登录使用cookie还是token呢?(上)

最新推荐文章于 2024-08-22 17:02:09 发布
最新推荐文章于 2024-08-22 17:02:09 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZBYTSL/article/details/105681294
版权

最开始是将登陆的用户信息存放在Session,用户在客户端的标识就存在COOKIE中,每次请求接口,在request的header携带cookie就OK。毕竟Cookie目的就是为每一个用户提供不同的身份认证。而使用Session存储用户信息其实也是利用Cookie(Session是利用Cookie进行信息处理的!),当用户首先进行了请求后,服务端就在用户浏览器上创建了一个Cookie,当这个Session结束时,其实就是意味着这个Cookie就过期了(而且Cookie数据保存在客户端,Session数据保存在服务器端。只不过Cookie和Session都是用来跟踪浏览器用户身份的会话方式而已啦!)。故事重点是Cookie跨域请求会失效(因为cookie 无法被自动携带至其他域名),然后老是被前端凶,这样的日子太悲伤了......那就换Token咯!谁让我这么喜新厌旧嘞。开工,因为是Java的项目,然后网上比较多的是JWT(json web token),那就先来个maven吧:

        <!--jwt工具类-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

我找好几个maven尝试,可就这个比较简单,我这个人真的是怕麻烦!所以你不要老是哭!我不会哄你的(委屈就抬头看看天空吧,不是它这么大可以包容你所以的委屈,而是你抬头了眼泪就不会流出来了呀!)继续正题,来串代码(BUG):



import com.alibaba.fastjson.JSONObject;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.ExpiredJwtException;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;
import java.util.UUID;

public class JwtDemo {

    //HS256加密算法
    private final static SignatureAlgorithm SIGNATURE_ALGORITHM = SignatureAlgorithm.HS256;

    //服务器端自定义的secret
    private final static String secret = "secretKeyzbyjsonwebtoken";

    // 过期时间(单位秒)/ 2小时
    private final static Long access_token_expiration = 7200L;

    //jwt签发者  乱写的
    private final static String jwt_iss = "zby";

    //jwt所有人
    private final static String subject = "zby";

    /**
     * 创建jwt
     * @param user_id   用户id
     * @param user_phone  用户手机号
     * @return  返回一个token
     */
    public static String generateJwtToken(String user_id,String user_phone){

        // Jwt的头部承载
        // 可不设置 默认格式是{"alg":"HS256"}
        Map<String, Object> map = new HashMap<>();
        map.put("alg", "HS256");
        map.put("typ", "JWT");

        //Jwt的载荷
        Map<String,Object> claims = new HashMap<>();
        //私有声明, 自定义数据
        //我一般会携带用户的id或者phone
        claims.put("id",user_id);
        claims.put("phone", user_phone);

        //标准中注册的声明 一旦写标准声明赋值之后,就会覆盖了那些标准的声明
        /*	iss: jwt签发者
            sub: jwt所面向的用户
            aud: 接收jwt的一方
            exp: jwt的过期时间,这个过期时间必须要大于签发时间
            nbf: 定义在什么时间之前,该jwt都是不可用的.
            iat: jwt的签发时间
            jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击
       */
        claims.put("iss", jwt_iss);


        //在payload添加各种标准声明和私有声明
        // 这里其实就是new一个JwtBuilder,设置jwt的body
        return Jwts.builder()
                .setHeader(map)         // 头部信息
                .setClaims(claims)      // 载荷信息
                .setId(UUID.randomUUID().toString()) // 设置jti(JWT ID):是JWT的唯一标识,从而回避重放攻击。
                .setIssuedAt(new Date())       // 设置iat: jwt的签发时间
                .setExpiration(new Date(System.currentTimeMillis() + access_token_expiration * 1000)) // 设置exp:jwt过期时间   7200秒  2小时
                .setSubject(subject)    //设置sub:代表这个jwt所面向的用户,所有人
                .signWith(SIGNATURE_ALGORITHM, secret)//设置签名:通过签名算法和秘钥生成签名
                .compact(); // 开始压缩为xxxxx.yyyyy.zzzzz 格式的jwt token
    }

    /**
     *
     * @param jwt  token
     * @return 返回载荷信息
     */
    private static Claims getClaimsFromJwt(String jwt) {
        Claims claims = null;
        try {
            claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(jwt).getBody();
        } catch (Exception e) {
            e.printStackTrace();
        }
        return claims;
    }

    /**
     *
     * @param jwt token
     * @return 返回jsonObject 包含获取token的状态
     */
    public static JSONObject validateJWT(String jwt){
        JSONObject jsonObject = new JSONObject();
        Claims claims;
        try {
            claims = getClaimsFromJwt(jwt);
            jsonObject.put("Success", true);
            jsonObject.put("Claims", claims);
        } catch (ExpiredJwtException e) {
            // token失效  过期
            jsonObject.put("Success", false);
            jsonObject.put("ErrCode", 1005);
            e.printStackTrace();
        } catch (Exception e) {
            // 未登录
            jsonObject.put("Success", false);
            jsonObject.put("ErrCode", 1004);
            e.printStackTrace();
        }
        return jsonObject;
    }

    public static void main(String[] args) {
        String jwtToken = generateJwtToken("1","15842961234");
        System.out.println("JWT Token "+ jwtToken);

        Claims claims = getClaimsFromJwt(jwtToken);
        System.out.println(claims.get("phone"));

        System.out.println(validateJWT(jwtToken));
    }


}

这个一个Demo,嘻嘻嘻!签名算法备注:JWT的签名算法有HS256和RS256,都是用来加密的,只是RS256是一种非对称算法 (采用SHA-256 的 RSA 签名) ,HS256  是一种对称算法(采用SHA-256 的 HMAC 签名)

对称算法 
当使用某个密钥加密数据时,也可以使用该密钥对数据进行解密。(这里只使用了一个密钥)


不对称算法
首先使用公钥来加密消息,然后再使用公钥对应的私钥来解密它。(这里使用了两个密钥)

所以这就是网上大部分说使用HS256安全性高一点,因为你可以控制谁使用这个密钥,但是如果你无法控制客户端,或者你无法保护密钥,RS256将更适合,因为用户只需要知道公共密钥就好了的原因。好像是乱说的.....

我现在使用的是HS256哦!会在用户登录分配一个token给用户,然后存Redis中,生成token时会设置过期时间,但是一般我也会在存Redis时设置相同的过期时间。下面是Interceptor的一段判断请求接口是否携带token

String token = request.getHeader("TOKEN");

//判断token
if (TextUtils.isEmpty(token)){
	response.setCharacterEncoding("UTF-8");
	response.setContentType("application/json;charset=utf-8");
	response.getWriter().write("处于未登录状态,请先登录");
	response.getWriter().close();
	return false;
}else {
	JSONObject jsonObject = JwtDemo.validateJWT(token);
	if (jsonObject.getBooleanValue("Success")){
		Claims claims = (Claims) jsonObject.get("Claims");
		String id =  claims.get("id").toString();
        //这里已经拿到用户id,然后就可以继续你代码里面的正常操作
    }else {
		int RtnValue = jsonObject.getIntValue("ErrCode");
		String msg = "会话已过期,请重新登录";
		switch (RtnValue) {
			case 1005:
			    msg = "签名已过期,请重新登录";
			    break;
			case 1004:
			    msg = "正处于未登录状态,请先登录";
			    break;
			default:
				break;
		}
		response.setCharacterEncoding("UTF-8");
		response.setContentType("application/json;charset=utf-8");
		response.getWriter().write(msg);
		response.getWriter().close();
		return false;
}

 

ZBY52031
关注
专栏目录
Cookie、Session和Token三者的区别及使用
11-13
### Cookie、Session与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
cookietoken的区别
m0_48041877的博客
09-20 484
1、在安全性方面,token 能防止 csrf 攻击。 2、在扩展性方面,token 可以处理多端的身份验证,不仅仅局限于浏览器,只要客户端能对 token 进行储存就行。
使用token登录cookie登录的区别
2301_79577017的博客
06-22 99
cookie登录:用户登录成功后,服务器在返回的响应中设置一个cookie,浏览器会自动保存cookie。每次请求都会自动携带该cookie,服务器通过解析cookie来验证用户身份。token登录:用户在登录成功后,服务器生成一个唯一的token,并返回给客户端保存,客户端每次请求都携带该token,服务器验证token的有效性来判断用户身份。
基于token的持久化登录讲解及其实现
AKGWSB 's blog
07-07 3241
目录前言session的缺点token简介token两个性质token简单实现思路分发token通过token验证身份代码实现登录处理程序loginRecv.php登录验证页面loginSuccessPage.php注销程序演示 前言 上回我们讲到【session+cookie简单讲解以及持久化登录实现】,我们通过在服务器端保存session,客户端保存cookie的方式,跳过繁琐的登录验证,快速验证用户是否登录,以及用户的身份信息。今天来学习另一种思路。 session的缺点 观察上一篇文章中的思路,我们
TokenCookie、Session登录机制
huan1213858的博客
08-02 1075
session 和 token 本质上是没有区别的,都是对用户身份的认证机制,只是他们实现的校验机制不一样而已(一个保存在 server,通过在 redis 等中间件获取来校验,一个保存在 client,通过签名校验的方式来校验),多数场景上使用 session 会更合理,但如果在单点登录,一次性命令认证上使用 token 会更合适,最好在不同的业务场景中合理选型,才能达到事半功倍的效果。详细跳转。
登录鉴权方案中,session、tokencookie三者的区别及选择
Tec Log
08-16 3377
目前web常用的登录鉴权方案主要有3种,分别是session、tokencookie,每种方案都有其特定应用场景和局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念和基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录鉴权,不在本文讨论范围内。...
彻底理解cookie,session,token使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookie、session和token这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
Golang CookieToken使用
01-20
func GetXXX(ctx *gin.Context){ ... fmt.Println(uri) req:= GetInfo(uri) resp, err := client.Do(req) if err != nil { fmt.Println(访问接口出错) } body := resp.Body defer body.Close() ...
C# 调用 Cefsharp浏览器获取登录后的cookie
07-05
5. **获取cookie**:登录成功后,可以使用`BrowserHost.GetCookieManager`方法获取cookie管理器,然后调用`GetCookiesAsync`异步获取所有cookie。示例代码如下: ```csharp var cookieManager = browser....
使用cookie或者localstorage做数据持久化及登录功能(40分钟视频在文末)
qq_30351747的博客
03-31 2710
使用cookie或者localstorage做数据持久化(40分钟视频在文末)
从”登录“过程看Jwt和Token,以及区分Cookie和Session概念
白白白鲤鱼的博客
03-11 536
从”登录“过程看Jwt和Token,以及区分Cookie和Session概念
登录的两种验证方式的区分:cookietoken
m0_73120712的博客
08-09 2102
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
Cookie、Session、Token 的区别与用途
ProgramNovice的博客
04-23 1937
Cookie、Session、Token 的区别与用途
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 4000
Cookie Session Token讲解及用法
登录验证两种方案:tokencookie以及对比
EmotionComputer
08-13 413
HTTP无状态,每次请求都要携带cookie,以帮助识别用户身份;服务端也可以向客户端set-cookiecookie大小限制为4kb;
session、cookietoken概念介绍
最新发布
liangkk的博客
08-22 1090
维持用户的登录状态信息是互联网应用程序中的一个核心功能,它确保了用户在登录后能够持续享受应用程序提供的各项服务,而无需在每次请求时都重新进行身份验证。这一过程经历了从简单的会话管理到更复杂的令牌(Token)机制的发展
前端要理解的cookies和token的区别
Whoopsina的博客
03-24 928
常用的cookie 互联网服务离不开用户认证,一般流程是下面这样: 用户向服务器发送用户名和密码 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等(可以理解为保存在服务的一个session store中) 服务器向用户返回一个session_id,写入用户的Cookie 用户随后的每一次请求,都会通过Cookie,将session_id传回服务器 服务器收到session_id,找到前期保存的数据(可以理解为去session store中查找),由此而知用户的身份
怎么判断登录使用的是cookietoken还是session
05-26
要判断登录使用的是cookietoken还是session,需要考虑以下几个方面: 1. Cookie登录时,服务器会在响应头中设置一个Set-Cookie字段,浏览器收到响应后会把这个字段保存在本地,并在每次请求时自动在请求头中...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZBY52031

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值