基于token进行登录,每次请求携带token

于 2024-04-25 22:38:18 发布
阅读量522 收藏 7
点赞数 4
分类专栏: 实用技巧 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yajyaj123/article/details/138200418
版权

一,什么是token?

Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。比如如下形式:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJEenUyMDIwMDEwMTEwMzEiLCJleHAiOjE3MTQwNTM2MDV9.VBIWPBzGJRhwCB_jhI-wjZF8ErEFfpQkZOUmFxYQs5k

二、为什么使用Token

传统验证用户身份的方式,大多为基于服务器验证的方式,即cookie+session的方式,由于HTTP协议是无状态的,导致程序需要验证每一次请求,从而辨别客户端的身份。

用户登录成功将其信息存入session中,用户每次请求都会将携带session id的cookie一起发送器服务端,进行校验,随着Web、应用程序、以及移动端的崛起,这种验证方式弊端逐渐显现,尤其是在可扩展性方面。

引发的问题比如用户增多导致内存开销较大、CORS(跨域资源共享)以及CSRF(跨站请求伪造)等。

引入Token验证机制后,请求会发送token而不再是发送cookie能有效够防止CSRF,即使在客户端使用cookie存储token,但cookie也只有存储功能,而不再具备验证功能,因此安全性得到了极大的提高。

而且只要token设计的足够复杂,除非用户泄露,否则几乎没有被破解的可能,加上token是有时效的,在有限的时间加上有限的算力,更是无懈可击,这也类似于加密资产比如比特币钱包对应的私钥,安全性极高。

另外Token可以有效减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

三、Token的使用

什么是jwt?

JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。

前端axios请求拦截器

service.interceptors.request.use(config => {
    if (localStorage.getItem('token') !== null && localStorage.getItem('token') !== "" && localStorage.getItem('token') !== undefined) {
        config.headers['Authorization'] = 'Bearer ' + localStorage.getItem('token'); // 假设你存储token在localStorage中
        config.headers['Content-Type'] = 'application/json;charset=UTF-8'
        config.headers['Accept'] = 'application/json'
        config.headers['Access-Control-Allow-Origin'] = '*'
    } else {
        //跳转登录
        router.push({path: '/login'})
    }
    return config
}, error => {
    return Promise.reject(error)
})

spring boot使用jwt

 <dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>4.3.0</version>
</dependency>

utils

package com.dzu.utils;

import cn.hutool.core.date.DateUtil;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.dzu.domain.User;

import java.util.Date;
import java.util.List;

public class JwtTokenUtils {

    private static final String SECRET = "dzuojsystem"; // 你的密钥,应该保密
 

    public static String createToken(User user) {
        //将用户名放进去作为载荷进行加密
        return JWT.create().withAudience(user.getUsername())
                //传入当前时间对象,并指定两小时后token过期
                //也可以指定时分秒天,比如offsetMinute就表示指定有效期为30分钟
                .withExpiresAt(DateUtil.offsetMinute(new Date(), 30))
                //使用密钥作为token的密钥
                .sign(Algorithm.HMAC256(SECRET));
    }

    public String parseTokenUsername(String token) {
        try {
            //验证token
            return JWT.decode(token).getAudience().get(0);
        } catch (Exception e) {
            //有异常就是验证不通过了
            throw new RuntimeException("token验证失败");
        }
    }

    //判断token是否有效且合法

    public boolean validateToken(String token) {
        // 创建token验证器
        Algorithm algorithm = Algorithm.HMAC256(SECRET);
        JWTVerifier verifier = JWT.require(algorithm)
                .withIssuer("dzuojsystem")
                .build();

        // 验证token
        try {
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }
}

配置拦截器 (可以自定义异常抛出)

//省略导包,自行导入

//这是拦截器的具体的方法
@Controller
@CrossOrigin
public class ProjectInterceptor implements HandlerInterceptor {
    private static final String SECRET = "dzuojsystem"; // 你的密钥,应该保密
    @Resource
    private UserMapper userMapper;

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

        //首先要确定访问的是一个方法
        if (!(handler instanceof HandlerMethod)) {
            //这里表示当访问的是一个html页面的时候就直接结束,当访问的是一个方法的时候才会继续向下运行
            //比如拦截"/**"请求,然后访问/aa.html此时就会直接结束,但是访问的是/aa这个方法的话,就会打印"开始拦截"
            return true;
        }

        //然后判断请求中是否有token
        //从请求头中获取token
        String token = request.getHeader("Authorization").substring(7);
        System.out.println("authorization----token:"+token);
        //主要用来判断字符串类型的变量是否为空
        if (StrUtil.isBlank(token) || token == null) {
            throw new Exception("无token,请重新登陆");
        }

        //然后解析token中的载荷,但这一步无法判断token是否过期
        String Username;
        try {
            //解析token中的主体中的数据,结果为[username],就是之前加密的数据
            List<String> ff = JWT.decode(token).getAudience();
            //解析token从中获取载荷中的第一个数据,如果这串代码运行异常则说明该token字符串有问题
            Username = ff.get(0);
        } catch (Exception e) {
            //此时说明token字符串已经被串改,导致解析失败
            throw new Exception("token验证失败,请重新登陆");
        }
        //通过用户名查询信息
        User user = userMapper.selectOne(new QueryWrapper<User>().eq("username", Username));
        if (user == null) {
            throw new Exception("用户不存在,该token不合法");
        }
        //验证token
        //通过添加密钥来创建验证对象,从而验证token是否过期,因为即使过期了,上面也能解析到数据
        JWTVerifier jwtVerifier = JWT.require(Algorithm.HMAC256(SECRET)).build();
        try {
            jwtVerifier.verify(token);
        } catch (JWTVerificationException e) {
            throw new Exception("token验证失败,请重新登陆");
        }
        return true;
    }

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}


@Controller
public class SpringMvcSupport implements WebMvcConfigurer {
    @Resource
    private ProjectInterceptor projectInterceptor;

    public void addInterceptors(InterceptorRegistry registry) {
        //这里是注册拦截器
        registry.addInterceptor(projectInterceptor)
                .addPathPatterns("/**")
                //放行接口,自己决定放行那些接口
                .excludePathPatterns("/user/register")
                .excludePathPatterns("/user/login")
                .excludePathPatterns("/email/sendMail")
                .excludePathPatterns("/jwt/validateToken");
    }
}

记得前端登录的时候,要把生成的token存起来,例如localstorage里面。

大致的流程

后端生成token--->前端保存token------>通过前端的拦截器给请求头添加token----->后端通过拦截器验证token。

大致就是这样,可能会有错误,请包涵!

小杨爱编程
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
让每个Http请求都自动token
wdquan19851029的专栏
12-23 1万+
token放到cookie中,这样每个http请求就都可以token信息了。 access_token="jeerfdafdseveaewfewfewa......"; document.cookie = "keycloakToken=" + access_token; 下面以Django的中间件为例,看看后端是怎样从request中得到token信息。 accessToken = ""; if not request.META.get('HTTP_COOKIE'): #判断有没有cooki
注册登录 以及携带token
m0_74284133的博客
05-26 810
简单来说,就是把要做的事情,封装成一个接口,例如:自动售货机,投入硬币进去,就可以出来东西。6、后端判断请求头中有无token的情况,①有token时,就拿到token并验证token,验证成功就返回数据,验证失败(例如:token过期)就返回401,②请求头中没有token,也返回401。4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面。2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token
axios拦截器:每次请求自动token
最新发布
qq_33449977的博客
04-03 833
现在,每当在Vue组件中发起请求时,只需要调用this.$http.get、this.$http.post等方法,请求头就会自动上从sessionStorage获取到的Token了。3. 如果找到了会员卡(从sessionStorage中获取Token),就把会员卡号(Token值)写在信封上(添加到请求头Authorization字段)。在你的Vue项目中,一般我们会先导入axios,然后创建一个axios实例。1. 我们创建了一个axios实例service,相当于有了一个专属邮差。
cookie保存后端传来的token值,请求每一个接口header都token
asrbily的博客
01-17 4446
每天进步一点点,兄弟们
移动端通过携带token访问html页面
hello world
11-28 2313
项目中有一个页面需要放到移动端,pc端是通过账号密码登录获取token,跳转网页前,在beforeEach中验证是否已有token,但是在移动端就访问这一个页面,为了避免登录就需要直接用token去访问,我是通过?把token拼接在网址后面 判断移动端还是pc端,在beforeEach之前判断,这样pc端就不能通过token去访问 window.location.href=window.lo...
Vue中登录验证成功后保存token,并每次请求携带并验证token操作
10-14
主要介绍了Vue中登录验证成功后保存token,并每次请求携带并验证token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue 导出文件,携带请求token操作
10-14
主要介绍了vue 导出文件,携带请求token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
java http token请求代码实例
08-26
主要介绍了java http token请求,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
请求token过期自动刷新token操作
10-14
主要介绍了请求token过期自动刷新token操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
【问题篇】浏览器get请求token
weixin_56995925的博客
07-26 9680
浏览器get请求token
新版Postman设置所有请求都自动token登陆权限验证(Postman 版本9.10.0 )
皮埃尔的博客
03-18 1万+
新版Postman设置所有请求都自动token登陆权限验证(Postman 版本9.10.0 )
springboot后端实现携带token登陆
u011518365的博客
04-06 2820
实现思路 使用oauth2+redis+mysql来完成登陆校验,本案例使用oauth2简单的密码模式来实现。 最终实现的效果为: 登陆页面不设置权限审核,用户通过登陆界面登陆,输入账户密码,后端接收到账户密码之后会去数据库验证,如果验证通过,则返回token给前端。 除了登陆页面之外,其余的页面访问的时候会进行权限的鉴定,如果携带token对应用户的权限不足或没有携带token携带了错误的token,不允许访问。 token具有时限,超时token会失效,可以通过refresh_token来刷新to
前端 - token 是什么?为什么每次请求头(HEADS)里要携带它?
王佳斌
11-10 1万+
Token token 是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token 便应运而生了。 目的 token 的目的是为了减轻服务器的压力,减少频繁的查询数据库。 在前端请求后台的 API 接口的时候,为了安全性,一般需要再用户登录成功之后才能发送其他请求。 因此,在用户登录成功之后,后台会返回一个 token 给前端,这个时候我们就需要把 token 暂时保存在本地,每次发送请求的时候需要在 header 里
axios--请求&响应拦截器(每次请求,请求头都携带1个token
qq_38969618的博客
11-20 2377
import axios from 'axios'; //引入axios // 添加请求的拦截器 axios.interceptors.request.use(function (config) { //config是个大对象,里面有很多自的默认属性。 console.log(config); //这个config大对象是默认传递的,axios自的,{url: "/mock/hom...
jQuery 简单封装ajax,每次请求自动携带token
热门推荐
好巧的博客
05-14 1万+
当然,如果你觉得文章有什么让你觉得不合理、或者有更简单的实现方法又或者有理解不来的地方,希望你在看到之后能够在评论里指出来,我会在看到之后尽快的回复你。如果本篇文章对你有帮助的话,很高兴能够帮助上你。// loading 显示。// loading 关闭。// loading 显示。// loading 关闭。// 本地存入token
了解基于Token的身份验证的来龙去脉
让我们荡起双桨的博客
03-29 9391
简介 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。 以下几点特性会让你在程序中使用基于Token的身份验证 1.无状态、可扩展  2.支持移动设备  3.跨程序调用  4.安全   那些使用基于Token的身份验证的大佬们 大部分你见到过的API和Web应用
Vue中登录成功保存token,并每次请求携带并验证token
05-24
在 Vue 中保存 token 可以使用浏览器的 localStorage 或者 sessionStorage。localStorage 存储在本地并且不会过期,sessionStorage 存储在浏览器关闭后会自动删除。 以下是一个示例代码: ```javascript // 登录成功后保存 token localStorage.setItem('token', 'your_token'); // 在发送请求携带 token axios.interceptors.request.use( config => { const token = localStorage.getItem('token'); if (token) { config.headers.Authorization = `Bearer ${token}`; } return config; }, error => { return Promise.reject(error); } ); // 在服务端验证 token axios.interceptors.response.use( response => { return response; }, error => { if (error.response && error.response.status === 401) { // 清除 token 并跳转到登录页面 localStorage.removeItem('token'); router.replace({ path: '/login', query: { redirect: router.currentRoute.fullPath } }); } return Promise.reject(error); } ); ``` 在发送请求时,通过 axios 拦截器在请求头中添加 token,服务端可以从请求头中获取 token 进行验证。如果服务端返回 401 错误码,说明 token 无效或者过期,此时前端应该清除 token 并跳转到登录页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值