Token介绍

已于 2023-03-28 15:41:30 修改
阅读量8.3k 收藏 14
点赞数 5
分类专栏: web 文章标签: token jwt
于 2019-08-14 18:58:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magic_hat/article/details/99597774
版权

Token 令牌

Token是什么?

Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识

为什么要用Token,它能解决什么问题?

  1. Token 完全由应用管理,所以它可以避开同源策略,即可以跨域访问

    应用场景:单点登录(SSO)

    单点登录的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统

  2. Token 可以避免 CSRF 攻击

  3. Token 可以是无状态的,可以在多个服务间共享

怎么使用Token?

在web程序中,Token应用很广泛,这里只介绍用于前后端分离技术。

token经常作为一种校验的标识,自身也能携带一些信息,用于网络通信之间。

Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。

简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。

使用token机制的身份验证方法,在服务器端不需要存储用户的登录记录。大概的流程:

客户端使用用户名和密码请求登录。服务端收到请求,验证用户名和密码。验证成功后,服务端会生成一个token,然后把这个token发送给客户端。客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。客户端每次向服务端发送请求的时候都需要带上服务端发给的token。服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据。

JSON Web Token (JWT)

JWT时目前最流行的跨域身份验证解决方案

什么是JWT?

JSON Web Token(JWT)是一个开放标准RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。

为什么要使用JWT?
  • JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范;
  • JWT作为一个开放的标准(RFC 7519)定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的;
  • JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名;
怎么使用JWT?

要了解怎么使用JWT,先了解它的结构

JWT的组成

JWT组成格式类似:xxxx.xxxx.xxxx的字符串,这里JWT的官网(https://jwt.io/)给出了JWT生成与验证的工具。

JWT主要由三个部分组成:头部(HEADER),载荷(PAYLOAD),签证(SIGNATURE)。

头部(HEADER)

HEADER主要为了描述该JWT的最基本信息,主要包含两个部分:声明类型和声明加密算法(通常直接使用HMAC,SHA256)。

{
  "alg": "HS256",
  "typ": "JWT"
}

有效载荷(PAYLOAD)

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择。

  • iss:发行人

  • exp:到期时间

  • sub:主题

  • aud:用户

  • nbf:在此之前不可用

  • iat:发布时间

  • jti:JWT ID用于标识该JWT

除了以上默认字段外,也可以添加自定义字段。

{
  "sub": "1234567890",
  "name": "chongchong",
  "admin": true
}

签名(SIGNATURE)

JWT的第三部分是一个签名信息,这个签名信息主要由三个部分组成:Header(BASE64后),Payload(BASE64后),secret。

首先这个部分需要BASE64加密后的header和payload,然后使用进行连接组成的字符串,然后通过header中指定的加密方式,进行加盐值secret组合加密,然后就构成了JWT的第三部分。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
代码实现
  1. 添加Maven依赖
	<dependency>
      <groupId>com.auth0</groupId>
      <artifactId>java-jwt</artifactId>
      <version>3.1.0</version>
  </dependency>
  1. 编写工具类
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTCreator;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author LK
 * @date 2019/8/12 17:26
 */
public class JwtUtil {

    /**
     * 加密算法中加的盐
     */
    private static final String SECRET = "9a96349e";

    /**
     * 用户,发布人
     */
    private static String ISSUER = "sys_user";

    /**
     * 生成token
     * @param claims 传入参数
     * @param IssuedAtDatePoint  发布的时间点
     * @return String
     */
    public static String genToken(Map<String, String> claims, Date IssuedAtDatePoint){

      String token;
        try {
            //使用HMAC256进行加密
            Algorithm algorithm = Algorithm.HMAC256(SECRET);

            //创建jwt,添加发行人,发布的时间点
            JWTCreator.Builder builder = JWT.create()
              			.withIssuer(ISSUER)
                    .withIssuedAt(IssuedAtDatePoint);

            //传入参数
            claims.forEach((key,value)-> {
                builder.withClaim(key, value);
            });

            //签名加密
            token = builder.sign(algorithm);
        } catch (IllegalArgumentException | UnsupportedEncodingException e) {
            throw new RuntimeException(e);
        }
        return token;
    }

    /**
     * 解密jwt
     * @param token token
     * @return Map
     * @throws RuntimeException 运行时异常
     */
    public static Map<String,String> verifyToken(String token) throws RuntimeException{
        Algorithm algorithm = null;
        try {
            //使用HMAC256进行加密
            algorithm = Algorithm.HMAC256(SECRET);
        } catch (IllegalArgumentException | UnsupportedEncodingException e) {
            throw new RuntimeException(e);
        }

        //解密
        JWTVerifier verifier = JWT.require(algorithm).withIssuer(ISSUER).build();
        DecodedJWT jwt =  verifier.verify(token);
        Map<String, Claim> map = jwt.getClaims();
        Map<String, String> resultMap = new HashMap<>();
        map.forEach((k,v) -> resultMap.put(k, v.asString()));
        return resultMap;
    }
}
  1. 测试代码
public static void main(String[] args) {
      Map<String,String> map = new HashMap<>();
      map.put("name","张三");
      map.put("sex","男");
      String token = JwtUtil.genToken(map,new Date());
      System.out.println(token);

      map = JwtUtil.verifyToken(token);
      for (Map.Entry<String, String> entry : map.entrySet()) {
          System.out.println("key = " + entry.getKey() + ", value = " + entry.getValue());
      }
  }
magic_hat
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
token的生成与验证
weixin_61652943的博客
06-14 1780
token的生成与验证
什么是Token(令牌)
热门推荐
阿狸来了,哇咔咔
10-16 5万+
Acess Token 访问资源接口(API)时所需要的资源凭证 简单token 的组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串) 特点: 服务端无状态变化、可扩展性好 支持移动端设备 安全 支持跨域程序调用 token 的身份验证流程 客户端使用用户名和密码进行登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个token 并把这个token
Token 介绍
MichaelAn的博客
02-13 5500
Token 介绍 Token 对于计算机网络请求很重要,简单理解,token就是验证用户的一个钥匙(类似身份证号码)。 运行机制:当用户登录时,需要提交用户名和密码等信息。此时通过验证,服务器就返回一个token作为验证。以后用户进行数据请求等操作,只需要将token放入请求中,不需要每次提交用户名和密码进行验证。那...
token信息内容
最新发布
qq_56876713的博客
05-30 166
token信息主要包含三部分内容,加密的类型和加密的算法,包含的主题信息,验证的签名信息。
token是什么?(加密)
weixin_50367873的博客
11-09 2871
token也可以称做令牌,一般由 uid+time+sign(签名)+[固定参数] 组成 uid: 用户唯一身份标识 time: 当前时间的时间戳 sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接 固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库 token在客户端一般存放于localStorage,cookie,或sessionStorage中。在服务器一般存于数据库中 token 的认证流程 用户登录,成功后服务器返回.
token详解
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
04-11 4993
本篇博客主要从什么是token?为什么要使用token?如何使用token?项目实例这几个方面讲解token,通过本篇博客能够对token能够有更深入的理解,并且有思路应用在具体项目中。多角度看问题,多个维度看问题能够更加深入的理解和学习到该知识点。例如5w2h的方式。
Web中什么是token,token的组成部分详解(jwt Token
latata的博客
04-26 9191
token是计算机术语:令牌,令牌是一种能够控制站点占有媒体的特殊帧,以区别数据帧及其他控制帧。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端...
token机制详说
Blue
03-09 2108
token机制详说
深入了解 Json Web Token 之概念篇
公众号:Java后端
10-19 2724
点击上方Java后端,选择设为星标优质文章,及时送达以下,可能你能够在各大网站上搜到,但是对于JWE 的内容,却鲜有见闻。下文是我读了json web token handle bo...
Json Web Token 介绍与基本使用完整源码
02-16
Json Web Token(JWT)是一种轻量级的身份验证和授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构中。JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
JAVA中的Token 基于Token的身份验证实例
08-24
本文档主要介绍了JAVA中的Token基于Token的身份验证实例,具有很好的参考价值。本文将详细介绍基于Token的身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份验证方法 传统身份验证方法是基于HTTP的...
TOKEN自定义注解
05-18
TOKEN自定义注解,用于防止重复提交的,直接应用就可以了!
XMLTokener_token_
10-01
### XMLTokener的介绍 XMLTokener是org.w3c.dom.Element类的一部分,它提供了一种方便的方式来读取XML文档的结构。与DOM解析器或SAX解析器不同,XMLTokener并不构建整个XML文档的树形结构,而是逐个返回XML元素、...
基于springboot+jwt实现刷新token过程解析
08-19
本文主要介绍了基于SpringBoot和JWT实现刷新Token的过程解析,旨在帮助读者更好地理解Token的刷新机制和实现方式。 描述解析 文中通过示例代码详细介绍了基于SpringBoot+JWT实现刷新Token的过程,旨在为读者提供...
浅谈Postman解决token传参的问题
08-27
下面,我们将介绍如何使用Postman环境变量来解决token传参的问题。 首先,我们需要了解什么是token传参?token传参是指在请求中传递token,以便进行身份验证和授权。token通常是由服务器生成的随机字符串,用于验证...
token的基本内容
qq_39039128的博客
10-16 5348
1、token 的全称是json web token。 2、在http中,进行身份认证。 3、http通信是无状态的,客户端的请求到了服务端,服务端的答复无法对原来的客户端进行识别 4、传统使用session机制:客户端登录成功后,服务端返回一个sessionid给客户端,客户端将此保存在cookie中。需要再次发送请求时,携带cookie中的sessionid到服务端,服务端缓存了session...
JSON WEB TOKEN
weixin_34273481的博客
03-19 729
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
Token中的信息
qinqin772的博客
08-11 6879
Token中有哪些信息呢?这我们可以从一个api中得到, GetTokenInformation                       https://msdn.microsoft.com/en-us/library/windows/desktop/aa446671(v=vs.85).aspx 想要获取的信息类别 TOKEN_INFORMATION_CLASS t
后端生成Token架构与设计详解
leeta的博客
08-02 484
目的:Java开源生鲜电商平台-Java后端生成Token目的是为了用于校验客户端,防止重复提交。 技术选型:用开源的JWT架构。 1.概述: 在WEB项目中,服务端和前端经常需要交互数据,有的时候由于网络响应慢,客户端在提交某些敏感数据(比如按照正常的业务逻辑,此份数据只能保存一份)时,如果前端多次点击提交按钮会导致提交多份数据,这种情况我们是要防止发生的。 2.解决方法: ①前端处理:在提交之后通过js立即将按钮隐藏或者置为不可用。 ②后端处理:对于每次提交到后台的数据必须校验,也就是通过前
Token Embedding介绍一下
03-08
Token Embedding是一种将文本中的单词或符号转换为向量表示的技术。它可以将每个单词或符号映射到一个高维向量空间中的一个向量,使得这些向量可以被用于许多自然语言处理任务,如文本分类、命名实体识别、机器翻译等。Token Embedding可以使用不同的方法来生成向量表示,如Word2Vec、GloVe、FastText等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值