Java token到底该怎么用?

最新推荐文章于 2024-05-08 21:58:24 发布
最新推荐文章于 2024-05-08 21:58:24 发布
阅读量146 收藏
点赞数
分类专栏: java经验 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Superqi_2023/article/details/133296939
版权

我们日常开发中经常会使用到token,而JWT是大家再熟悉不过的了,那么token到底改怎么用,听我娓娓道来。

JWT token的 payload 部分是一个json串,是要传递数据的一组声明,这些声明被JWT标准称为claims。

JWT标准里面定义的标准claim包括:

  • iss(Issuser):JWT的签发主体;
  • sub(Subject):JWT的所有者;
  • aud(Audience):JWT的接收对象;
  • exp(Expiration time):JWT的过期时间;
  • nbf(Not Before):JWT的生效开始时间;
  • iat(Issued at):JWT的签发时间;
  • jti(JWT ID):是JWT的唯一标识。

除了以上标准声明以外,我们还可以自定义声明。以 com.test 为例,下面代码片段实现了生成一个带有过期时间的token.

其中:

String token = JWT.create().withIssuer(ISSUER).withIssuedAt(new Date(currentTime))// 签发时间       
.withExpiresAt(new Date(currentTime + EXPIRES_IN * 1000 * 60))// 过期时间戳     
.withClaim("username", username)//自定义参数       
.sign(Algorithm.HMAC256(user.getPassword()));
  • withIssuer() 设置签发主体;
  • withIssuedAt() 设置签发时间;
  • withExpiresAt() 设置过期时间戳,过期的时长为 EXPIRES_IN (单位秒);
  • withClaim() 设置自定义参数。

JWT设置了过期时间以后,一定超过,那么接口就不能访问了,需要用户重新登录获取token。如果经常需要用户重新登录,显然这种体验不是太好,因此很多应用会采用token过期后自动续期的方案,只有特定条件下才会让用户重新登录。

token过期的续期方案

解决token过期的续期问题可以有很多种不同的方案,这里举一些比较有代表性的例子。首先我们看一个单token方案,这个方案除了可以实现token续期以外,还可以实现某些条件下的强制重新登录。

单token方案

img

  • 将 token 过期时间设置为15分钟;
  • 前端发起请求,后端验证 token 是否过期;如果过期,前端发起刷新token请求,后端为前端返回一个新的token;
  • 前端用新的token发起请求,请求成功;
  • 如果要实现每隔72小时,必须重新登录,后端需要记录每次用户的登录时间;用户每次请求时,检查用户最后一次登录日期,如超过72小时,则拒绝刷新token的请求,请求失败,跳转到登录页面。

另外后端还可以记录刷新token的次数,比如最多刷新50次,如果达到50次,则不再允许刷新,需要用户重新授权。

上面介绍的单token方案原理比较简单。下面我们再看一个双token方案。

双token方案

  • 登录成功以后,后端返回 access_token 和 refresh_token,客户端缓存此两种token;
  • 使用 access_token 请求接口资源,成功则调用成功;如果token超时,客户端携带 refresh_token 调用token刷新接口获取新的 access_token;
  • 后端接受刷新token的请求后,检查 refresh_token 是否过期。如果过期,拒绝刷新,客户端收到该状态后,跳转到登录页;如果未过期,生成新的 access_token 返回给客户端。
  • 客户端携带新的 access_token 重新调用上面的资源接口。
  • 客户端退出登录或修改密码后,注销旧的token,使 access_token 和 refresh_token 失效,同时清空客户端的 access_token 和 refresh_toke。

微信网页授权是通过OAuth2.0机制实现的,也使用了双token方案。

img

微信网页授权方案

  • 用户在第三方应用的网页上完成微信授权以后,第三方应用可以获得 code(授权码)。code的超时时间为10分钟,一个code只能成功换取一次access_token即失效。
  • 第三方应用通过code获取网页授权凭证access_token和刷新凭证 refresh_token。
  • access_token是调用授权关系接口的调用凭证,由于access_token有效期(2个小时)较短,当access_token超时后,可以使用refresh_token进行刷新。
  • refresh_token拥有较长的有效期(30天),当refresh_token失效的后,需要用户重新授权。

后端实现token过期还可以利用Redis来存储token,设置redis的键值对的过期时间。如果发现redis中不存在token的记录,说明token已经过期了。

关注我,将持续更新更多精彩内容!

Superqi_2023
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java token使用_token简单的使用
weixin_39548972的博客
02-15 1268
这里对token的简单的使用进行测试和描述其原理就不在这里描述了!具体测试流程:用户在前端请求登录——>在后台验证通过后根据用户ID生成token——>请求返回时将token带给前端并存在前端——>以后前端再次请求时需要带上token——>后台接受到token并验证,如果验证通过,返回true,否则false(实际情况下就是验证通过,这次请求成功,否则这次请求无效)1、数据...
如何优雅地使用Token
竹林幽深
02-25 168
https://mp.weixin.qq.com/s/8o_g4FDdJZrRr59b2J4pfw
全网超细--Java实现Token登录验证步骤实现
最新发布
欢迎来到快乐懒洋洋的博客
05-08 1461
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
【开发日记】Token的使用及Token的构成
二饭的博客
05-07 1666
1、Token Token英文直译过来是“令牌”的意思,什么是令牌,在古代你要通过城门需要的也是令牌,而在计算机系统中要通过的是计算机的大门。 古代的大门由士兵守卫,而计算机系统的大门也有“士兵”,如果你没有一个有效的令牌就无法通过,只能从哪来回哪去。 2、POM依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> &lt
聊聊 OAuth 2.0 的 token expire_in 使用
冷冷的博客
04-08 1万+
问题背景 有同学私信问了这样的问题,访问 pig4cloud 的演示环境 查看登录请求 network 返回报文如下: { "access_token":"16d35799-9cbb-4c23-966d-ab606029a623", "token_type":"bearer", "re...
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
java http token请求代码实例
08-26
Java 中,使用 Token 来验证用户的身份。首先,需要生成一个 Token,然后将其添加到请求头中。服务端可以根据 Token 来验证用户的身份。 知识点5: 使用 Apache Commons HttpClient 库 在 Java 中,可以使用 ...
JAVA中的Token 基于Token的身份验证实例
08-24
JAVA中的Token基于Token的身份验证实例 本文档主要介绍了JAVA中的Token基于Token的身份验证实例,具有很好的参考价值。本文将详细介绍基于Token的身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
Java令牌Token登录与退出的实现
08-19
Java令牌Token登录与退出的实现是指一种基于令牌的登录机制,通过使用Java语言实现令牌的生成、验证和管理,以实现用户的登录和退出。这种机制的优点是无状态登录,服务器不再存储登录状态,客户端只需要携带令牌就...
AliOssServiceImpl java获取阿里STS token AliOSS获取token
07-31
AliOssServiceImpl java获取阿里STS token AliOSS获取token 阿里云对象存储OSS(Object Storage Service)是一款海量、安全、低成本、高可靠的云存储服务,可提供99.9999999999%(12个9)的数据持久性,99.995%的...
Java 拿到token 中的数据如何在接口上使用
weixin_35755640的博客
12-28 1274
Java 中,要在接口上使用 token 中的数据,首先需要获取 token 的值。这通常是通过 HTTP 请求头或者查询参数传递的。 例如,如果 token 是通过 HTTP 请求头传递的,可以使用如下代码获取: String token= request.getHeader("Authorization"); 如果 token 是通过查询参数传递的,可以使用如下代码获取: String ...
java实现简单的用户登录包含token
qq_45443475的博客
05-10 1773
java实现简单的用户登录包含token
java使用token实现认证_Java,SpringBoot采用token方式实现登录认证
weixin_31869579的博客
03-02 1468
Token,令牌,访问资源的凭证,每次访问带上这个令牌,就可识别出用户身份。JWT (JsonWebToken),是实现token技术的一种解决方案,由三部分组成: header(头)、payload(载体)、signature(签名)。1、头:HS384 HS512 RS256 RS384 RS512 ES256 ES384 ES512 PS256 PS3842、载体:iss:Issuer,发行...
token失效或重新设置
是日已过,命亦随减的博客
10-07 2298
if (time() > $user['expiration_time']) { $token = set_token(); $expiration_time = set_expiration_time(); Db::table('merchant_users')->where('id', $user['id'])->update(['token' => $token, 'expiration_time' =&.
accessToken refreshToken简单使用源码demo,双token刷新及有效时间设置
a704397849的博客
10-23 1万+
最后会附上源码 这篇介绍了一个项目中使用的双token登录认证刷新的demo,如需移植到生产项目中,需要根据实际情况做修改。 有个地方需要注意: 我这里刷新产生新的refreshToken时 旧的refreshToken并没有失效,如果不是特别敏感这点的话可以不计较,若是在意的话,那需要自己处理:比如用缓存记录失效的token每次token认证判断是否是失效的token ,如果是的话就返回验证失败...
JAVA中的Token
热门推荐
Guan_shijie的博客
09-06 2万+
JAVA中的Token 基于Token的身份验证 来源:转载   最近在做项目开始,涉及到服务器与安卓之间的接口开发,在此开发过程中发现了安卓与一般浏览器不同,安卓在每次发送请求的时候并不会带上上一次请求的SessionId,导致服务器每次接收安卓发送的请求访问时都新建一个Session进行处理,无法通过传统的绑定Session来进行保持登录状态和通讯状态。   基于传统方法无法判断安卓的
java http token请求
小小程序猿
02-01 1万+
package com.monitoring.common.util; import java.io.BufferedInputStream; import java.io.BufferedReader; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.InputStream; im
JWT的使用流程
Heaven丶的博客
01-06 3236
什么是JWT       Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直...
后端JAVA如何进行token验证?
04-24
后端Java可以使用JSON Web Token(JWT)进行token验证。 JWT是一种用于在网络上传递声明的安全协议,并且可以在数据经过验证的情况下保持信息的机密性和完整性。具体实现流程如下: 1.用户登录并输入账号密码,后端验证账号密码,如果验证通过,生成JWT令牌。 2.令牌包含三个部分:头部Header、载荷Payload、签名Signature。其中头部header和载荷payload是用Base64编码的字符串,签名signature是根据头部和载荷通过一定算法生成的加密字符串。 3.生成的令牌通过Authorization头以Bearer的格式发送给前端。 4.前端每次请求需要带上该令牌,后端通过验证JWT令牌的签名来验证请求的合法性。 5.如果签名验证通过,后端解析JWT令牌的载荷部分来获取用户信息,以此判断是否有接受该请求的权限。 以上就是后端Java进行token验证的流程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值