用还是移动应用,Token 令牌都为用户身份认证和授权访问提供了可靠的解决方案。

Token:用户身份验证的令牌
hanbing1307的博客
03-11 2620
存储的主要是一个用户 id,其他的用户信息都存储在服务器的 Session 中,而 Token 没有内存限制,用户信息可以存储 Token 中,返回给用户自行存储,因此可以看出,采用 Cookie 的话,由于所有用户都需要在服务器的 Session 中存储相对应的用户信息,所以如果用户量非常大,这对于服务器来说,将是非常大的性能压力,而Token 将用户信息返回给客户端各自存储,也就完全避开这个问题了。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回Token给前端。
什么是token机制
最新发布
qq_54680501的博客
03-24 709
Token 机制通过无状态、自包含的令牌解决了传统 Session 的扩展性和跨域难题,是现代分布式系统和 API 设计的核心技术。合理使用 Token(如 JWT)能显著提升安全性和性能,但需严格遵循安全最佳实践(如 HTTPS、短有效期、加密签名)。
Token原理以及应用
自由
07-23 6万+
近期由于项目需要开发供第三方使用的api,在整个架构设计的一个环节中,对api访问需要进行认证,在这里我选择了token认证。 一:token的优势(此部分引自http://www.sumahe.cn/)     1.无状态、可扩展         在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服
struts2令牌(token)内部原理
weixin_33779515的博客
05-05 177
    小菜最近接触了struts2中的令牌知识,由于该知识点比较重要,因此想弄明白些,于是满怀信心的上网查阅资料,结果让小菜很无奈,网上的资料千篇一律,总结出来就一句话:“访问页面时,在页面产生一个token id,同时在服务器的session中保存一个同样的id,提交时判断如果相同怎么样不相同怎么样。。。”     可能是小菜愚笨,实在是无法从这么精炼的描述中体会令牌的精髓。     肤浅...
Token的作用及原理
0945v1
07-09 1万+
讲到Token的作用和原理,网上有很多相关的技术文章,通过搜集整理并加入自己的理解体会,做一个总结整理,希望可以帮助到更多有需要的人。 1、token作用及原理 Token,即令牌,是服务器产生的,具有随机性和不可预测性,它主要有两个作用: (1)防止表单重复提交; 使用Token防表单重复提交步骤: ①在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token; ②将Token发送到客户端的Form表单中,在Form表单中使用隐藏域
token原理
探索未知
02-26 302
token的作用及实现原理
热门推荐
我在路上的博客
03-22 27万+
1:首先,先了解一下request和session的区别request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp...
ngx-window-token:Angular窗口注入令牌使用指南
资源摘要信息:"ngx-window-token是一个Angular模块,它允许开发者在Angular应用中使用 WINDOW 令牌进行依赖注入,类似于 DOCUMENT 令牌使用方式。本模块主要为了解决在某些特定情况下,开发者可能需要在Angular...
OAuth2刷新令牌测试工具:refreshtoken_tester使用指南
开发者可以根据授权服务器的具体实现和要求来调整这些时间设置,以便模拟不同的使用场景和测试授权服务器对时间敏感的刷新令牌行为。 描述中还提到了"节点index.js或节点调试index.js(如果已安装节点检查器)",这...
Token设计指南:实现动态用户信息与权限管理
格子先生Lab的博客
03-04 725
Token是一种用于身份验证和授权的凭证,通常由服务器生成并返回给客户端。客户端在后续请求中携带Token服务器通过验证Token来判断用户的身份和权限。
Token认证机制:原理与实践
本文系统地回顾了Token认证机制的理论基础,包括认证协议的演进、Token的工作原理及其安全性分析。在实践应用方面,文中详细探讨了JWT的实现、OAuth 2.0与OpenID Connect的应用,以及Token的管理和存储策略。文章还...
掌握PHP中的JSON Web令牌:php-jwt库的实用指南
8. 构建安全的认证系统:使用php-jwt库,开发者可以方便地在Web应用中构建基于令牌的认证系统,从而实现安全的用户认证和会话管理。 9. 代码示例:文档中提到的示例代码段落展示了如何在PHP中创建一个使用HS256算法...
token的常见应用场景
fableboy的学习点滴
01-21 4792
token常常用在各种应用中,如下场景:      1,用户输入密码和帐号后,系统进行验证后,生成一个session,分配一个sessionid给使用者,后续服务使用者就无需每次都输入密码和验证密码了,只需把对应的帐户和sessionid带上即可,后端只需进行高效的sessionid的有效性校验即可。解决了关键接口或者敏感接口的多次调用,并且对sessionid的有效期等可以进行管理。
Token 令牌
xdruan的专栏
09-07 1316
Token 令牌  用户认证系统所使用Token 令牌,是验证用户身份,为用户提供特殊登录虚拟编码,保障用户安全登录系统的技术。其工作原理:根据其特有的值和时间点,在使用时产生一个无法预知的编码,该编码和用户口令构成了用户的通行码。登录目的服务器和该用户的Token 共享一
Token的应用场景
e5bb96的博客
06-26 619
Token的应用场景
Token令牌原理使用
清颖的博客
06-22 6938
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
Token原理及实现
AwayFuture的博客
10-26 1万+
一. Token出现的背景 1. 在早前的Web应用中,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的; 2. 但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话...
token的作用和使用场景 原理
CJamenc的博客
11-05 864
因为http协议是无状态的协议,所有我们用户登录以后,访问一些带权限的页面,就无法判断能否给用户展示? 一般判断用户的身份有两种通用的方式,一种是 cookie+session的模式 (用户用账号和密码登录成功以后,后端php,java等,就会返回给我们一个 sessionId的值,存在数据库redis里面, 然后再通过一些 set-cookie响应头 发送给前端, 浏览器就会自动将这个值保存在用户电脑上面,称为cookie; 然后我们所有的请求发送之前 都会自动带上cookie这个参数放在请求头里...
令牌简介及原理(Token)
岁月净好
11-29 1万+
令牌(Token)就是系统的临时密钥,相当于账户名和密码,用来决定是否允许这次请求和判断这次请求时属于哪一个用户的.它允许你不提供密码或其他凭证的前提下,访问网络和系统资源.这些令牌将持续存在于系统中,除非系统重新启动.   令牌最大的特点就是随机性,不可预测,一般黑客或软件无法猜测出来,令牌有很多种,比如访问令牌(Access Token)表示访问控制操作主题的系统对象;密保令牌(Security token),又叫作认证令牌或者硬件令牌,是一种计算机身份校验的物理设备,例如U盾;会话令牌(Session
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT枫斗者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值