Token生成和使用

最新推荐文章于 2024-09-27 16:21:29 发布
最新推荐文章于 2024-09-27 16:21:29 发布
阅读量8.2k 收藏 9
点赞数 1
分类专栏: java后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35334804/article/details/80881233
版权

Token的组成header.poyload.sign

header:头部,包括参数类型(JWT),签名算法(HS256);

poyload:负荷,存放信息(信息容易暴漏,不应该在载荷里面加敏感数据);

sign:签名,Hs256(header(base64)+poyload(base64))加密;

token生成方式两种  *不借助第三方jar,自己生成token;

                 *借助第三方jar传入需要得负荷信息,生成token;

1>自己生成token;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;
public class HS256 {
public static String returnSign(String message) {
	String hash = "";
	//别人篡改数据,但是签名的密匙是在服务器存储,密匙不同,生成的sign也不同。
	//所以根据sign的不同就可以知道是否篡改了数据。
	String secret = "mystar";//密匙
	try {
		Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
		SecretKeySpec secret_key = new SecretKeySpec(secret.getBytes(),"HmacSHA256");
		sha256_HMAC.init(secret_key);
		hash = Base64.encodeBase64String(sha256_HMAC.doFinal(message.getBytes()));
		System.out.println(message+"#####"+hash);
	} catch (Exception e) {
		System.out.println("Error");
	}
		return hash;
	}
	}

 

 

 

这样token的三部分就生成了,然后当做参数传到前台,用cookie存储就可以在同一客户端调用了。

当从客户端带过来token参数的时候,直接对头部和负荷再次调用加密算法,看生成的新的签名和之前的签名是否一致,

判断数据是否被篡改。

2>

借用第三方的jar(jjwt-0.9.0.jar)生成token;

 
token负荷参数:负荷参数:
public class JwtToken {

    private String userId;
	private String userName;
	private String uuid = UUID.randomUUID().toString();
}

//token容器

public class TokenContainer {

	//存储token
	private ConcurrentHashMap<String, String> tokenMap = new ConcurrentHashMap<String, String>();
	
	public void addToken(String token,String userId){
		tokenMap.put(userId, token);
	}
	
	public ConcurrentHashMap<String,String> getTokenMap(){
		return tokenMap;
	}
	
	private TokenContainer(){
		
	}
	
	public static TokenContainer newInstance(){
		return Builder.iContainer;
	}
	
	private static class Builder{
		private static TokenContainer iContainer = new TokenContainer();
	}
}
TokenContainer {

	//存储token
	private ConcurrentHashMap<String, String> tokenMap = new ConcurrentHashMap<String, String>();
	
	public void addToken(String token,String userId){
		tokenMap.put(userId, token);
	}
	
	public ConcurrentHashMap<String,String> getTokenMap(){
		return tokenMap;
	}
	
	private TokenContainer(){
		
	}
	
	public static TokenContainer newInstance(){
		return Builder.iContainer;
	}
	
	private static class Builder{
		private static TokenContainer iContainer = new TokenContainer();
	}
}

 

 

	// 使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
	public static String createJavaWebToken(JwtToken token) {
		Calendar calendar = Calendar.getInstance();
		calendar.add(Calendar.DATE, 3);// 过期时间3天
		Map<String, Object> claims = new HashMap<String, Object>();
		claims.put("userId", token.getUserId());
		claims.put("uuid", token.getUuid());
		String tokenStr = Jwts.builder().setClaims(claims).setExpiration(
				calendar.getTime()).// 设置过期时间
				signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact();
		TokenContainer.newInstance().addToken(tokenStr, token.getUserId());
		return tokenStr;
	}// 使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
	public static String createJavaWebToken(JwtToken token) {
		Calendar calendar = Calendar.getInstance();
		calendar.add(Calendar.DATE, 3);// 过期时间3天
		Map<String, Object> claims = new HashMap<String, Object>();
		claims.put("userId", token.getUserId());
		claims.put("uuid", token.getUuid());
		String tokenStr = Jwts.builder().setClaims(claims).setExpiration(
				calendar.getTime()).// 设置过期时间
				signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact();
		TokenContainer.newInstance().addToken(tokenStr, token.getUserId());
		return tokenStr;
	}

 

认证token:

// 该方法使用HS256算法和Secret:keyStr生成signKey
	private static Key getKeyInstance() {
		SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
		byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(keyStr);//keyStr = "lyf@we%sd(888)"
		Key signingKey = new SecretKeySpec(apiKeySecretBytes,
				signatureAlgorithm.getJcaName());
		return signingKey;
	}
	private static Key getKeyInstance() {
		SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
		byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(keyStr);//keyStr = "lyf@we%sd(888)"
		Key signingKey = new SecretKeySpec(apiKeySecretBytes,
				signatureAlgorithm.getJcaName());
		return signingKey;
	}
// 解析Token,同时也能验证Token,当验证失败返回null
	public static JwtToken parserJavaWebToken(String jwt) {
		try {
			JwtToken jsJwtToken = null;
			Map<String, Object> jwtClaims = Jwts.parser().setSigningKey(
					getKeyInstance()).parseClaimsJws(jwt).getBody();//密钥
			if (null != jwtClaims) {
				jsJwtToken = new JwtToken();
				jsJwtToken.setUserId(jwtClaims.get("userId").toString());
			}
			return jsJwtToken;
		} catch (Exception e) {
			return null;
		}
	}
	public static JwtToken parserJavaWebToken(String jwt) {
		try {
			JwtToken jsJwtToken = null;
			Map<String, Object> jwtClaims = Jwts.parser().setSigningKey(
					getKeyInstance()).parseClaimsJws(jwt).getBody();//密钥
			if (null != jwtClaims) {
				jsJwtToken = new JwtToken();
				jsJwtToken.setUserId(jwtClaims.get("userId").toString());
			}
			return jsJwtToken;
		} catch (Exception e) {
			return null;
		}
	}

最后调用parserJavaWebToken验证token是否存在;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

刘小猿
关注
专栏目录
jjwt-0.9.1.jar中文-英文对照文档.zip
03-06
注:下文中的 *** 代表文件名中的组件名称。 # 包含: 中文-英文对照文档:【***-javadoc-API文档-中文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【***.jar Maven依赖信息(可用于项目pom.xml).txt】 Gradle依赖:【***.jar Gradle依赖信息(可用于项目build.gradle).txt】 源代码下载地址:【***-sources.jar下载地址(官方地址+国内镜像地址).txt】 # 本文件关键字: 中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压 【***.jar中文文档.zip】,再解压其中的 【***-javadoc-API文档-中文(简体)版.zip】,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·本文档为双语同时展示,一行原文、一行译文,可逐行对照,避免了原文/译文来回切换的麻烦; ·有原文可参照,不再担心翻译偏差误导; ·边学技术、边学英语。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
JWT 验证之 SignatureAlgorithm.HS256 报错问题解决方案
热门推荐
qq_33695124的博客
07-10 1万+
// 使用SHA256withDSA加密算法 SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; 缺包的情况下使用快捷键导入的包会解决SignatureAlgorithm 的错误,但是import导入的包是没有 .HS256 的,会报错; 所以需要在pom文件导入下面的jar包,这个是 SignatureAlgorithm.HS256 加密 用到的,当然里面还有很多其他的加密方式,都在下面的jar包里面 <de..
token的用法(生成和验证)
最新发布
weixin_45582252的博客
09-27 1217
首先我们先来看一下图中显示的token,相信很多朋友都听说过token这种东西,但是没有深入了解过这些东西,下面让我浅显的介绍一下。首先,Token(令牌)是一个广泛使用的概念,尤其在计算机科学和网络安全领域。它的具体含义和用途可能会根据上下文有所不同。
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 1015
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
通过获取accessToken参数实现Nacos身份认证绕过
m0_62151449的博客
05-06 1588
本文对Nacos 身份认证绕过漏洞(QVD-2023-6271)进行了复测验证
什么是token及怎样生成token
daobuxinzi的博客
02-08 1万+
什么是token   Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。   基于 Token 的身份验证 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户
JWT Token生成及验证
07-16
在C#中实现JWT Token生成和验证,主要涉及到以下几个关键知识点: 1. **JWT结构**:每个JWT由三个部分组成,用`.`分隔,分别是Header(头部)、Payload(载荷)和Signature(签名)。头部通常包含令牌类型(`typ`...
Android token生成和上传
11-18
例如,可以使用`QiniuAuth`类的`uploadToken()`方法来生成Token,该方法需要输入你的Access Key、Secret Key和上传策略对象。 ```java QiniuConfig.setZone(Zone.zone0()); // 设置区域,根据实际情况选择 Auth ...
PHP token验证生成原理实例分析
10-16
在提供的代码示例中,`makeToken`函数就实现了这个功能,它使用了`md5`和`sha1`两个哈希函数,以及当前时间戳的子串,生成了一个难以预测的Token。 ```php function makeToken($key){ return $token = md5($key....
Token生成规则以及工具相关代码
06-26
文章链接中的"Token生成规则以及工具"可能涉及如何使用特定编程语言(如Java或Python)实现Token生成和验证,以及如何配置和使用相关的库或框架。例如,对于JWT,可能使用了如`jjwt`(Java JWT)这样的库来创建和...
Alibaba Nacos JWT令牌使用默认密钥浅析
lwwzyy
03-18 6520
Nacos服务管理平台因默认密钥导致的认证绕过漏洞。在默认配置为未修改的情况下,攻击者可以构造用户 token 进入后台,导致系统被攻击与控制。许多Nacos 用户只开启了鉴权,但没有修改默认密钥,导致Nacos系统仍存在被入侵的风险。
Nacos-默认token.secret.key-配置不当权限绕过漏洞复现
y995zq的博客
04-12 3970
使用JWT时,通常需要使用密钥对token进行签名,确保token在传输过程中不被篡改。,开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。在构造时要注意下时间戳,需要换算一下,比你系统时间要晚一些,比如当前时间时2024年4月12日,在时间戳时间时13日。在登录请求中,拦截数据包,添加Authorization信息,拦截放回包后放包。访问两个网站,一个是时间戳网站,一个是JWT的。
Nacos 默认 secret.key 配置不当权限绕过漏洞复现
qq_27536045的博客
03-22 5062
Nacos 身份认证绕过漏洞(QVD-2023-6271),开源服务管理平台 Nacos在默认配置下未对 token.secret.key 进行修改,导致远程攻击者可以绕过密钥认证进入后台,造成系统受控等后果。
生成jwt时使用签名算法生成签名部分
Tiger_Paul的博客
06-01 1168
生成jwt时使用签名算法生成签名部分:(1)基于HS256签名算法 (2)基于RS256签名算法
Java实现Token生成与验证
qq_38410963的博客
02-15 6610
二、基于JWT的token认证实现 JWT:JSON Web Token,其实token就是一段字符串,由三部分组成:Header,Payload,Signature 1、引入依赖 <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.2</version> <
M0(日常)-02-使用JJWT实现JWT中“SignatureAlgorithm.HS256”爆红
FROZENcj的博客
01-27 3000
使用JJWT实现JWT中“SignatureAlgorithm.HS256”爆红
token令牌常用的四种加密方式
**kwargs的博客
02-10 1万+
1,base64 ‘防君子不防小人’ 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3V...
SpringSecurity设置JWT token令牌,权限控制
m0_52149675的博客
03-15 1326
SpringSecurity设置JWT token令牌,权限控制
Spring Cloud笔记-Spring Cloud Alibaba Nacos服务注册和配置中心(十八)
王劭阳的博客
06-29 2414
1.Nacos简介 Nacos命名的前四个字母分别取自Naming(服务注册,即服务命名管理)和Configuration(服务配置)的前两个字母,s取自Service,也就是服务的意思。它是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 简单一句话:Nacos=注册中心+配置中心=Eureka+Config+Bus。 Nacos官网地址:https://nacos.io/zh-cn/,可以在这里下载和查阅官方文档。 各种服务注册中心的比较 服务注册与服务发现框架 CAP模
java token生成和验证
04-29
Java是一种广泛使用的高级编程语言,其中token生成和验证是其中一个常见的任务。Token是在身份验证和安全方面经常使用的令牌,它是一种内置的安全机制,用于验证和授权用户的身份。以下是java中token生成和验证的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值