Token的原理及实现

最新推荐文章于 2025-02-25 08:52:40 发布
最新推荐文章于 2025-02-25 08:52:40 发布
阅读量1.5w 收藏 116
点赞数 18
分类专栏: # - - ☆ 前端日常 ☆ - - - ☆ Java基础 ☆ - - ☆ 数据安全 ☆ - 文章标签: Token java实现token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AwayFuture/article/details/102753627
版权
本文深入探讨Token机制的起源,优势及工作原理。Token解决了传统sessionid机制带来的服务器内存负担及安全性问题,通过无状态、可扩展特性提升系统性能,利用安全性机制防止伪造攻击。文章还介绍了Token的Java实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一. Token出现的背景

    1. 在早前的Web应用中,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的;

    2. 但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个不小的挑战,因为HTTP请求是无状态的,所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串,每个人收到的都不一样, 每次大家向我发起HTTP请求的时候,把这个字符串给一并捎过来, 这样我就能区分开谁是谁了;

    3. 但是客户端只需要保存自身的session id,而服务器端则要保存所有客户端的session id ,这对服务器说是一个巨大的开销 , 严重的限制了服务器扩展能力;Token的出现解决了这个问题,因为服务端不需要存储Token的信息,而是通过CPU的计算 + 数据的加密解密再核对Token的方式来验证用户是否合法(即HTTP请求信息有没有被篡改),让服务器内存得到释放;

    4. session id可以被伪造,没有采取加密的方法!!!,一旦攻击者通过session id伪造攻击,就会给服务器带来压力甚至击垮服务器。

    5. Token是通过加密算法(如:HMAC-SHA256算法)来实现session对象验证的,这样使得攻击者无法伪造token来达到攻击或者其他对服务器不利的行为。
【参考:https://www.cnblogs.com/moyand/p/9047978.html

    总结: Token的作用主要是这两点:

  • 节省服务器内存
  • 数据签名防伪造攻击

 

二. Token的优势

    1. 无状态、可扩展:
        在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是不要着急。使用tokens之后这些问题都迎刃而解,因为tokens自己hold住了用户的验证信息。

    2. 安全性
        请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。
        token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效

     3. 可扩展性
         Token能够创建与其它程序共享权限的程序。例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。
        使用token时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。

    4. 多平台跨域
        我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。

Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.

只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到 !!!

Access-Control-Allow-Origin: *

.

三. Token的原理

        1. 实现原理
Token的原理
    1) 将荷载payload,以及Header信息进行Base64加密,形成密文payload密文,header密文。

    2) 将形成的密文用句号链接起来,用服务端秘钥进行HS256加密,生成签名.

    3) 将前面的两个密文后面用句号链接签名形成最终的token返回给服务端
 

说明:

(1)用户请求时携带此token(分为三部分,header密文,payload密文,签名)到服务端,服务端解析第一部分(header密文),用Base64解密,可以知道用了什么算法进行签名,此处解析发现是HS256。

(2)服务端使用原来的秘钥与密文(header密文+"."+payload密文)同样进行HS256运算,然后用生成的签名与token携带的签名进行对比,若一致说明token合法,不一致说明原文被修改。

(3)判断是否过期,客户端通过用Base64解密第二部分(payload密文),可以知道荷载中授权时间,以及有效期。通过这个与当前时间对比发现token是否过期。
 
 
2. 实现思路
Token实现思路

  1. 户登录校验,校验成功后就返回Token给客户端。

  2. 客户端收到数据后保存在客户端

  3. 客户端每次访问API是携带Token到服务器端。

  4. 服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码
     
     

四. Token的Java实现

    Java中实现Token的【生成、加密、解密、验证】的途径可以用 JWT(JSON Web Token)来实现,具体的实现流程可以参考文章:Java实现基于token认证

 
 

【参考】
    [1]. Token原理以及应用
    [2]. Java实现基于token认证
    [3]. TOKEN+MD5签名验证

 
 

什么是token机制
qq_54680501的博客
03-24 711
Token 机制通过无状态、自包含的令牌解决了传统 Session 的扩展性和跨域难题,是现代分布式系统和 API 设计的核心技术。合理使用 Token(如 JWT)能显著提升安全性和性能,但需严格遵循安全最佳实践(如 HTTPS、短有效期、加密签名)。
Token原理以及应用
自由
07-23 6万+
近期由于项目需要开发供第三方使用的api,在整个架构设计的一个环节中,对api访问需要进行认证,在这里我选择了token认证。 一:token的优势(此部分引自http://www.sumahe.cn/)     1.无状态、可扩展         在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服
token的作用及实现原理
热门推荐
我在路上的博客
03-22 27万+
1:首先,先了解一下request和session的区别request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp...
token实现
qq_37377082的博客
12-02 1154
基于jwt token实现 放弃以前的seesion,cookie 体系,使用token完成用户认证,实现前后端的用户同步。 如何实现前后端只传递 token 而完成 登录用户的认证与同步。 1、登陆时,生成token,并在redis中存储(以token为key,以用户信息为value,并设置key的过期时间)。然后把token信息传递给前端,并在前端保存。 2、每一次前端请求要求把token带回给后端(axios.js等框架可以全局设置请求头参数,即设置一个请求头的值为token) 3、后端设置
Token的作用及原理
0945v1
07-09 1万+
讲到Token的作用和原理,网上有很多相关的技术文章,通过搜集整理并加入自己的理解体会,做一个总结整理,希望可以帮助到更多有需要的人。 1、token作用及原理 Token,即令牌,是服务器产生的,具有随机性和不可预测性,它主要有两个作用: (1)防止表单重复提交; 使用Token防表单重复提交步骤: ①在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token; ②将Token发送到客户端的Form表单中,在Form表单中使用隐藏域
token原理
探索未知
02-26 303
Web开发中Token原理实现详解
qq_40089934的博客
02-25 740
在Web开发中,Token是一种用于身份验证和授权的机制。它允许服务器在用户登录后生成一个令牌(Token),客户端在后续请求中携带该令牌,服务器通过验证令牌来确认用户身份。Token 的核心优势在于无状态性和跨域支持,适合现代分布式系统和微服务架构。
onenet对接token计算C语言实现
03-27
标题中的"onenet对接token计算C语言实现"指的是在物联网(IoT)开发中,使用C语言编写程序来实现与OneNet平台的对接,并通过计算token进行身份验证的过程。OneNet是中国移动推出的一个开放的物联网云服务平台,它提供...
彻底理解cookie,session,token的使用及原理
10-16
在了解了cookie、session和token的基本概念后,让我们进一步深入它们的工作原理。 从发展史来看,最初Web应用非常简单,主要是文档的浏览,无需记录用户的浏览历史,因此HTTP协议本身是无状态的。但随着Web应用的...
PHP token验证生成原理实例分析
10-16
PHP中的Token验证原理主要包括以下几个步骤: 1. **生成Token**:在用户发起请求时,服务器端会生成一个唯一的、随机的字符串,即Token。这个字符串通常包含了一些特定的信息,如用户ID、时间戳等,确保Token的有效...
基于springboot+jwt实现刷新token过程解析
08-19
基于SpringBoot+JWT实现刷新Token过程解析 标题解析 本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于...
【前端开发必备】深入理解Token技术的实现原理和安全性
DevCorner的Pro技术博客
06-22 4591
Token,又称令牌,是一种用于身份验证的方式。在前后端分离的应用中,当用户登录后,后端会生成一个Token字符串,然后将其返回给前端。前端可以将该Token保存在客户端,例如浏览器的Cookie或LocalStorage中,以便在需要访问后端API时,将该Token发送给后端进行身份验证。后端在验证Token的有效性后,会根据Token所代表的用户身份等信息,返回相应的数据或执行相应的操作。前端Token技术是一种常用而且重要的身份验证方式,在前后端分离的应用中得到了广泛应用。
中级软件测试工程师你懂Token吗?
测试萌萌
03-03 759
Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。
单页应用 - Token 验证
weixin_34226182的博客
03-28 236
第一次接触单页应用,记录公司项目关于Token验证知识. Token的工作原理 Token工作原理 1. 登录时候,客户端通过用户名与密码请求登录 2. 服务端收到请求区验证用户名与密码 3. 验证通过,服务端会签发一个Token,再把这个Token发给客户端. 4. 客户端收到Token,存储到本地,如Cookie,SessionStorage,LocalStorage.我们是存在Session...
token的工作原理
m0_63466615的博客
02-09 983
1、用户登录时向服务器提供“身份鉴权信息”(登录账号、密码)。 2、服务器去数据库用户表中验证身份鉴权信息。 (1)通过验证:向浏览器发放token令牌及令牌有效期。 (2)未通过验证:返回提示语,禁止登录。 3、前端将令牌及令牌有效期(甚至可以是整个用户信息)存储至vuex和Storage本地存储中。 4、一旦登录成功,为vuex添加一个记录有效期时间戳的分量: expiresTime:new Date().getTime() + payload.expires...
token工作原理
weixin_33828101的博客
06-22 211
https://blog.csdn.net/bluesky1215/article/details/68061996 转载于:https://www.cnblogs.com/meixiaoqiu/p/9213710.html
什么是token以及token原理
mist_02的博客
10-08 4093
什么是tokentoken简单来说就相当于个人信息(通常称为令牌) token原理 用户在输入用户名和密码会提交给服务器,服务器会根据这次请求判断是否存在,如果存在会返回客户端一个token,客户端会存下这个token,之后请求都会携带这个token进行操作。 ...
token原理和使用
weixin_43755513的博客
11-03 1512
token原理和使用 token就是用来进行身份验证的 一:登录的验证流程 当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的ID号发送给客户端,客户端收到以后把这个ID号存储在Cookie里,下次这个用户再向服务端发送请求的时候,可以带着这个Cookie,这样服务端会验证一下这个Cookie里的信息,看看能不能在服务端这里找到...
token实现原理
最新发布
03-30
### 双Token机制的实现原理Token机制通常用于增强系统的安全性,防止非法用户的访问以及提高用户体验。其核心思想是通过两种不同类型的Token——**Access Token** 和 **Refresh Token** 来管理用户会话。 #### Access Token 的作用 Access Token 是一种短期有效的令牌,主要用于客户端向服务端发起请求时的身份验证。它的生命周期较短(例如几分钟到几小时),目的是减少因长时间暴露而带来的安全隐患[^3]。当客户端需要调用受保护资源时,它会在HTTP头中携带此Token: ```http Authorization: Bearer {ACCESS_TOKEN} ``` 一旦Access Token过期,客户端无法继续使用该Token访问受限资源,此时就需要借助 Refresh Token 获取新的Access Token。 #### Refresh Token 的作用 Refresh Token 则是一个长期有效的令牌,主要负责在Access Token失效后重新获取一个新的Access Token。为了保障安全,Refresh Token 不应直接存储于前端浏览器环境,而是存放在更安全的地方,比如HttpOnly Cookie 或 后台服务器上[^4]。以下是刷新流程的一个典型例子: 1. 客户端检测当前使用的Access Token已过期; 2. 使用存储的Refresh Token向认证服务器发送请求以换取新Token; 3. 认证服务器验证Refresh Token的有效性,并返回新的Access Token及可能更新后的Refresh Token。 需要注意的是,尽管Refresh Token有效期较长,但它仍然存在一定的风险。因此实际应用中可以设置一些额外的安全策略,如IP绑定、设备指纹校验等手段进一步加固系统防护能力[^5]。 #### 示例代码展示如何处理双Token逻辑 下面给出一段基于Spring Security框架下利用JWT实现Token功能的部分伪代码片段: ```java // 验证 refresh token 并生成新的 access token @PostMapping("/refresh-token") public ResponseEntity<?> refreshToken(@RequestBody Map<String, String> request) { String refreshToken = request.get("refresh_token"); if (jwtUtil.validateToken(refreshToken)) { // 自定义工具类检查token有效性 Authentication authentication = jwtUtil.getAuthenticationFromToken(refreshToken); CustomUserDetails userDetails = (CustomUserDetails) authentication.getPrincipal(); String newAccessToken = jwtUtil.generateAccessToken(userDetails); return ResponseEntity.ok(new JwtResponse(newAccessToken)); } throw new InvalidTokenException("Invalid refresh token!"); } // JWT 工具类中的部分方法示意 @Component public class JwtUtil { public boolean validateToken(String token){ // 解析并验证token合法性... } public Authentication getAuthenticationFromToken(String token){ // 提取token内的用户信息构建authentication对象... } public String generateAccessToken(CustomUserDetails userDetails){ // 创建新的access token ... } } ``` 上述代码展示了如何接收来自客户端的Refresh Token 请求,经过一系列操作之后再反馈给对方最新可用的Access Token。 ### 总结 综上所述,双Token机制不仅能够满足快速频繁地进行业务交互的需求,同时也兼顾到了网络通信过程中的安全保障问题。合理运用这两种Token可以帮助开发者设计更加健壮可靠的API接口体系结构。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值