Token

最新推荐文章于 2024-06-14 12:04:54 发布
最新推荐文章于 2024-06-14 12:04:54 发布
阅读量4.1k 收藏 31
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40266238/article/details/84313357
版权

1.Token是什么

Token是一个字符串,是一段根据特殊规则生成的唯一的、保存在缓存服务器(如Redis)中的key,这个key对应的value是用户账户数据。每个用户登录后,服务器生成一个类似Token并缓存,之后用户每次请求中都要带上这个Token,以便实现类似于HTTP Session的会话跟踪。

2.为什么要用Token

随着近几年上网设备的多样化,软件项目的UI层不仅仅再是窗体、html、还有iOS、安卓app,因此基于Servlet的HTTP Session也就不再适用,因为可能没有浏览器和html页面,也没有cookie了。这种情况下、就需要Token技术来完成用户的跟踪,使得一个账户可以从html登录,也可以从手机app登其它客户端登录。

3.Token如何生成

每个HTTP数据包括两大主要部分,头部字段和消息体,Header是对一个HTTP数据包的描述信息,一般有多个字段和值。为了对不同客户端的Token区别对待,生成Token时需要判断客户端类型,拼接不同前缀。为了保证Token的唯一性和保密性,生成Token时还要拼接用户名+ID+日期时间+6位密码(盐,salt根据客户端信息生成);代码如下

    /**
     * 为了保证Token的唯一性和保密性,生成Token时还要拼接用户名(加密)+ID+日期时间+6位密码(盐,salt根据客户端信息生成);
     * @param agent
     * @param user
     * @return null
     */
    @Override
    public String generateToKen(String agent, ItripUser user) {
        try {//UserAgentUtil可检测客户端类型,因为要根据客户端的类型生成不同的token
            UserAgentInfo userAgentInfo = UserAgentUtil.getUasParser().parse(agent);
            StringBuilder sb = new StringBuilder();
            sb.append(tokenPrefix);
            if(userAgentInfo.getDeviceType().equals(UserAgentInfo.UNKNOWN)){//未知客户端类型
                if(UserAgentUtil.CheckAgent(agent)){
                    sb.append("MOBILE-");//如果包含移动设备的关键字,拼接移动设备的Token前缀
                }else {
                    sb.append("PC-");//拼接PC的Token前缀
                }
            }else if(userAgentInfo.getDeviceType().equals("Personal computer")){
                sb.append("PC-");//如果很明显是PC类型,拼接PC的TOken的前缀
            }else{
                sb.append("MOBILE-");//拼接移动设备的Token前缀
            }
            sb.append(MD5.getMd5(user.getUserCode(),32) + "-");//拼接加密用户名称
            sb.append(user.getId() + "-");//拼接user id及日期
            sb.append(new SimpleDateFormat("yyyyMMddHHmmss").format(new Date()) + "-");
            sb.append(MD5.getMd5(agent,6));//在拼接6个字符的密码
            return sb.toString();
        }catch (IOException e){
            e.printStackTrace();
        }
        return null;
    }

4.Token登录与退出

登录业务方法

    /**
     * 登录
     * @return 登录成功的user对象,失败返回null
     * @throws Exception
     */
    @Override
    public ItripUser login(String name, String password) throws Exception {
        ItripUser user = this.findByUsername(name);
        if(null != user&&user.getUserPassword().equals(password)){
            if(user.getActivated() != 1){
                throw new UserLoginFailedException("用户未激活");
            }
            return user;
        }
        return null;
    }

保存Token到Redis缓存

    /**
     * TokenServiceImpl中,保存Token到Redis缓存服务器
     * @param token
     * @param user
     */
    @Override
    public void save(String token, ItripUser user) {
        if(token.startsWith(tokenPrefix+"PC-")){
            //如果客户端是PC,Token有过期时间
            redisAPI.set(token,expire, JSON.toJSONString(user));
        }else {
            //客户端是手机,Token永不过期
            redisAPI.set(token,JSON.toJSONString(user));
        }
    }

登录方法接收前端请求

  /**
     * 登陆方法接收前端请求
     * @param name
     * @param password
     * @param request
     * @return
     */
    @RequestMapping(value = "/dologin",method = RequestMethod.POST,produces = "application/json")
    @ResponseBody
    public Dto dologin(@RequestParam String name, @RequestParam String password,
                       HttpServletRequest request){
        if(!EmptyUtils.isEmpty(name) && !EmptyUtils.isEmpty(password)){
            ItripUser user = null;
            try {   //调用service进行登录
                user = userService.login(name.trim(),MD5.getMd5(password.trim(),32));
            }catch (UserLoginFailedException e){//返回登录失败错误
                return DtoUtil.returnFail(e.getMessage(),ErrorCode.AUTH_AUTHENTICATION_FAILED);
            }catch (Exception e){
                e.printStackTrace();
                return DtoUtil.returnFail(e.getMessage(),ErrorCode.AUTH_UNKNOWN);//返回未知错误
            }
            if(EmptyUtils.isNotEmpty(user)){//如果用户不为空,表示登录成功
                String token = tokenService.generateToKen(
                        request.getHeader("user-agent"),user);//调用service生成Token
                tokenService.save(token,user);//保存token到redis缓存
                //计算token过期时间毫秒数,为系统当前事件毫秒数+7200s*1000毫秒/s,即2小时
                long timeout = Calendar.getInstance().getTimeInMillis()+ToKenService.SESSION_TIMEOUT*1000;
                //创建要返回的ItripTokenVO
                ItripTokenVO tokenVO = new ItripTokenVO(token,timeout,Calendar.getInstance().getTimeInMillis());
                //tokenVo转为JSON并响应给客户端
                return DtoUtil.returnDataSuccess(tokenVO);
            }else{
                return DtoUtil.returnFail("用户名密码错误",ErrorCode.AUTH_AUTHENTICATION_FAILED);
            }
        }else{
            return DtoUtil.returnFail("参数错误!检查提交的参数名是否正确。",ErrorCode.AUTH_PARAMETER_ERROR);
        }
    }

验证token

    /**
     * 验证token是否有效:1.token在redis中是否存在;2.token是否过期
     */
    @Override
    public boolean validate(String agent, String token) {
        boolean tokenValid = false; //该变量表示token是否有效
        if(!redisAPI.exist(token)){ //如果token在redis不存在
            return tokenValid;      //返回false
        }
        try {
            String [] tokenDatails = token.split("-");//按-分割token字符串
            SimpleDateFormat formatter = new SimpleDateFormat("yyyyMMddHHmmss");
            Date TokenGenTime = formatter.parse(tokenDatails[3]);//还原token生成时间
            long passed = Calendar.getInstance().getTimeInMillis() - TokenGenTime.getTime();//计算token已生成多久时间(毫秒数)
            if(passed > this.SESSION_TIMEOUT * 1000){//如果token已经过期
                return tokenValid; //返回false
            }
            String agentMD5 = tokenDatails[4];
            if(MD5.getMd5(agent,6).equals(agentMD5)){   //验证token的6位密码                 
                tokenValid = true;//如果token中的密码也一致,token有效
            }
        }catch (ParseException e){
            e.printStackTrace();
        }
        return tokenValid;
    }

删除Token

    /**
     * 从redis删除token(key)和用户信息(value)
     * @param token
     */
    @Override
    public void delete(String token) {
        if(redisAPI.exist(token)){
            redisAPI.delete(token);
        }
    }

退出登录方法

    @RequestMapping(value = "/logout",method = RequestMethod.GET,produces = "application/json",headers = "token")
    @ResponseBody
    public Dto logout(HttpServletRequest request){
        //从请求的Header中获取token
        String token = request.getHeader("token");
        //删除token和信息
        try {
            //验证Redis中是否有该token(且没有过期)
            if(!tokenService.validate(request.getHeader("user-agent"),token)) {
                return DtoUtil.returnFail("token无效", ErrorCode.AUTH_TOKEN_INVALID);
            }else{
                tokenService.delete(token);//从Redis删除
                return DtoUtil.returnSuccess("注销成功!");
            }
        } catch (Exception e) {
            e.printStackTrace();
            return DtoUtil.returnFail("注销失败!", ErrorCode.AUTH_UNKNOWN);
        }
    }

 

jyqszz
关注
  • 0
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端提交token时会在前面加个固定的前缀
zollty的专栏
12-31 2671
视为token的一部分,无法正常读取token信息,导致鉴权失败。此时 Sa-Token 便可在读取 Token 时裁剪掉。此时后端如果不做任何特殊处理,框架将会把。properties 风格。复制到剪贴板错误复制成功。复制到剪贴板错误复制成功。
基于SpringBoot的会员制医疗预约服务管理信息系统
weixin_52721608的博客
11-28 936
会员制医疗预约服务管理信息系统是针对会员制医疗预约服务管理方面必不可少的一个部分。在会员制医疗预约服务管理的整个过程中,会员制医疗预约服务管理系统担负着最重要的角色。为满足如今日益复杂的管理需求,各类的管理系统也在不断改进。本课题所设计的是会员制医疗预约服务管理信息系统,使用java进行开发,它的优点代码不能从浏览器查看,保密性非常好,比其他的系统更具安全性。java还容易修改和调试,毕竟社会是在不断发展过程中难免有更多需求,这点很重要。而且,本系统除了有对会员制医疗预约服务。
如何计算 GPT 的 Tokens 数量?
python1222_的博客
06-14 1135
随着人工智能大模型技术的迅速发展,一种创新的计费模式正在逐渐普及,即以“令牌”(Token)作为衡量使用成本的单位。那么,究竟什么是Token呢?Token 是一种将自然语言文本转化为计算机可以理解的形式——词向量的手段。这个转化过程涉及对文本进行分词处理,将每个单词、汉字或字符转换为唯一的词向量表示。通过计算这些词向量在模型中的使用次数,服务提供商就能够量化用户所消耗的计算资源,并据此收取费用。需要注意的是,不同的厂商可能采用不同的方式来定义和计算 Token
token详解
qq_52758588的博客
04-07 2746
token详解
Session、Cookie和Token介绍
测试开发小记
04-15 530
目录session认证session认证过程cookie与session的区别Token认证Token认证过程session与token的区别keep-alive HTTP是一个无状态的面向连接的协议,服务器不知道客户端的状态,比如使用用户名密码认证成功后,在下一次的请求中,服务器不知道用户是谁,如果需要后续服务,需要进行重新认证。然而,在某些场景,我们需要保存某些状态,比如在购物网站进行商品购买时,在某个域名下浏览多个网页,选择多个商品,这种情况下需要保存已加入购物车的商品信息,在需要支付时,也要保存用户
Spring Boot 集成 JWT 实现登录授权
LEEMER
05-20 2521
使用步骤如下: 1. 添加Gradle依赖: dependencies { implementation 'com.auth0:java-jwt:3.3.0' implementation('org.springframework.boot:spring-boot-starter-aop') } 2. 登录检验时,使用JWT生成Token令牌(我这里登录用户名是email)...
什么是token以及token的原理
mist_02的博客
10-08 3696
什么是tokentoken简单来说就相当于个人信息(通常称为令牌) token的原理 用户在输入用户名和密码会提交给服务器,服务器会根据这次请求判断是否存在,如果存在会返回客户端一个token,客户端会存下这个token,之后请求都会携带这个token进行操作。 ...
基于acess_token和refresh_token实现token续签
03-19
在这个场景下,“基于acess_token和refresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
sa-token封装了一下
03-15
【标题】:“sa-token封装了一下” “sa-token封装了一下”这个标题表明了这是一个关于sa-token的讨论,sa-token是一个轻量级的Java权限认证框架,主要用于解决权限认证和授权问题。这里的“封装了一下”可能意味着...
onenet MQTT Token计算工具
09-30
【OneNet MQTT Token计算工具详解】 OneNet MQTT Token计算工具是一款专为物联网(IoT)开发者设计的应用,用于生成在使用OneNet MQTT协议时所需的Token。OneNet是中国移动物联网开放平台提供的一种通信协议,它基于...
java token验证和注解方式放行
08-28
"java token验证和注解方式放行"的主题涉及了两个关键概念:Token验证和基于注解的权限管理。Token通常用于验证用户身份,防止未授权的访问。下面我们将深入探讨这两个主题。 首先,Token验证是一种常见的身份验证...
token的详解
热门推荐
zheng_qq的博客
09-19 1万+
123123132
token的三点注意项
weixin_30653023的博客
02-06 298
token的安全是极度重要的 1:token的唯一性, 它代表着来自某应用系统用户的一次成功登录。我们可以利用java util包工具直接生成一个32位唯一字符串来实现。 String token = UUID.randomUUID().toString(); 同时,我们定义一个javabean, TokenInfo 来承载token所表示的具体内容,即某个应用系统来的某个用户本次通过了认...
关于token,它到底是个啥?
qq_52006046的博客
11-20 3780
2.token是什么 : 身份令牌,相当于是用户一种身份认证令牌。类似于古代的腰牌,现代的工牌。见到这个牌子,服务器才知道你是自己人,才会把数据响应给你。jwt全称JSON WEB Token:它是一个后端加密并转换生成的一个字符串, 里面存储着本次登录的用户相关信息 (需要登录, 输入正确的账号和密码 换取)
SpringBoot使用防重Token令牌实现简单的接口幂等
qinxun2008081的博客
01-10 447
SpringBoot使用防重Token令牌实现简单的接口幂等
基于java+springboot+mybatis+vue+elementui的在线水果销售商城网站
qq_3306428634的博客
08-21 601
用户端: - 登录注册 - 首页浏览 - 商品信息 - 发表评论 - 分类筛选 - 商品查询 - 商品资讯 - 在线客服 - 加入购物车 - 商品收藏 - 提交订单 - 地址管理 - 个人中心 - 收藏管理 - 订单管理 - 退出登录 管理员端: - 系统登录 - 个人中心 - 用户管理 - 商品分类管理 - 商品信息管理 - 订单评价管理 - 订单管理 - 系统管理(轮播图管理、商品资讯管理、在线客服管理) - 退出登录
Json Web Token介绍与基本使用
Jitwxs
05-03 8450
一、Session与JWT 1.1 传统Cookie+Session Cookie+Session的存在主要是为了解决HTTP这一无状态协议下服务器如何识别用户的问题。 其原理就是在用户登录通过验证后,服务端将数据加密后保存到客户端浏览器的Cookie中,同时服务器保留相对应的Session。用户之后发起的请求都会携带Cookie信息,服务端需要根据Cookie寻回对应的Session,...
zabbix token
最新发布
07-05
Zabbix是一款开源的企业级监控系统,它提供了一种安全机制来管理用户访问权限和数据传输。Zabbix Token是一种临时的安全令牌,用于验证API请求。当你需要访问Zabbix Web API执行某些操作(如添加监控项、获取数据等)但不希望在登录凭据中直接包含密码时,可以创建一个Token。 1. **生成Token**:通常在Zabbix的Web界面上,管理员可以在“用户”或“授权规则”部分为某个用户生成一个具有特定权限的Token。这个Token的有效期可以自定义,过期后就需要重新生成。 2. **API调用**:在发送API请求时,将Token作为查询参数或HTTP头的一部分附带,而不是用户名和密码。这样可以增加安全性,因为即使Token被盗,攻击者也无法持久地访问系统,直到Token失效或被撤销。 3. **注意事项**:尽管Token增加了安全性,但仍需谨慎处理,因为它包含了足够的权限来操作Zabbix服务器。一旦丢失或泄漏,应立即更改用户的主密码,并考虑更新相关配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值