Token身份验证

最新推荐文章于 2024-07-27 13:31:57 发布
最新推荐文章于 2024-07-27 13:31:57 发布
阅读量1.8k 收藏 1
点赞数
文章标签: 前后端分离 java intellij-idea Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq2844509367/article/details/127926275
版权

目录

一、已经有的验证方式

1.HTTP Basic Auth 

2.Cookie Auth

3.基于 Token 的身份验证方法

二、Token的内核

Token机制相对于Cookie机制又有什么好处呢?

三、基于JWT的Token认证机制实现

3.1JSON Web Token(JWT)是一个非常轻巧的规范 。JWT 标准的 Token 有三个部分:

3.1.1Header

3.1.2Payload

3.1.3 Signature

四、JWT的JAVA应用

1.导入依赖jjwt

2.创建和解析token

总结

一、已经有的验证方式

参考网页

JavaWeb—基于Token的身份验证 - 大象踢足球 - 博客园

1.HTTP Basic Auth 

HTTP Basic Auth每次请求API时都提供用户的username和password,Basic Auth是配合RESTful API 使用的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth。

2.Cookie Auth

Cookie认证为一次请求认证在服务端创建一个Session对象,同时在客户端的浏览器端创建了一个Cookie对象;通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的expire time使cookie在一定时间内有效。

3.基于 Token 的身份验证方法

  1. 客户端使用用户名跟密码请求登录

  2. 服务端收到请求,去验证用户名与密码

  3. 验证成功后,服务端会签发一个 Token然后保存(缓存或者数据库),再把这个 Token 发送给客户端

  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

二、Token的内核

Token机制相对于Cookie机制又有什么好处呢?

  • 支持跨域访问: Cookie是不允许垮域访问的
  • 更适用CDN: 可以通过内容分发网络请求你服务端的所有资料
  • 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可.
  • CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。
  • 性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多.
  • 基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库

三、基于JWT的Token认证机制实现

3.1JSON Web Token(JWT)是一个非常轻巧的规范 。JWT 标准的 Token 有三个部分:

  • header (头部)
  • payload (数据)
  • signature (签名)

3.1.1Header

唯一在头部里面要包含的是 alg 这个属性、其他的都是一些加密信息

{

        "alg": "HS256"

}

3.1.2Payload

Payload 里面是 Token 的具体内容,这些内容里面有一些是标准字段,你也可以添加其它需要的内容。

  • 标准信息模板
  • iss:Issuer,发行者
  • sub:Subject,主题
  • aud:Audience,观众
  • exp:Expiration time,过期时间
  • nbf:Not before
  • iat:Issued at,发行时间
  • jti:JWT ID

3.1.3 Signature

这部分内容有三个部分,先是用 Base64 编码的 header.payload ,再用加密算法加密一下,加密的时候要放进去一个 Secret ,这个相当于是一个密码,这个密码秘密地存储在服务端。

四、JWT的JAVA应用

1.导入依赖jjwt

JJWT实现了JWT, JWS, JWE 和 JWA RFC规范

#JJWT依赖
<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>版本</version>
</dependency>

2.创建和解析token

/**
     * 解析JWT
     * @param jsonWebToken
     * @param base64Security
     * @return
     */
    public static Claims parseJWT(String jsonWebToken, String base64Security) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
                    .parseClaimsJws(jsonWebToken).getBody();
            return claims;
        } catch (Exception ex) {
            return null;
        }
    }

    /**
     * 创建JWT
     * @param no
     * @param userId
     * @param issuer
     * @param TTLMillis
     * @param base64Security
     * @return
     */
    public static String createJWT(String no, String userId,
                                   String issuer, long TTLMillis, String base64Security) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        //生成签名密钥
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        //添加构成JWT的参数
        JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
                .claim("no", no)
                .setSubject(userId)
                .setIssuer(issuer)
                .signWith(signatureAlgorithm, signingKey);
        //添加Token过期时间
        if (TTLMillis >= 0) {
            long expMillis = nowMillis + TTLMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp).setNotBefore(now);
        }
        //生成JWT
        return builder.compact();
    }

总结

  • Token更加能适应我们的前后端分离项目
  • Token相对与Http与Cookie有很好的优点
  • Token能高效的对用户的管理
孤狼灬笑
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web token身份验证
流沙-岁月
08-29 1275
一:为什么需要token身份验证: 以前使用的身份验证包括: HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来
什么是token认证?
weixin_47427787的博客
07-30 3119
token认证
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
贝格前端工场的博客
05-29 1355
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web Token(JWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
node.js 实现 token 身份验证
热门推荐
萝卜砸大坑
01-20 5万+
node + jwt 实现token身份验证 安装依赖 express-jwt npm i express-jwt 将token校验相关数据导入配置文件 // setting.js module.exports = { token: { // token密钥 signKey: 'blog_globM_token_key_$$$$', //...
基于Token身份验证的原理
一土宁的博客
05-06 4万+
目录 1 发展史 2 Cookie 3 Session 3.1cookie和session的区别 4 Token 4.1 传统方式——基于服务器的验证 4.2 基于服务器验证方式暴露的一些问题 4.3 基于Token验证原理 4.5 Tokens的优势 参考文献 1 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某...
API token身份验证 (thinkphp5)
xudejun的博客
02-20 5288
 使用说明:登陆时生成token和刷新用的refresh_token,返回给客户端,客户端收到保存本地localStorage等,每次访问接口带上token,后端验证token存在并且一致后方可执行接下来的动作,假如不存在就返回token过期,客户端调用刷新接口传入token和refresh_token,服务器端进行验证验证通过重新生成新的token保存数据库,返回给客户端客户端刷新本地toke...
使用Token进行身份验证
m0_57037182的博客
06-10 1万+
token,简简单单帮你上手实现
cookie和token身份验证
逸尘的专栏
12-18 5896
1. cookie身份验证 用户输入登陆凭据; 服务器验证凭据是否正确,并创建会话,然后把会话数据存储在数据库中; 具有会话id的cookie被放置在用户浏览器中; 服务器验证凭据是否正确,并创建会话; 在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; 一旦用户登出,服务端和客户端同时销毁该会话在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; ...
postman通过脚本配置动态token身份验证
qq_39272466的博客
06-26 2506
下面是我的postman的脚步代码,解析后的data结构你们根据你们自己的系统配置。你们的请求头长啥样你配啥样,因为每个系统的token-key的名字不一样。根据我下面的样例配置,解析后的data结构你们根据你们自己的系统配置。这一步是读取刚刚登录设置的全局变量,然后设置到请求头里面。
token身份验证---生成token验证token
Jonah的博客
10-29 8164
1.什么是token 现在可以说,JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。 它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。 在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。 缺点是无法作废已颁布的令牌/不易应对数据过期。 英文网址如下:https://jwt.io/introduction/ 2.token的优势 优势 Token相对于Cookie/Sessio
thinkphp5框架API token身份验证功能示例
10-16
在本篇中,我们将深入探讨如何在ThinkPHP5框架中实现API的Token身份验证功能。 首先,Token身份验证的基本原理是:用户成功登录后,服务器会生成一个唯一的Token,这个Token将发送给客户端(通常是移动应用或Web...
基于Token身份验证的方法
10-18
基于Token身份验证是一种现代的、安全的认证方式,尤其适用于Web应用和移动应用。这种方式避免了传统的Session存储用户登录状态的需求,减少了服务器的负担,并提高了系统的可扩展性。Token,中文通常被译为“令牌...
JAVA中的Token 基于Token身份验证实例
08-24
JAVA中的Token基于Token身份验证实例 本文档主要介绍了JAVA中的Token基于Token身份验证实例,具有很好的参考价值。本文将详细介绍基于Token身份验证方法,并与传统的身份验证方法进行比较。 一、传统身份...
云生活超市服务端代码。 SpringBoot + Mybatis + MySql + Redis + Token身份验证.zip
03-09
SpringBoot + Mybatis + MySql + Redis + Token身份验证.zip" 提供了一个基于Java技术栈的云生活超市后台系统。这个项目使用了SpringBoot框架,Mybatis持久层框架,MySQL关系型数据库,Redis缓存服务以及Token身份...
golang 接口
m0_70982551的博客
07-24 871
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 457
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 557
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
最新发布
訾博(ZiBo)的博客
07-27 544
在Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
基于 token身份验证方法
06-11
基于 Token身份验证方法是一种常见的身份验证方式,它通过在用户登录成功后生成一个 Token,并将其返回给用户。用户在之后的请求中将 Token 携带在请求头或请求参数中,服务端则利用 Token验证用户的身份。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值