【开发日记】Token的使用及Token的构成

已于 2024-01-06 20:17:22 修改
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 开发日记 文章标签: java 开发语言
于 2022-05-07 22:30:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stand_Fast/article/details/124640820
版权

1、Token

Token英文直译过来是“令牌”的意思,什么是令牌,在古代你要通过城门需要的也是令牌,而在计算机系统中要通过的是计算机的大门。

古代的大门由士兵守卫,而计算机系统的大门也有“士兵”,如果你没有一个有效的令牌就无法通过,只能从哪来回哪去。

2、POM依赖

<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.10.3</version>
</dependency>

3、生成Token

public static String getAdminToken(Admin admin) {
    long time = System.currentTimeMillis() + (1000 * 60 * 60 * 24);
    Date date = new Date();
    date.setTime(time);
    return  JWT.create()
            .withAudience(admin.getId()) // 将用户ID存入token中
            .withExpiresAt(date)    // 设置过期时间
            .sign(Algorithm.HMAC256(admin.getId()));// 设置私钥为用户ID
}

如上方法会返回一个一段字符串:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
.eyJhdWQiOiIxIiwiZXhwIjoxNjUyMDAzMjM4fQ
.cEkaKlNiA7OMJAv5hZI9hmRksujg08l00BwzpwwfhpE

如上Token中含有两个英文点,这两个英文点可将字符串分为三段。

第一段-头部(Header)

我们通过使用Base64解码第一段后得到如下内容:

{
	"typ":"JWT",
    "alg":"HS256"
}

上面描述了我们使用了HS256算法对Token进行了签名。

第二段-负载(Payload)

我们通过使用Base64解码第二段后得到如下内容:

{
	"aud":"1",
    "exp":1652003238
}

这里的内容不是必须的,是之前我们在生成Token时设置的一些内容。

aud(audience)可以理解为读者,如果客户端有多个类型,那么我们在分发Token时就可以约定一个类型,以便在验证时进行区分。

exp(expiration time)是过期时间,也是我们在生成Token时做的约定。

第二段负载中的内容可以自定义,但是这段内容并没有被加密,所以不要将密码等敏感信息放在这里。

第三段-签名(Signature)

我们通过使用Base64解码第三段后得到如下内容:

pI*Sb$=ddt3

是一段乱码,需要使用第一段中加密方式并配合私钥才可以解码其中的内容。

4、验证Token

String token = request.getHeader("token");
String adminID = request.getHeader("adminID");
if (token == null ) {
    returnJson(response, "请求未授权");
    return false;
}
// 解码
DecodedJWT decode = JWT.decode(token);
// 验证密钥是否正确
Algorithm algorithm = Algorithm.HMAC256(adminID);
algorithm.verify(decode);
// 有效期是否超时
Date expiresAt = decode.getExpiresAt();
if(expiresAt.getTime()<System.currentTimeMillis()){
    returnJson(response, "Token未授权或已超时");
    return false;
}
return true;

验证Token是否正确建议在拦截器或过滤器中进行,这里返回true表示Token有效,false为无效,无效的Token会被拦截,不会继续向下执行,控制层不会处理该请求。

5、升级Token安全性

我们可以在上面看出,在验证Token时会判断Token是否失效,但是Token过期时间在Payload中是非加密状态,也就是可以被修改,所以我们可以在服务端设置一个验证机制。

我们可以使用Redis作为存储Token时效的容器,在验证Token是否有效时可以对Redis进行访问验证;如果不想添加Redis的依赖,可以本地封装一个有时效的Map集合对Token进行保存。

二饭
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP APP开发 token 生成与验证封装类
07-18
PHP 在做APP后台时用到的TOKEN验证功能,现已封装成类,使用很方便,有完整的生成与验证机制,可控制TOKEN过期时间,生成端经过加密处理生成的TOKEN字符,验证端解密后再验证TOKEN真正的TOKEN也是经过加密验证的,二...
JWT Token生成及验证
07-16
### JWT Token的基本构成 JWT由三部分组成,每部分由点(.)分隔: 1. **头部(Header)**:通常包含令牌的类型(JWT)和使用的签名算法(如HS256或RS256)。 2. **载荷(Payload)**:包含声明(claims)。声明是...
Token的组成部分
Code小学僧的课后笔记
07-12 9440
token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 4.客户端收到 Token 以后可以把它存储起来,比
Token的三要素
weixin_45704311的博客
04-23 4357
一、定义Token token分为三部分来定义: 1 .表头:Header是一个json对象,存储元数据 { "alg":"HS256", "typ":"JWT" } alg:是签名的算法名称(algorithm),默认是HMAC SHA); type属性表示这个令牌(token)的类型(type),JWT令牌统一写成JWT。 2.负载:Payload是一个json对象。存放传递的数据,数据分为Public和Private。 Public是JWT中规定的一些字段,可以自己选择使
token详解
最新发布
qq_52758588的博客
04-07 3329
token详解
Token相关内容简述
answer3lin的博客
01-10 5895
Token的应用 Token是一种标志用户登录,保持用户状态的一种认证方法,令牌(临时)是服务端生成的一串字符串,作为客户端进行请求的一个标识。但是和Session id不同,其是通过特殊手段生成的,不同的服务器对应token的生成是不同的。 简单token的组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制...
日常开发中的salt和token是什么?
qq_33535433的博客
10-26 5675
所谓加Salt,就是加点“佐料”。当用户首次提供密码时(通常是注册时),由系统自动往这个密码里加一些“Salt值”,这个值是由系统随机生成的,并且只有系统知道。然后再散列。而当用户登录时,系统为用户提供的代码撒上同样的“Salt值”,然后散列,再比较散列值,已确定密码是否正确。   这样,即便两个用户使用了同一个密码,由于系统为它们生成的salt值不同,他们的散列值也是不同的。即便黑客可以通过自己
Android使用token维持登陆状态的方法
01-04
什么是token token(令牌)是一串唯一的字符串,通常由服务端生成,在注册完成时返回给客户端,用来标识此用户,客户端...使用SharedPreferences保存token 获取token并保存 NetWorks.regPost(user, password, email, t
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
onenet对接token的python及QuecPython算法
08-03
标题中的"onenet对接token的python及QuecPython算法"涉及到的是使用Python语言与OneNet物联网平台进行交互的授权机制,以及在移远模块(QuecPython)上实现这一过程的算法。OneNet是一个开放的物联网云服务平台,...
Token生成规则以及工具相关代码
06-26
此资源是针对“Token生成规则以及工具”这篇文章的相关代码文章地址:https://blog.csdn.net/kai_1215/article/details/78477146
jwt介绍二:Token组成方式
snow_love_xia的博客
03-03 1403
背景 公司处在前后端分离的转折阶段,作为后端人员,要找到一个适用于接口验证的方式,公司仍保持后端使用Laravel框架,而laravel框架默认的是【web】方式,web 方式是使用 session 来进行用户认证,当然也是可以使用,但是有一定的不安全,经过调研,主流使用Token验证方式。 介绍JWT JWT资料 项目Wiki 官方指导文档 The Anatomy of a JSON Web Token JWT:全称Json Web Token,是一种规范化的token。可以理解为对token这一技
关于token、签名、加密的一点理解
热门推荐
NeverSayNever
06-07 1万+
转自:https://blog.csdn.net/maocai008/article/details/79064542在之前的工作中,总是接触到这些概念,之前都是零散的理解,在此总结下,以方便以后查阅一、token 在网站、app与服务器交互的过程中,很多时候为了:1、避免用户多次输入密码2、实现自动登陆3、避免在终端直接存储用户的密码4、标示客户端的请求是否合法5、其他(暂时没想到)我们需要引入...
加密算法 — — 对token进行非对称加密【RSA】
weixin_45565886的博客
08-29 2924
加密算法 — — 对token进行非对称加密【RSA】
深入了解Token认证的来龙去脉
猪肉炖白菜
11-25 286
<p>Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。<br> 为什么要用 Token? 要回答这个问题很简单,因为它能解决问题! Token 能解决哪些...
Token
qq_40266238的博客
11-21 4222
1.Token是什么 Token是一个字符串,是一段根据特殊规则生成的唯一的、保存在缓存服务器(如Redis)中的key,这个key对应的value是用户账户数据。每个用户登录后,服务器生成一个类似Token并缓存,之后用户每次请求中都要带上这个Token,以便实现类似于HTTP Session的会话跟踪。 2.为什么要用Token 随着近几年上网设备的多样化,软件项目的UI层不仅仅再是窗体...
Failure to transfer org.pentaho:pentaho-aggdesigner-algorithm:pom:5.1.5-jhyd
weixin_43586713的博客
06-23 1342
maven导入依赖包的时候报错: Failure to find org.pentaho:pentaho-aggdesigner-algorithm:pom:5.1.5-jhyde in http://maven.aliyun.com 意思是我们maven配置的阿里云仓库没有这个依赖. 从网上看了多篇帖子,在maven的仓库添加miroor源,添加spring-io依赖等,均没有解决这个问题. 最后在pom.xml添加下面的依赖才解决了问题: <repositories> <re
全网免费Token的生成和解析,第一期
m0_74381444的博客
11-04 3213
JWT案例,实现Token的生成和解析
请你说说cookie、sessiontoken的概念和区别
qq_52173163的博客
06-21 1443
http协议本身是一种无状态的协议,我们并不能知道是哪个用户发出的请求,因此产生了Web身份校验问题。cookie、sessiontoken都是为了解决Web身份校验而产生的,初学者往往搞不清三者的概念和区别,本篇文章带大家解析这三者的区别和概念。 1、很久以前,Web基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记住是谁请求的,每次请求都是一个新的HTTP协议。2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,需要管理会话,必须记住哪些人登录系统,哪些人往自己的购物车
钉钉前端存储及使用token
05-17
钉钉前端存储 token 可以使用浏览器提供的 localStorage 或 sessionStorage 进行存储。一般情况下,我们会将 token 存储在 sessionStorage 中,因为它只在当前会话中有效,并且在浏览器关闭后会被自动清除。 以下是存储和使用 token 的示例代码: ```javascript // 存储 token sessionStorage.setItem('token', 'your_token_here'); // 获取 token const token = sessionStorage.getItem('token'); ``` 当我们需要使用 token 时,可以将它添加到请求头中,以便后端服务验证身份。以下是一个使用 axios 发送请求时添加 token 的示例代码: ```javascript import axios from 'axios'; const token = sessionStorage.getItem('token'); const config = { headers: { Authorization: `Bearer ${token}` } }; axios.get('/api/data', config).then(response => { console.log(response.data); }); ``` 注意,这里使用的是 Bearer Token 方式,即在请求头中添加 `Authorization: Bearer <token>`。当然,具体的方案需要根据后端服务的要求来确定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二饭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值