token验证的机理和简单实现

最新推荐文章于 2024-06-13 11:01:53 发布
最新推荐文章于 2024-06-13 11:01:53 发布
阅读量3.9k 收藏 18
点赞数 3
文章标签: token验证 机制 实现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baowei_0915/article/details/80643831
版权

摘要:token验证,机制实现

一、cookie验证和token验证的比较

    cookie验证的机制是通过在客户端生成cookie,在服务器端生成session,然后每次请求时通过核对前端传来的cookie和服务器端session是否一致来管理用户的状态。当我们关闭浏览器的时候session会被释放,而cookie也可以自定义失效时间使其在一定时间内失效。

    token的验证机制放弃了session,为用户生成包含各类信息的一个集合,将其编码为一个令牌(token),将这个令牌发给前端,前端每次需要验证身份时携带令牌,服务器检查令牌的合法性以验证身份。简化了服务器的存储,但是要比session+cookie的验证方式更加消耗计算。是一种以时间换空间的方式。


相较于cookie验证的几点好处:

  1. 支持跨域:cookie是不支持跨域的,token则可以做到。这一点对于我们项目深有感触,前端和后台是分离开发和测试,前端的测试常常需要跨域测试,没有token之前总是统一汇总测试,很麻烦,也想当拖节奏。
  2. 无状态:因为cookie验证是依赖于session的状态的,而token则完全不用在session中保存任何数据,所以可以做到无状态,只要有token并且合法就可以。

   二、token的组成和简单实现

token主要有三个部分组成:头部,载荷,签名。

头部和载荷使用的是base64编码的,签名则是使用的HS256。当时不是很明白这个HS256,实际上就是HMAC using SHA-256。一种带密钥的加密。base64可以利用java有自带的工具Base64Encoder。

具体参考下面的博客:

https://blog.csdn.net/weixin_39800144/article/details/78853323

我们通过一个类来实现这个token的功能

此处使用了导入了Jackson的jar包,方便将对象转化为json,不然需要手动的转化。

import java.util.Date;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.thoughtworks.xstream.core.util.Base64Encoder;
import com.zhiku.util.Data;

public class Token {
	
	//JWT的header,实际工作中从配置文件中获得
	public static String Header = "{\"typ\": \"JWT\",\"alg\": \"HS256\"}";
	//密钥
	public static String SECRET_KEY = "secret";
	//base64编码工具
	public static Base64Encoder be = new Base64Encoder();
	
	public static String getToken(Data message) throws Exception{
		String header = setHeader();
		String payload = setPayload(message);
		String signature = setSignature(header + "." + payload);
		return header + "." + payload + "." + signature;
		
	}

	/**
	 * 设置JWT的荷载payload,荷载中包含主要的信息
	 * @param payload 一个可以格式化为json的对象
	 * @return
	 * @throws Exception
	 */
	public static String setPayload(Object payload) throws Exception{
		String base64_payload = om.writeValueAsString(payload);
		return be.encode(base64_payload.getBytes());
	}
	
	public static Object getPayload(String base64_payload) throws Exception{
		byte[] h = be.decode(base64_payload);
		return om.readValue(h, Object.class);
	}
	
	/**
	 * 设置header
	 * 获取已有的header,然后生成base64编码
	 * @return
	 */
	public static String setHeader(){
		return be.encode(Header.getBytes());
	}
	
	/**
	 * 解析header
	 * @param base64_Header	base64编码的header部分
	 * @return	返回解码后的header,以一个data的形式返回对应的json
	 * @throws Exception	在将json转变为data对象时可能出现异常
	 */
	public static Object getHeader(String base64_Header) throws Exception{
		byte[] h = be.decode(base64_Header);
		return om.readValue(h, Object.class);
	}
	
	/**
	 * 将header和payload使用HS256加密
	 * 然后对加密信息进行base64编码
	 * 生成JWT的签名
	 * @param message	header.payload
	 * @return	JWT的签名
	 * @throws Exception
	 */
	public static String setSignature(String message) throws Exception{
		Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
	    SecretKeySpec secret_key = new SecretKeySpec(SECRET_KEY.getBytes(), "HmacSHA256");
	    sha256_HMAC.init(secret_key);

	    String hash = be.encode(sha256_HMAC.doFinal(message.getBytes()));
	    return hash;
	}
	
	/**
	 * 验证token的正确性
	 * @param token	待验证token
	 * @return	token是否正确
	 */
	public static boolean testSign(String token){
		boolean equal = false;
		String fore_message = token.substring(0,token.lastIndexOf('.'));
		String sign = token.substring(token.lastIndexOf('.')+1);
		try{
			if(sign.equals(setSignature(fore_message))){
				equal = true;
			}else{
				equal = false;
			}
		}catch(Exception e){
			equal = false;
		}
		return equal;
	}
	
	
}

注意:在经过base64转码之后有些时候会包含“+”,在前端传给后台的时候,“+”会变成“ ”(加号变成了空格)。这个时候就会影响token的验证,可以使用字符串将其替换。


baowei_0915
关注
  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手带你实现完整的后端token,身份验证 Springboot+JWT
Mwenhui的博客
02-21 7128
token JWT Springboot 验证登录状态 携带token登录
vue在路由中验证token是否存在的简单实现
10-16
以上就是对Vue在路由中进行Token验证实现的一个简单总结。在实际应用中,Token验证逻辑可能会更加复杂,比如涉及到Token的过期时间检查、错误处理、调用API校验Token有效性等。但无论如何变化,核心思想仍然是在用户...
基于token身份验证的原理
weixin_30472035的博客
09-28 267
1. 登陆时,客户端发送用户名密码 2. 服务端验证用户名密码是否正确,校验通过就会生成一个有时效的token串,发送给客户端 3. 客户端储存token,一般都会存储在localStorage或者cookie里面(vue可以存储与vuex) 4. 客户端每次请求时都带有token,可以将其放在请求头里,每次请求都携带token 5. 服务端验证token,所有需要校验身份的接口都会被校...
token原理和验证方法、场景
最新发布
weixin_47919447的博客
06-13 1039
因为一个生产问题引发我整理了这篇文章,目的是以一种简单的方式让所有的测试从根本上认识token,在以后对token相关的测试场景有一定的敏感度和标准动作指导,规避再犯这类生产问题。
基于Token的身份验证的原理
zz_strive_2012的专栏
07-16 175
1 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个不小的挑战...
token的作用及实现原理
热门推荐
我在路上的博客
03-22 27万+
1:首先,先了解一下request和session的区别request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp...
token实现
qq_37377082的博客
12-02 1104
基于jwt token实现 放弃以前的seesion,cookie 体系,使用token完成用户认证,实现前后端的用户同步。 如何实现前后端只传递 token 而完成 登录用户的认证与同步。 1、登陆时,生成token,并在redis中存储(以token为key,以用户信息为value,并设置key的过期时间)。然后把token信息传递给前端,并在前端保存。 2、每一次前端请求要求把token带回给后端(axios.js等框架可以全局设置请求头参数,即设置一个请求头的值为token) 3、后端设置
vue 实现axios拦截、页面跳转和token 验证
10-18
本文主要讲述了如何在Vue项目中整合axios来实现请求拦截、页面跳转以及基于token验证流程,确保了安全性与用户体验。 ### Vue与axios整合的必要性 Vue.js虽然强大,但本身并不提供HTTP请求的功能。axios作为一个...
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
vue登录注册及token验证实现代码
08-28
在 Vue 中,我们可以使用路由钩子来实现 Token 验证。路由钩子是一个函数,它在路由变化时被调用。在这个函数中,我们可以检查 Token 是否存在,如果不存在,则重定向到登录页面。 下面是一个使用路由钩子实现 ...
基于vue 实现token验证的实例代码
08-28
"基于Vue实现Token验证的实例代码" ...该实例代码提供了一个完整的Token验证解决方案,涵盖了客户端和服务端的实现细节,并提供了相关的知识点,以便开发者更好地理解Token验证的原理和实现方法。
项目总结30:token实现以及原理(附源码)
weixin_34364135的博客
06-09 740
项目总结30:token实现以及原理(附源码) 什么是token   一句话概括:token是身份令牌,用于客户端请求服务端时提供身份证明;   再具体点(以APP为例): 用户通过账号和密码登陆APP后,服务端会返回一个参数给客户端,假设服务端很粗暴的将userId(即数据库中的用户id)传给用户,用户接下请求接口,每次只需要传这个userId给服务端,就这一证明自己的身份...
【SpringBoot】1、SpringBoot整合JWT实现Token验证
qq_24099547的博客
04-10 8285
单点登录
3.Spring Security实现JWT token验证
相互学习 共同进步
04-24 3420
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
token实现思路
sunzhibin的博客
04-26 1116
后端提供仨接口:1.通过code获取access_token和refresh_token(每次调佣都生成新的access_token和refresh_token,并将老的数据变为过期)2.通过access_token 获取用户信息3.通过refresh_token 刷新token,返回新access_token(每次调用都生成新的access_token,并将老的数据变为过期)token一般加密规则:用户id+当前时间戳+秘钥,用md5生成32位token
token机制的基本实现
weixin_30552635的博客
05-12 102
一、问题:在实现增加功能的时候发现没有数据也能提交,提交的数据是上一次的数据,造成数据重复的bug,此时需要使用token解决该问题。 二、实现token流程: 三、步骤思路: 1.根据上面的实现流程图,首先我们需要先定义那些方法需要创建和删除token    创建一个注解类:     关于自定义注解的相关知识可查看这篇博客:http://www.importnew.com/17413...
vue项目token实现
weixin_43697548的博客
04-30 7309
基于vue/cli3.0+脚手架搭建Vue项目(11) 文章目录基于vue/cli3.0+脚手架搭建Vue项目(11)前言一、vue项目里token实现步骤二、代码实现1.登录页面2.api请求拦截时添加token信息3.router里更新token和uuid总结 前言 在vue项目里,token是用来当作前端和服务器通信的标识。经过登录页面后,每次发起的请求都需要携带上它,给服务器进行认证。 一、vue项目里token实现步骤 1:用户登录时,前端调用后台提供的登录接口; 2:后台验证用户
Token的原理及实现
AwayFuture的博客
10-26 1万+
一. Token出现的背景 1. 在早前的Web应用中,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的; 2. 但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话...
token登录验证机制图解
ljh_learn_from_base的博客
08-08 1820
springboot实现token验证
03-16
Spring Boot可以使用JWT(JSON Web Token实现Token验证。JWT是一种基于JSON的开放标准,用于在各方之间安全地传输信息。它由三部分组成:头部、载荷和签名。 在Spring Boot中,可以使用Spring Security和jjwt库来实现JWT Token验证。首先需要添加依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 然后在Spring Security的配置类中添加JWT Token验证的配置: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // configure AuthenticationManagerBuilder } @Bean public PasswordEncoder passwordEncoder() { return NoOpPasswordEncoder.getInstance(); } @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated().and(). exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 其中,JwtAuthenticationEntryPoint是一个自定义的认证入口,用于处理未经授权的请求;JwtRequestFilter是一个自定义的过滤器,用于从请求中提取JWT Token并进行验证。 最后,需要实现一个JwtTokenUtil类,用于生成和验证JWT Token: ``` @Component public class JwtTokenUtil { private String secret = "mySecret"; public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return doGenerateToken(claims, userDetails.getUsername()); } private String doGenerateToken(Map<String, Object> claims, String subject) { long expirationTime = 1000 * 60 * 60 * 10; // 10 hours Date now = new Date(); Date expirationDate = new Date(now.getTime() + expirationTime); return Jwts.builder().setClaims(claims).setSubject(subject).setIssuedAt(now) .setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, secret).compact(); } public boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } private Date getExpirationDateFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody().getExpiration(); } private String getUsernameFromToken(String token) { return Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody().getSubject(); } } ``` 这个类中,generateToken方法用于生成JWT Token,validateToken方法用于验证JWT Token是否有效。在生成JWT Token时,需要设置过期时间和签名算法。在验证JWT Token时,需要验证签名和过期时间。 这样就可以使用Spring Boot实现JWT Token验证了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值