Token介绍

已于 2023-03-28 15:41:30 修改
阅读量8.3k 收藏 14
点赞数 5
分类专栏: web 文章标签: token jwt
于 2019-08-14 18:58:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magic_hat/article/details/99597774
版权

Token 令牌

Token是什么?

Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识

为什么要用Token,它能解决什么问题?

  1. Token 完全由应用管理,所以它可以避开同源策略,即可以跨域访问

    应用场景:单点登录(SSO)

    单点登录的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统

  2. Token 可以避免 CSRF 攻击

  3. Token 可以是无状态的,可以在多个服务间共享

怎么使用Token?

在web程序中,Token应用很广泛,这里只介绍用于前后端分离技术。

token经常作为一种校验的标识,自身也能携带一些信息,用于网络通信之间。

Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。

简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。

使用token机制的身份验证方法,在服务器端不需要存储用户的登录记录。大概的流程:

客户端使用用户名和密码请求登录。服务端收到请求,验证用户名和密码。验证成功后,服务端会生成一个token,然后把这个token发送给客户端。客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。客户端每次向服务端发送请求的时候都需要带上服务端发给的token。服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据。

JSON Web Token (JWT)

JWT时目前最流行的跨域身份验证解决方案

什么是JWT?

JSON Web Token(JWT)是一个开放标准RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。

为什么要使用JWT?
  • JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范;
  • JWT作为一个开放的标准(RFC 7519)定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的;
  • JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名;
怎么使用JWT?

要了解怎么使用JWT,先了解它的结构

JWT的组成

JWT组成格式类似:xxxx.xxxx.xxxx的字符串,这里JWT的官网(https://jwt.io/)给出了JWT生成与验证的工具。

JWT主要由三个部分组成:头部(HEADER),载荷(PAYLOAD),签证(SIGNATURE)。

头部(HEADER)

HEADER主要为了描述该JWT的最基本信息,主要包含两个部分:声明类型和声明加密算法(通常直接使用HMAC,SHA256)。

{
  "alg": "HS256",
  "typ": "JWT"
}

有效载荷(PAYLOAD)

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

  • iss:发行人

  • exp:到期时间

  • sub:主题

  • aud:用户

  • nbf:在此之前不可用

  • iat:发布时间

  • jti:JWT ID用于标识该JWT

除了以上默认字段外,也可以添加自定义字段。

{
  "sub": "1234567890",
  "name": "chongchong",
  "admin": true
}

签名(SIGNATURE)

JWT的第三部分是一个签名信息,这个签名信息主要由三个部分组成:Header(BASE64后),Payload(BASE64后),secret。

首先这个部分需要BASE64加密后的header和payload,然后使用进行连接组成的字符串,然后通过header中指定的加密方式,进行加盐值secret组合加密,然后就构成了JWT的第三部分。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
代码实现
  1. 添加Maven依赖
	<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.1.0</version>
  </dependency>
  1. 编写工具类
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author LK
 * @date 2019/8/12 17:26
 */
public class JwtUtil {

    /**
     * 加密算法中加的盐
     */
    private static final String SECRET = "9a96349e";

    /**
     * 用户,发布人
     */
    private static String ISSUER = "sys_user";

    /**
     * 生成token
     * @param claims 传入参数
     * @param IssuedAtDatePoint  发布的时间点
     * @return String
     */
    public static String genToken(Map<String, String> claims, Date IssuedAtDatePoint){

      String token;
        try {
            //使用HMAC256进行加密
            Algorithm algorithm = Algorithm.HMAC256(SECRET);

            //创建jwt,添加发行人,发布的时间点
            JWTCreator.Builder builder = JWT.create()
              			.withIssuer(ISSUER)
                    .withIssuedAt(IssuedAtDatePoint);

            //传入参数
            claims.forEach((key,value)-> {
                builder.withClaim(key, value);
            });

            //签名加密
            token = builder.sign(algorithm);
        } catch (IllegalArgumentException | UnsupportedEncodingException e) {
            throw new RuntimeException(e);
        }
        return token;
    }

    /**
     * 解密jwt
     * @param token token
     * @return Map
     * @throws RuntimeException 运行时异常
     */
    public static Map<String,String> verifyToken(String token) throws RuntimeException{
        Algorithm algorithm = null;
        try {
            //使用HMAC256进行加密
            algorithm = Algorithm.HMAC256(SECRET);
        } catch (IllegalArgumentException | UnsupportedEncodingException e) {
            throw new RuntimeException(e);
        }

        //解密
        JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
        DecodedJWT jwt =  verifier.verify(token);
        Map<String, Claim> map = jwt.getClaims();
        Map<String, String> resultMap = new HashMap<>();
        map.forEach((k,v) -> resultMap.put(k, v.asString()));
        return resultMap;
    }
}
  1. 测试代码
public static void main(String[] args) {
      Map<String,String> map = new HashMap<>();
      map.put("name","张三");
      map.put("sex","男");
      String token = JwtUtil.genToken(map,new Date());
      System.out.println(token);

      map = JwtUtil.verifyToken(token);
      for (Map.Entry<String, String> entry : map.entrySet()) {
          System.out.println("key = " + entry.getKey() + ", value = " + entry.getValue());
      }
  }
magic_hat
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JAVA中的Token 基于Token的身份验证实例
08-24
本文档主要介绍了JAVA中的Token基于Token的身份验证实例,具有很好的参考价值。本文将详细介绍基于Token的身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份验证方法 传统身份验证方法是基于HTTP的...
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
Token 介绍
MichaelAn的博客
02-13 5500
Token 介绍 Token 对于计算机网络请求很重要,简单理解,token就是验证用户的一个钥匙(类似身份证号码)。 运行机制:当用户登录时,需要提交用户名和密码等信息。此时通过验证,服务器就返回一个token作为验证。以后用户进行数据请求等操作,只需要将token放入请求中,不需要每次提交用户名和密码进行验证。那...
token是什么?(加密)
weixin_50367873的博客
11-09 2871
token也可以称做令牌,一般由 uid+time+sign(签名)+[固定参数] 组成 uid: 用户唯一身份标识 time: 当前时间的时间戳 sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接 固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库 token在客户端一般存放于localStorage,cookie,或sessionStorage中。在服务器一般存于数据库中 token 的认证流程 用户登录,成功后服务器返回.
token信息内容
最新发布
qq_56876713的博客
05-30 166
token信息主要包含三部分内容,加密的类型和加密的算法,包含的主题信息,验证的签名信息。
深入理解token
rizon886的博客
02-10 4224
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token?(无状态token开始比较有用) 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? ...
Token相关内容简述
answer3lin的博客
01-10 5757
Token的应用 Token是一种标志用户登录,保持用户状态的一种认证方法,令牌(临时)是服务端生成的一串字符串,作为客户端进行请求的一个标识。但是和Session id不同,其是通过特殊手段生成的,不同的服务器对应token的生成是不同的。 简单token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制...
什么是Token(令牌)
阿狸来了,哇咔咔
10-16 5万+
Acess Token 访问资源接口(API)时所需要的资源凭证 简单token组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串) 特点: 服务端无状态变化、可扩展性好 支持移动端设备 安全 支持跨域程序调用 token 的身份验证流程 客户端使用用户名和密码进行登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个token 并把这个token
token详解
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
04-11 4987
本篇博客主要从什么是token?为什么要使用token?如何使用token?项目实例这几个方面讲解token,通过本篇博客能够对token能够有更深入的理解,并且有思路应用在具体项目中。多角度看问题,多个维度看问题能够更加深入的理解和学习到该知识点。例如5w2h的方式。
5分钟彻底搞懂什么是token
AI与算法都要通俗易懂
01-09 8360
而一旦将词分成子词,模型只需要记住"bug"、"value" 和 "de" 这三个 token 即可,而且还可以扩展识别出 "decrease "的意思。还可能把 “debug” 这个单词看作两个 token,分别为"de" 和 "bug",这样模型可能知道 “de” 前缀代表“减少”的意思。因为当时接触视觉模型多一些,在视觉模型的性能评估中,有一个关键指标叫做 fps,通俗理解就是一秒钟可以处理的图片数。否则,模型可能需要记住"bug"、"debug","value","devalue"四个token.
Json Web Token 介绍与基本使用完整源码
02-16
Json Web TokenJWT)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构中。JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
XMLTokener_token_
10-01
### XMLTokener的介绍 XMLTokener是org.w3c.dom.Element类的一部分,它提供了一种方便的方式来读取XML文档的结构。与DOM解析器或SAX解析器不同,XMLTokener并不构建整个XML文档的树形结构,而是逐个返回XML元素、...
浅谈Postman解决token传参的问题
08-27
下面,我们将介绍如何使用Postman环境变量来解决token传参的问题。 首先,我们需要了解什么是token传参?token传参是指在请求中传递token,以便进行身份验证和授权。token通常是由服务器生成的随机字符串,用于验证...
什么是tokentoken是用来干嘛的?怎么使用?
JiangLu7的博客
06-10 1万+
使用token机制的身份验证方法
Token详解
Shuo
09-22 1万+
描述了tokenjwt,以及jwt的使用。
Token的三要素
weixin_45704311的博客
04-23 4327
一、定义Token token分为三部分来定义: 1 .表头:Header是一个json对象,存储元数据 { "alg":"HS256", "typ":"JWT" } alg:是签名的算法名称(algorithm),默认是HMAC SHA); type属性表示这个令牌(token)的类型(type),JWT令牌统一写成JWT。 2.负载:Payload是一个json对象。存放传递的数据,数据分为Public和Private。 Public是JWT中规定的一些字段,可以自己选择使
token基本流程
sxp知识共享
03-15 1万+
token在项目中的使用 token是对session的一个升级,解决了前后端分离的session不能共享的一个难题 1、token基本流程 (1)用户登陆,发送手机号码和验证码 (2)后台接收参数,查找用户,用户存在就生成token,返回给前端 (3)前端登陆成功,把token存到vuex(做持久化) (4)使用axios拦截器,读取vuex中的token,并放入请求头 (5)请求其他接口,就会带上token (6)后台在需要登陆的接口上,获取token,解密token获得userId,返回前端需要的数
什么是tokentoken是用来干嘛的?
热门推荐
青春木鱼的博客
09-25 11万+
token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。说白了token是一个身份卡,有权限的作用
Token Embedding介绍一下
03-08
Token Embedding是一种将文本中的单词或符号转换为向量表示的技术。它可以将每个单词或符号映射到一个高维向量空间中的一个向量,使得这些向量可以被用于许多自然语言处理任务,如文本分类、命名实体识别、机器翻译等。Token Embedding可以使用不同的方法来生成向量表示,如Word2Vec、GloVe、FastText等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值