token令牌登入检查

已于 2022-11-16 20:02:04 修改
阅读量713 收藏 1
点赞数 1
分类专栏: java 文章标签: java spring
于 2022-11-06 21:02:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51262858/article/details/127720891
版权

1.0 什么是JWT?

这是无状态通讯,信息不存放在服务器,大大地减轻了服务器压力。
​ 我们现在了解了基于token认证的交互机制,但令牌里面究竟是什么内容?什么格式呢?市面上基于token的认证方式大都采用的是JWT(Json Web Token)。

​ JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递json对象(登录用户信息),传递的信息经过数字签名可以被验证和信任。

JWT令牌结构:

JWT令牌由Header、Payload、Signature三部分组成,每部分中间使用点(.)分隔,比如:xxxxx.yyyyy.zzzzz

  • Header

头部包括令牌的类型(即JWT)及使用的哈希算法(如HMAC、SHA256或RSA)。

一个例子:

{
	"alg": "zengfl""typ": "JWT"
}

将上边的内容使用Base64Url编码,得到一个字符串就是JWT令牌的第一部分。

  • Payload 载荷

第二部分是负载,内容也是一个json对象,它是存放有效信息的地方,它可以存放jwt提供的现成字段,比
如:iss(签发者),exp(过期时间戳), sub(面向的用户)等,也可自定义字段。
此部分不建议存放敏感信息,因为此部分可以解码还原原始内容。
一个例子:

{
	"sub": "1234567890""name": "456""admin": true
}

最后将第二部分载荷使用Base64Url编码,得到一个字符串就是JWT令牌的第二部分。

  • Signature

第三部分是签名,此部分用于防止jwt内容被篡改。
这个部分使用base64url将前两部分进行编码,编码后使用点(.)连接组成字符串,最后使用header中声明
签名算法进行签名。
一个例子:

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret(密钥))

base64UrlEncode(header):jwt令牌的第一部分。
base64UrlEncode(payload):jwt令牌的第二部分。
secret:签名所使用的密钥。

下图中包含一个生成的jwt令牌:

在这里插入图片描述

导入依赖

<!--jwt-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

干脆做一个工具类

public class AppJwtUtil {
    // TOKEN的有效期一单位秒(S)3600就是一个小时
    private static final long TOKEN_TIME_OUT = 3600;
    // 加密KEY 密钥的铭文
    private static final String TOKEN_ENCRY_KEY
            = "QQZzj881113";
    // 最小刷新间隔(S)
    private static final int REFRESH_TIME = 300;

    // 生产ID  根据用户id生成token
    public static String createToken(Long id) {
        Map<String, Object> claimMaps = new HashMap<>();
        //存放基本信息,不可以放密码等敏感信息
        claimMaps.put("id", id);
        long currentTime = System.currentTimeMillis();
        return Jwts.builder()
            .setId(UUID.randomUUID().toString())
            .setIssuedAt(new Date(currentTime))  //签发时间
            .setSubject("system")  //说明
            .setIssuer("liangge") //签发者信息
            .setAudience("app")  //接收用户
            .compressWith(CompressionCodecs.GZIP)  //数据压缩方式
            .signWith(SignatureAlgorithm.HS512, generalKey()) //加密方式,通过明文生成密文密钥
            //过期一个小时
            .setExpiration(new Date(currentTime + TOKEN_TIME_OUT * 1000))  //过期时间戳
            .addClaims(claimMaps) //cla信息
            .compact();
    }

    /**
     * 获取token中的claims信息
     * 通过token解析出里面的信息
     * @param token
     * @return
     */
    private static Jws<Claims> getJws(String token) {
        return Jwts.parser()
            .setSigningKey(generalKey())
            .parseClaimsJws(token);
    }

    /**
     * 获取payload body信息
     *
     * @param token
     * @return
     */
    public static Claims getClaimsBody(String token) {
        return getJws(token).getBody();
    }

    /**
     * 获取hearder body信息
     *
     * @param token
     * @return
     */
    public static JwsHeader getHeaderBody(String token) {
        return getJws(token).getHeader();
    }

    /**
     * 是否过期
     *
     * @param token
     * @return 1 有效  0 无效  2 已过期
     */
    public static int verifyToken(String token) {
        try {
            Claims claims = AppJwtUtil.getClaimsBody(token);
            return SystemConstants.JWT_OK;
        } catch (ExpiredJwtException ex) {
            return SystemConstants.JWT_EXPIRE;
        } catch (Exception e) {
            return SystemConstants.JWT_FAIL;
        }
    }

    /**
     * 由字符串生成加密key
     *
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getEncoder().encode(TOKEN_ENCRY_KEY.getBytes());
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    public static void main(String[] args) {
        //测试,创建一个token
        String token = AppJwtUtil.createToken(1102L);
        System.out.println(token);
/*
        try {
            Thread.sleep(2000);
        } catch (InterruptedException e) {
            e.printStackTrace();
        }
        int i = AppJwtUtil.verifyToken(token);
        System.out.println(i);
        Claims claims = AppJwtUtil.getClaimsBody(token);
        Integer integer = AppJwtUtil.verifyToken("dsafafsa");
        System.out.println(integer);
        System.out.println(claims);*/

    }
}

后续要用到验证就用这个工具类

然后一下返回的常量设置

/**
 * @version 1.0
 * @description 系统常量配置
 * @package com.itheima.common.constants
 */
public interface SystemConstants {
    //JWT TOKEN已过期
    int JWT_EXPIRE = 2;
    //JWT TOKEN有效
    int JWT_OK = 1;
    //JWT TOKEN无效
    int JWT_FAIL = 0;
    // 用户头信息,用于传递当前登录用户的id
    String USER_HEADER_NAME="userId";

    String USER_HEADER_FROM="from";
    // 缓存查询出来的频道列表
    String REDISKEY_CHANNELLIST="CHANNEL_LIST";
}

后续在网关做全局过滤器获取请求头信息去解析就可知道用户是否登入了

用这个静态方法获取请求头

    public static String getHeader(String headerName){
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        HttpServletRequest request = requestAttributes.getRequest();
        //获取路由转发的头信息
        String headerValue = request.getHeader(headerName);
        return headerValue;
    }

做一个工具类,因为这个比较常用

public class RequestContextUtil {
    public static String getHeader(String headerName){
        ServletRequestAttributes requestAttributes = (ServletRequestAttributes) RequestContextHolder.currentRequestAttributes();
        HttpServletRequest request = requestAttributes.getRequest();
        //获取路由转发的头信息
        String headerValue = request.getHeader(headerName);
        return headerValue;
    }

    public static Long getUserId(){
        return Long.parseLong(RequestContextUtil.getHeader(SystemConstants.USER_HEADER_NAME));
    }
}
添砖Java的亮哥
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用token跳过加密进行数据查询
weixin_44421896的博客
01-17 1854
用户信息进行*号处理后,查询到的数据是被加密过的数据,如何在不进行解密的情况下进行数据查询呢。 Long loginUserId = Long.valueOf(RequestContext.getLoginUserId()); 使用loginUserId获取用户的token值。 public UcLoginUserVo getLoginUserInfo(Long userId) { String newUrl = loginUserInfoUrl + userId; ApiResult&l
第三方登入,QQ登入后端
12-20
4. **刷新令牌**:access_token通常有有效期限制,为避免用户频繁重新登录,你需要在有效期内保存refresh_token(如果提供),并在access_token即将过期时,使用refresh_token换取新的access_token。 5. **错误处理...
查询token
如鹿渴慕泉水的专栏
08-04 2391
DWORD pid = 532; HANDLE elevated_tokena=NULL; HANDLE ProcessHandle = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, pid); if (ProcessHandle) { ...
Python-通过接口获取token和连接数据库进行sql查询
最新发布
weixin_42376302的博客
04-26 485
内置函数,包括 open()、read()、readline()、readlines()、write()、writelines()、close() 等方法。比如,我们经常执行到最后,会忘记关闭文件,这就很可能会带来很多潜在的问题,可以在 finally 中,也就是程序最后会执行的部分,去关闭我们已打开的文件。适用场景:当文件很大的时候,单纯使用 read() 方法就很难一次性读入内存中;eg: 修后读出的文件内容就是:离离原上草,一岁一枯荣能没马蹄。eg: 修后读出的文件内容就是:离离原上草,一岁一枯荣。
token 生成检查
erjian666的博客
05-09 493
function token($param,$value=’’){         if(!is_string($param){         $param = serialize($param);}$token = md5($param.’sault’);if(!empty($value)){         if($value == $token){         return true;...
token的验证
alexandsunny的博客
08-15 1384
TP框架下的token验证 前言 现在很多项目是前后端分离的,在前端调用后端的接口时就需要身份验证。这次讨论的是TP框架下使用token验证的方式。 1.token的创建和更新 我们在登陆和注册的时候通过之后,后端会根据时间和一些用户信息加密生成一个$token字符串。 生成之后,我们将它更新到数据库中的user表中。 然后,创建缓存,以$token为名,以用户的字段信息为...
三个常用查询:根据用户名 / token查询用户信息+链表分页条件查询
不惧困难 顽强拼搏
07-29 750
三个常用查询:根据用户名 / token查询用户信息+链表分页条件查询
浅谈token认证
weixin_43887870的博客
05-19 4711
Token 使用token一般的身份验证流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据 Jwt就是一个token的具体实现方式,即:JSON Web
sharepoint SSO单点登入Demo
05-28
- **Token**:在SSO过程中,认证服务器会创建一个安全令牌,包含用户的身份信息,这个令牌会在各个应用之间传递。 5. **挑战与解决策略**: - **跨域问题**:不同域之间的SSO配置需要额外的跨域信任设置。 - **...
andriod登入源码
05-31
- 通过`Gson`或`Jackson`库解析服务器返回的JSON数据,获取登录状态和可能的令牌token)信息。 7. **共享首选项(SharedPreferences)**: - 登录成功后,将令牌存储在`SharedPreferences`中,以便后续请求使用。...
微信网页登入授权Demo
10-11
7. **验证与刷新令牌**:access_token和openid有一定的有效期,需要定期检查并刷新。微信提供了刷新令牌(refresh_token)的接口,当access_token过期时,可以通过refresh_token来获取新的access_token。 在这个`...
accounts-servant:仆人帐号登入服务
06-14
6. **刷新令牌**:为了延长用户登录状态,服务可能会提供刷新令牌(Refresh Token)。当访问令牌过期时,前端可以使用刷新令牌向服务器请求新的访问令牌,而无需用户重新登录。 7. **API设计**:后端需要提供清晰、...
手把手教你如何查找Token
热门推荐
m0_52767002的博客
07-07 4万+
如何查找Token
【Vue】登录查看权限控制(token
程序员养成计划
11-16 3092
Vue中的登录查看权限控制
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 6301
kubernetes查看用户token
Java - token的存储与获取
jcc4261的博客
03-17 1万+
问:为什么写工具类呢???答:因为我们不知道前端将token怎么存储的,所以我们可以通过调用Token工具类来获取tokenToken工具类会检查header、URL中的属性值、以及Cookie等等!!!
彻底搞懂cookie、session和token
liuqinhou的博客
08-19 2260
cookie、session和token
Jupyter notebook - 如何查询/获取连接Token
DreamingBetter的博客
12-05 1944
notebook挂服务器后台,太久没访问需要重新输入token
token令牌生成规则
07-27
令牌生成规则通常是由具体的应用程序或平台决定的。以下是一般情况下常见的 token 生成规则: 1. 随机生成:使用随机算法生成一串随机字符或数字作为令牌。这种方法简单快捷,但可能存在重复或者易于被猜测的风险。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值