Token 认证登录

最新推荐文章于 2024-05-29 14:58:13 发布
最新推荐文章于 2024-05-29 14:58:13 发布
阅读量5.2k 收藏 13
点赞数
分类专栏: JAVA 文章标签: java https 开发语言
原文链接:https://www.coonote.com/note/what-does-token-mean.html
版权

Token

        转:什么是Token(令牌)-菜鸟笔记

        关于Token 登录:Token登录认证

简单介绍

  • 访问资源接口(API)时所需要的资源凭证

  • 简单token 的组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串)

  • 特点

    • 服务端无状态变化、可扩展性好

    • 支持移动端设备

    • 安全

    • 支持跨域程序调用

    • token 的身份验证流程

      •  1、客户端使用用户名和密码进行登录
      • 2、服务端收到请求,去验证用户名与密码
      • 3、验证成功后,服务端会签发一个token 并把这个token 发送给客户端
      • 4、客户端收到token后,会把它存储起来,比如放在cookie 里 或者 localStorage里
      • 5、客户端每次向服务端请求资源的时候需要带着服务端签发的token
      • 6、服务端收到请求后,先验证客户端请求里带着的token ,如果验证成功,就向客户端返回请求的数据 
      • 优点:
        • 每一次请求都需要携带token ,需要把token 放到HTTP的Header 里
        • 基于token 的用户验证是一种服务端无状态的认证方式,服务端不用存放token数据,用解析token的计算时间换取 session的存储空间,从而减轻服务器的压力,减少频繁的查询数据库
        • token 完全由应用管理,所以它可以避开同源策略
      • Token生成示例
        使用用户唯一ID + 系统时间 + 随机数 + 过期时间得到用户信息数据,对用户信息数据进行RSA非对称加密/AES对称加密得到一个加密字符串A,将加密字符串A再次进行签名等到一个签名数据。然后将签名数据和加密字符串进行拼接,最后使用base64进行编码,得到最终的token令牌。
      	/**
 *
 * @param tokenBody 实例对象,通常为bean
 * @param minute 过期时间   单位:min
 * @param <T>
 * @return
 */
public static <T> String createToken(T tokenBody, int minute) {
      
    long now = System.currentTimeMillis() / 1000;
    Gson gson = new Gson();
    JsonObject jsonBody = new JsonObject();
    jsonBody.addProperty("body", gson.toJson(tokenBody));

    String randomAlphabetic = RandomStringUtils.randomAlphabetic(3);
    JsonObject jsonHeader = new JsonObject();
    jsonHeader.addProperty("now", now);
    jsonHeader.addProperty("rand_num", randomAlphabetic);
    jsonHeader.addProperty("expire", (now + minute * 60));

    String token = null;
    try {
      
        byte[] encryptContent = generateEncryptBody(jsonHeader.toString(), jsonHeader.toString());
        byte[] signWithEncrypt = generateSignWithEncrypt(encryptContent);
        token = Joiner.on(".").join(new String[]{
      base64Encoder(
                jsonHeader.toString().getBytes("utf-8")),
                base64Encoder(encryptContent),
                base64Encoder(signWithEncrypt)}
                );
    } catch (Exception e) {
      
        e.printStackTrace();
    }
    return token;
}

    常见的鉴权模式

    • session-Cookie
    • Token验证(JWT SSO单点登录)
    • OAuth2.0 (开放授权)

  • JWT 与 Token 的区别

    • 相同:
      • 都是访问资源的令牌
      • 都可以记录用户的信息
      • 都是使服务端无状态变化
      • 都是验证成功后,客户端才能访问服务端上受保护的资源

  • 区别

    • Token: 服务端验证客户端发送过来的Token 时,还需要查询数据库获取用户信息,然后验证Token 是否有效
    • JWT: 将token 和 Payload 加密后存储于客户端,服务端只需要使用秘钥进行校验即可,不需要查询或者减少查询数据库,因为JWT自包含了用户信息和加密的数据
老谭TYH
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
token登陆验证
qq_20786911的博客
03-07 1万+
登陆业务的实现 由于http是无状态的,那么应该如何记住登录状态呢? 单一应用的服务中常见做法是在客户端cookie中保存sessionId,服务器端的session中保存sessionid,每次客户端发送请求的时候都带上sessionid,在服务器端进行验证。 在分布式系统中,由于服务器之间不能共享内存,因此服务器之间session不能互通,因此不能使用session去存储用户的登录信息,一般使...
Token认证签名加密
09-10
在IT行业中,Token认证签名加密是一种常见的安全机制,主要用于确保数据传输的安全性和验证请求的合法性。这个主题涉及了几个核心概念,包括Token、加密和签名,这些都是构建安全网络服务的关键要素。 1. **Token**...
基于token的登陆验证机制
xiaoyi52的专栏
04-12 1451
常用的登录验证机制包括session和token。 session简介 做过Web开发的程序员应该对Session都比较熟悉,Session是一块保存在服务器端的内存空间,一般用于保存用户的会话信息。 用户通过用户名和密码登陆成功之后,服务器端程序会在服务器端开辟一块Session内存空间并将用户的信息存入这块空间,同时服务器会在cookie中写入一个Session_id的值,这个值用于标识这个内存空间。 下次用户再来访问的话会带着这个cookie中的session_id,服务器拿着这个id去寻找对应的se
Springboot实现登录功能(token、redis、登录拦截器、全局异常处理)
qq_64680177的博客
10-06 3550
1、前端调用登录接口,往接口里传入账号,密码2、根据账号判断是否有这个用户,如果有则继续判断密码是否正确3、验证成功后,则是根据账号,登录时间生成token(用JWT)4、将token存入Redis当中,用于token过期策略5、将token和用户信息返回给前端6、此后调用后端任何接口都会先判断发来请求里token是否存在、有效(拦截器实现)7、然后继续接下来的正常调用。
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
最新发布
贝格前端工场的博客
05-29 1077
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web Token(JWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
Token登录原理分析
githubcurry
08-25 4061
1:首先,先了解一下request和session的区别 request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp页面和该页面用指令包含的页面以及标记包含的其它jsp页面; Session是用户全局变量,在整个会话期间都有.
vue前后端分离单点登录,结合长token和短token进行登录
qq_42696432的博客
09-14 7656
在公司发展初期,公司拥有的系统不多,通常一个两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登陆,很方便,但是,随着企业的发展,用到的系统随之增加,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说很不方便,也是就想到是不是可以在一个系统登陆,其它系统就不用登陆了呢?那么单点登录就是解决这个问题。
Token】JWT使用Token进行登录
m0_46628950的博客
08-07 1594
token:服务端生成的一串字符串,可以解决频繁登录的问题 它作为客户端进行请求的一个令牌: 第一次登录后,服务器生成一个token返回给客户端; 客户端只需要带上token来请求数据即可,无需再次带上用户名和密码...
使用token登录完整流程前端加后端
weixin_46587302的博客
09-19 3623
完整代码请访问:https://github.com/ziheng42/token-.git效果如下:可以看出在没有登陆之前,点击路由跳转是没有作用的。在点击登录之后,便可以进行路由跳转,相应的本地存储空间,也是有了token的存在。在清除掉token后,路由跳转也是没有了作用。下边我们来一步一步实现。首先搭建项目框架,前端使用vue3,后端使用express。前端项目搭建不再赘述,这里主要说明后端的搭建安装好这些依赖后你的项目目录应该是这样的新建app.js,复制以下代码。
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
Java实现基于token认证的方法示例
08-25
Java实现基于token认证的方法示例 一、 token认证的优势 在介绍 Java 实现基于 token 认证的方法示例之前,我们首先需要了解 token 认证相比传统的 cookie 认证的优势。token 认证有以下几个优势: 1. 支持跨域...
Laravel实现ApiToken认证请求
10-16
今天小编就为大家分享一篇Laravel实现ApiToken认证请求,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
Token详解及安全验证
qq_53058639的博客
03-08 1553
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
全网最强,接口自动化测试-token登录关联实战总结(超详细)
大佬云集技术答疑交流群:743262921(进群暗号:222)
08-07 1604
在PC端登录公司的后台管理系统或在手机上登录某个APP时,经常会发现登录成功后,返回参数中会包含token,它的值为一段较长的字符串,而后续去请求的请求头中都需要带上这个token作为参数,否则就提示需要先登录。什么是tokentoken 由服务端产生,是客户端用于请求的身份令牌。第一次登录成功时,服务端会生成一个包含用户信息的加密字符串token,返回给客户端并保存在本地,后续客户端只需要带上token进行请求即可,无需带上用户名密码。
从入门到精通:Go 实现基于 Token登录流程深度指南
成长之路
02-26 1797
在现代 Web 应用开发中,安全性始终是一个不可忽视的重要议题。随着分布式系统和微服务架构的兴起,传统的基于 Session 的登录机制面临着诸多挑战。本文将带你深入探索基于 Token登录流程,这是一种更为灵活且适用于现代应用架构的认证方式。
SpringBoot集成JWT实现Token登录验证
我爱写代码 我爱写代码 我爱写代码
05-04 979
SpringBoot集成JWT实现Token登录验证
Token登录认证详解
热门推荐
tc979907461的博客
05-25 2万+
参考文章: Token 认证的来龙去脉 前后端分离使用 Token 登录解决方案 理解Cookie和Session机制 基于 Cookie/Session 的认证方案 Cookie Cookie的工作原理 由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是。 cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cooki
登录并进行Token验证
cxdashuaibi的博客
12-22 3371
目录1、登录接口方法login(),其中用到密码工具类PasswordUtils和生成Token的userInfo()方法。1.1 login():1.2 PasswordUtils密码工具类:1.3 userInfo():其中包含JwtUtil工具类的sign()方法和RedisUtil工具类的set()和expire()1.3.1 sign():生成加密Token1.3.2 set()和expire():设置Token换成有效时间方法set()和Redis设置过期时间方法expire()2、Result
springboot token登录认证接口
06-10
可以使用Spring Security来实现Token认证。以下是一个简单的示例: 1. 添加依赖 在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security 在Spring Boot的配置类中,添加以下配置: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService userDetailsService; @Autowired private JwtRequestFilter jwtRequestFilter; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated().and(). exceptionHandling().and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } @Override @Bean public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/v2/api-docs", "/configuration/ui", "/swagger-resources/**", "/configuration/security", "/swagger-ui.html", "/webjars/**", "/api-docs/**"); } } ``` 其中,`MyUserDetailsService`是一个自定义的`UserDetailsService`实现,用于获取用户信息;`JwtRequestFilter`是一个自定义的过滤器,用于解析和验证Token。 3. 实现认证接口 创建一个`AuthenticationController`类,实现登录认证接口: ```java @RestController public class AuthenticationController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private MyUserDetailsService userDetailsService; @PostMapping("/authenticate") public ResponseEntity<?> createAuthenticationToken(@RequestBody AuthenticationRequest authenticationRequest) throws Exception { try { authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword())); } catch (BadCredentialsException e) { throw new Exception("Incorrect username or password", e); } final UserDetails userDetails = userDetailsService.loadUserByUsername(authenticationRequest.getUsername()); final String token = jwtTokenUtil.generateToken(userDetails); return ResponseEntity.ok(new AuthenticationResponse(token)); } } ``` 其中,`AuthenticationRequest`是一个包含用户名和密码的DTO对象;`AuthenticationResponse`是一个包含Token的DTO对象。 4. 实现自定义UserDetailsService 创建一个`MyUserDetailsService`类,实现`UserDetailsService`接口,用于获取用户信息。这里假设用户信息存储在数据库中。 ```java @Service public class MyUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList<>()); } } ``` 5. 实现自定义JwtTokenUtil 创建一个`JwtTokenUtil`类,用于生成和解析Token。这里使用了`io.jsonwebtoken`库来实现。 ```java @Component public class JwtTokenUtil { private static final String SECRET_KEY = "secret"; public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return createToken(claims, userDetails.getUsername()); } private String createToken(Map<String, Object> claims, String subject) { long now = System.currentTimeMillis(); long validity = now + 3600000; return Jwts.builder() .setClaims(claims) .setSubject(subject) .setIssuedAt(new Date(now)) .setExpiration(new Date(validity)) .signWith(SignatureAlgorithm.HS256, SECRET_KEY) .compact(); } public boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } private Date getExpirationDateFromToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getExpiration(); } public String getUsernameFromToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject(); } } ``` 其中,`SECRET_KEY`是用于签名的密钥。 6. 实现自定义JwtRequestFilter 创建一个`JwtRequestFilter`类,继承`OncePerRequestFilter`,用于解析和验证Token。 ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { @Autowired private JwtTokenUtil jwtTokenUtil; @Autowired private MyUserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); username = jwtTokenUtil.getUsernameFromToken(jwt); } if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = this.userDetailsService.loadUserByUsername(username); if (jwtTokenUtil.validateToken(jwt, userDetails)) { UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); usernamePasswordAuthenticationToken .setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken); } } chain.doFilter(request, response); } } ``` 7. 测试接口 使用Postman等工具,向`/authenticate`接口发送POST请求,请求体中包含用户名和密码,如: ```json { "username": "test", "password": "test" } ``` 如果用户名和密码正确,接口将返回一个包含Token的JSON对象,如: ```json { "token": "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0IiwiaWF0IjoxNTYwMzQwNTQ3LCJleHAiOjE1NjAzNDQxNDd9.1x4abT-7TbBw4S7n5fFwKkqYQ8mlmW84v6vKjL_6iQI" } ``` 之后,每次请求需要认证的接口时,需要在请求头中添加`Authorization`字段,值为`Bearer <Token>`,如: ``` Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0IiwiaWF0IjoxNTYwMzQwNTQ3LCJleHAiOjE1NjAzNDQxNDd9.1x4abT-7TbBw4S7n5fFwKkqYQ8mlmW84v6vKjL_6iQI ``` 如果Token有效,接口将返回相应的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值