Token及Token验证流程

最新推荐文章于 2024-05-29 14:58:13 发布
最新推荐文章于 2024-05-29 14:58:13 发布
阅读量1.2w 收藏 54
点赞数 10
分类专栏: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38796823/article/details/88207727
版权

什么是Token?为什么要使用它?

Token实际就是在计算机身份验证中的令牌(临时)的意思。
当前端向后端发起数据请求的时候,后端需要对前端进行身份验证,但是我们又不想每次都输入用户名和密码,这是就需要一个标识来证明自己的身份,这个标识就是token。

基于Token的身份验证流程

  1. 客户端使用用户名和密码请求登录
  2. 服务端收到请求,验证登录是否成功
  3. 验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息
  4. 客户端收到Token后把Token用一种方式存储起来,如( cookie / localstorage / sessionstorage / 其他 )
  5. 客户端每次发起请求时都会将Token发给服务端
  6. 服务端收到请求后,验证Token的合法性,合法就返回客户端所需数据,反之,返回验证失败的信息

Token的特点

• 随机性:每次的token都是不一样的
• 不可预测性:没有规律,无法预测
• 时效性: 可以设置token的有效时间
• 无状态、可扩展:由于只是一个算法,扩展起来非常方便
生成Token的解决方案有许多,常用的一种就是 Json Web Tokens(JWT) .

JWT(Json Web Tokens)

JWT标准的Tokens由三部分组成

  1. header:包含token的类型和加密算法
  2. payload:包含token的内容
  3. signature:通过密钥将前两者加密得到最终的token
    这三部分中间使用 " . " 分隔开,并且都会使用Base64编码方式编码,如下
    eyJhbGc6IkpXVCJ9.eyJpc3MiOiJCIsImVzg5NTU0NDUiLCJuYW1lnVlfQ.SwyHTf8AqKYMAJc

安装jsw模块

cnpm install jsonwebtoken -S
在这里插入图片描述
在js文件中引用jsw模块

var jwt = require("jsonwebtoken");

案例(从登陆到发起第一个ajax请求的过程)

将生成token和验证token进行了封装。(token一般设置为15分钟,超时则需要重新登陆)

  1. 封装好的模块
var jwt = require('jsonwebtoken');
class tokenObj {
    creatToken(cont, time) {
        var content = { msg: cont };
        var secretOrPrivateKey = "blogzl.com";
        var token = jwt.sign(content, secretOrPrivateKey, {
            expiresIn: time
        })
        return token;
    }

    checkToken(token, fn) {
        var secretOrPrivateKey = 'blogzl.com' // 这是加密的key(密钥或私钥)
        jwt.verify(token, secretOrPrivateKey, function (err, decode) {
            if (err) {
                console.log(err);
                fn(false);
            } else {
                console.log(decode.msg);
                fn(true);
            }
        })
    }
}
  1. 登陆前端代码
<body>
    用户名:<input type="text" name="username" value="张三">
    密码:<input type="password" name="password" value="1234">
    <button type="button" id="login">登陆</button>
    <script src="./js/jquery-3.3.1.js"></script>
    <script>
        $(function () {
            var url = localStorage.getItem("url")

            $("#login").on("click", function () {
                var username = $('input:text').val();
                var password = $('input:password').val();
                var data = {
                    username: username,
                    password: password
                }
                $.post(url + "/login", data, function (d) {
                    if (d.length > 0) {
                        alert('登陆成功');
                        // location.href = './index.html'
                        console.log(d)
                        console.log(JSON.parse(d))
                        var dObj = JSON.parse(d);
                        var token = dObj.token;
                        sessionStorage.setItem('token', token);
                        location.href = './index.html'
                    }
                })
            })
        })
    </script>
</body>
  1. 登陆后端代码
// 登陆
app.post("/login", function (req, res) {
    var v = req.body;
    var connection = getDBcon();
    var sql = "SELECT * FROM users WHERE username=? AND password=?";
    console.log(v)
    connection.query(sql, [v.username, v.password], function (err, result) {
        if (err) {
            res.send(err);
            return;
        } else {
            var resObj = {};
            if (result.length > 0) {
                //查询到了数据,生成token
                var myToken = new tokenObj();
                var tokenv = myToken.creatToken('hello1', 60 * 15);
                resObj.msg = '登陆成功';
                resObj.token = tokenv;
                res.send(JSON.stringify(resObj))
            } else {
                resObj.msg = '登陆失败';
                res.send(resObj)
            }
        }
        connection.end();
    })
})
  1. 登陆成功后,前端发起的第一个ajax请求(添加)
<body>
    <span>返回首页</span>
    <div class="main">
        <h1>增加客户</h1>
        <div>
            <div>
                <label for="">客户名:</label><input type="text" name="username" id="username"><br>
            </div>
            <div>
                <label for="">性别:</label><input type="text" name="sex" id="sex"><br>
            </div>
            <div>
                <label for="">电话:</label><input type="text" name="tell" id="tell"><br>
            </div>
            <div>
                <label for="">住址:</label><input type="text" name="address" id="address"><br>
            </div>

        </div>
        <button type="button" id="add">添加</button>
    </div>
    <script src="../js/jquery-3.3.1.js"></script>
    <script>
        $(function () {
            var url = localStorage.getItem("url");

            $('#add').on('click', function () {
                var username = $('#username').val();
                var sex = $('#sex').val();
                var tell = $('#tell').val();
                var address = $('#address').val();
                var token = sessionStorage.token;
                console.log(token)
                var dataobj = {
                    username: username,
                    sex: sex,
                    tell: tell,
                    address: address,
                    token: token
                }
                $.post(url + '/add', dataobj, function (data) {
                    var data = JSON.parse(data);
                    alert(data.msg)
                    var tokenv = data.token;
                    sessionStorage.setItem('token', tokenv);
                })
            })
        })
    </script>
</body>
  1. 后端接收到前端的add请求后的处理流程
// 添加
app.post("/add", function (req, res) {
    var v = req.body;
    //前端传过来的token
    var token = v.token;
    // 验证前端传过来的token
    var myToken = new tokenObj();
    myToken.checkToken(token, function (bo) {
        if (bo) {
            //token验证成功
            var connection = getDBcon();
            var sql = "INSERT INTO customer(username,sex,tell,address) VALUES(?,?,?,?)";
            connection.query(sql, [v.username, v.sex, Number(v.tell), v.address], function (err, result) {
                var resobj = {};
                if (err) {
                    res.send(err);
                    return;
                } else {
                    var myToken = new tokenObj();
                    var tokenv = myToken.creatToken('hello2', 60 * 15);
                    resobj.msg = '添加成功';
                    resobj.token = tokenv;
                    resobj.result = result;
                    res.send(JSON.stringify(resobj))
                }
                connection.end()
            })
        } else {
            //token验证失败
            var resobj = {};
            resobj.msg = 'token验证失败,请重新登陆';
            res.send(JSON.stringify(resobj))
        }
    })
})
小宇宙chris_310
关注
  • 10
    点赞
  • 54
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
深入理解 Token:生成和校验过程详解
weixin_42279822的博客
03-21 4998
标题:深入理解 Token:生成和校验过程详解在网络应用中,Token 是一种常见的身份验证和授权机制,它通过加密技术来确保通信的安全性和用户身份的合法性。在本文中,我们将深入探讨 Token 的生成和校验过程,并提供详细的示例来帮助读者更好地理解。
Token详解及安全验证
qq_53058639的博客
03-08 1677
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
最新发布
贝格前端工场的博客
05-29 1339
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web Token(JWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
Token 校验机制
subsistent的博客
01-11 758
Token 校验机制
如何对token进行验证
V_Chicken的博客
11-04 1190
返回给前端token会被设置在localStroge或者sessionStroge,再或者cookie中,前端会根据js获取游览器存储的token,然后放置在头部 参数里面发送请求,web应用会根据传进来的url进行拦截,然后获取里面的token,并对token进行解析获取过期时间,比较时间,如果刚好在时间之内,则放行,如果短期token过期,利用长期token进行刷新,然后放行,如果双token都已经过期,就返回登录页面,重新登录。 ...
token验证流程
ape_dream的博客
12-26 509
1.客户端使用用户名和密码请求登陆 2.服务端受到请求后,去验证用户名和密码 3.验证成功后,服务端会签发一个token在把这个token发送给客户端 4.客户端收到token以后可以把它储存起来,放到cookie,localstorage,session中 5.客户端每次向服务端请求资源的时候需要带着服务端签发的token 6.客服端收到请求,然后去验证客户端请求里的token,如果验证客户端请...
appkey 和 secret key & token
热门推荐
xiaofei0859的专栏
03-07 3万+
appkey 和 secret key相当于当前账户的另外一套账号和密码机制. 当然, 仅仅是在API调用的范围内适用. 1.生成方式可以自己定义, appkey保证不重复就行. secret key保证不容易被穷举, 生成算法也不能被轻易猜到. salt是一个不错的方式. 2.我们假定 appkey = 'AK' secret key = 'BK' 当前时间为 'T' 随机值 'R'我们需要
JWT Token生成及验证
07-16
9. **OAuth 2.0与JWT**:OAuth 2.0是一种授权框架,JWT可作为访问令牌(Access Token)在OAuth流程中使用,提供安全的资源访问权限。 10. **JWT的扩展性**:JWT支持自定义声明,这使得它可以适应各种应用场景,如...
token的两种验证方式
05-17
2. 验证流程:当请求到达时,中间件首先读取请求头中的Token,然后通过某种方式(如调用JWT库或API)验证Token的有效性。如果验证成功,中间件会将用户信息存储在请求上下文中,以便后续路由可以访问;如果失败,...
SpringBoot集成JWT实现token验证流程
10-15
标题中的“SpringBoot集成JWT实现token验证流程”是指在SpringBoot应用中使用JWT(Json Web Token)技术来实现用户身份验证过程。JWT是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式来安全地在各...
基于Token的身份验证的方法
10-18
Token验证的一个常见标准是JSON Web Token (JWT)。JWT由三部分组成:Header、Payload和Signature,用点分隔并Base64编码。Header通常包含Token的类型(JWT)和使用的签名算法(如HS256)。Payload包含了Token的具体...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
1. **C#中的Token验证**: - ASP.NET Core Identity:这是.NET框架提供的一个身份管理库,支持用户注册、登录、密码重置等功能,并可以生成基于Cookie的认证令牌。 - JWT:JWT是一种轻量级的身份验证协议,它允许...
Vue项目中用户登录及token验证流程
dd602350527的博客
06-15 2920
在前后端完全分离的情况下,Vue项目中实现token验证大致思路如下: 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页面 5、每次调后端接口,都要在请求头中加token 6、后端判断请求头中有无token
token登陆流程
wulong710的专栏
12-18 2099
画个plantuml时序图 @startuml participant Front participant Server participant DB Front -&gt; Server : username + password activate Server Server -&gt; Server :校验账号密码是否有效 activate Server ...
token的使用流程以及 JWT构成和构建
helloWorld231a的博客
05-07 323
3.JWT的构成 JWT是由三部分构成,将这三段信息文本用链接构成了JWT字符串,    header + payload +secret = 加密的字符串 1.header 头部 2.payload 负载-------写相关的信息   {     user:"签发者",     exp:"token过期时间"//必须大于签发时间   } 3.secret 密钥------用来进行jwt的签发和jwt的验证,它就是你服务端的私钥,在任何场景都不应该流露出去实际的 JWT 大概就像.
应用Token流程和作用
neu_zhsh的博客
06-16 2662
应用程序Token的联系 android系统中,Binder有两个重要的用途: 获取Binder地址,进行跨进程调用; 在多个进程中标识身份,确保调用安全。 android中Token就是以Binder的身份出现,主要进行身份的标识,验证。 步骤一 当桌面点击图标,启动一个普通的应用程序的时候。框架AMS解析传入的intent,生成了ActivityRecord对象。 步骤二
26.gateway的IP 认证拦截,gateway做token验证 流程图(springcloud)
weixin_59334478的博客
11-15 2977
一般把token放在请求头里面,请求头里面是key-value结构,key统一设置成Authorization value统一设置成 bearer token。1.拿到请求的url。5.在redis中校验。
接口测试中的Token鉴权(Postman中Token的获取和引用)
weixin_44901808的博客
08-25 1万+
Token的获取和引用
系统登陆验证过程验证token是否合理)
m0_57037182的博客
03-17 1695
现在我主要介绍一下,用户后台登陆系统之后,使用token来校验用户是否合法,使用户信息保持正确。相关代码我已放入下面,有需要的朋友即可尝试一下。 1.首先看到web.xml <!--配置,解决请求乱码问题--> <filter> <filter-name>CharacterEncodingFilter</filter-name> <filter-class>org.springfram...
token验证流程
03-30
Token验证是一种强化的身份验证方法,通过两种不同的Token(例如硬件设备和移动应用程序)和三种验证因素(例如密码、指纹和面部识别)来验证用户身份。其流程如下: 1. 用户输入用户名和密码,这是第一种验证因素。 2. 系统生成一个随机的Token(例如USB设备或移动应用程序)并将其发送给用户。 3. 用户使用第二种验证因素(例如指纹或面部识别)验证自己的身份,并将Token连接到计算机或移动设备。 4. 计算机或移动设备使用第三种验证因素(例如密码或生物识别)验证Token的身份。 5. 如果所有验证因素都通过,则用户被授权访问系统。 总体而言,双Token验证提供了更高的安全性和保护,因为它需要用户提供多个因素来验证其身份。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值