Token-简单使用

最新推荐文章于 2023-04-15 19:46:07 发布
最新推荐文章于 2023-04-15 19:46:07 发布
阅读量1.4k 收藏 12
点赞数 3
分类专栏: 后端(SSM/SpringBoot) Default 文章标签: java jwt redis token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41607217/article/details/119878707
版权

Token-简单使用

(1)登录 -> 后端服务 -> 生成令牌(sajkbcjy123nmb) -> 存入Redis缓存数据库中(30分钟) -> 响应生成的令牌给前端
(2)前端请求(携带令牌) -> 后端服务 -> Redis缓存(判断令牌是否存在)

【1】token类型

(1)传统的token
传统的token是某个用户登陆之后,服务器返回一个token给用户保存,这个token可能是随机几个字母的组合,并且服
务器保留同一份token(比如用redis存储token)
当用户对其他的接口访问时,必须携带这个token,接着服务器判断这个token是否存在与redis中,来判断用户是否已
经登陆或者是否有相应的权限
(2)JWT(json web token)
与传统token不同的是,json web token是不用保留一份在服务器上的。
处理流程:
[1]用户登陆之后,服务器通过计算,返回一个按照一定规则加密过的token,token里面包含用户的一些必要信息,
比如用户的id、token过期时间
[2]当用户访问其他的接口时,必须携带这个token,接着服务器通过密码来验证这个token
[3]验证token是否是服务器发送的token
验证token过期时间
一切都正确之后,才认为用户是已经登陆、有相应权限的

什么地方会用到token?
在我们前后端分离的开发中,往往需要为多端服务提供认证,比如移动端、web端、小程序端,用户千千万个,接口千千万个,而我们后台怎么样才能保证每个接口只允许有权限的用户来访问呢?(比如只能管理员访问或者只允许登陆的用户访问),处理办法就是可以返回一个JWT给用户了,然后再从这个token里面判断当前访问接口用户是否符合我们设定

【2】Json Web Token的特点

优点
不用储存用户的登录状态信息到服务器上面(比如redis)
同一个Token在不同的服务器器、环境、甚至不同的业务服务都可以使用(只要配置好密钥之类的)
可以手机端、web端、小程序端等等使用
缺点
当然坏处也是有的
比如生成和解析token都需要时间,对比于传统的token验证方式,JWT的生成与解析花的时间会比较多
比如不能取消已经发布存在的token(如果token泄露,在token有效期内,即使用户已经改了密码,攻击者仍然可以拿该tokne为所欲为)

【3】Token的原理

Json web token 包含三部分,头部、数据、签名

(1)头部
头部可以放一些关于token的信息,比如加密算法的信息,创建token的时间,过期的时间,然后用base64进行加密
注意(base64加密后的数据是任何人都可以解密,相当于透明)
{
“typ”: “jwt”, # token类型
“iat”: 1603426198, # 生成时间
“exp”: 1603426298 # 过期时间
}

(2)数据
数据这里可以放一些用户的id、权限等级之类的,不过请不要放隐秘的数据,比如(用户的密码、用户的真实姓名)
注意(因为头部和数据这两部分是任何人都可以使用base64解密的)

{
  "say": "我爱你",
  "from": "音宫",
  "to": "小姐姐",
  "uid": 1,
  "role": "admin"
}

(3)签名
签名这部分才是JWT的精华之处,把头部和数据两段字符串进行哈希加密,而这个哈希加密跟base64加密不一样,哈希加密是需要密码的,这个密码不能透露给用户,也就是加密后的内容是不可逆的

比如加密方式如下

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)


比如头部部分记录的是7点创建,8点过期,即有效期一个小时。
数据部分记录的是某个用户的id。
这个时候服务器通过密码加密之后,会形成一串字符串(只要头部和数据部分的数据不改变,那么每次加密都会形成一样的字符串)
你7-8点之间访问服务接口都可以正常使用
然而,9点钟的时候,黑客发现了你这个token,不过token已经过期,然后黑客改了头部的过期时间,然后再用这个token来访问服务接口
这时候就会出错,为什么呢?
因为头部的信息改动之后,签名就会改变,然而黑客没有生成token的密码,使用黑客不能构造正确的签名
后台验证token的时候,会把头部和数据部分进行用密码加密,生成一个签名,然后再与提交上来的token对比是否一致

【4】生成Token

(1)生成Token

	String token = UUID.randomUUID()+"";
	System.out.println(token);
	
	6c75df3f-16f0-47da-8b73-3dd59b843cb0

UUID 是 通用唯一识别码(Universally Unique Identifier)的缩写,是一种软件建构的标准,亦
为开放软件基金会组织在分布式计算环境领域的一部分。其目的,是让分布式系统中的所有元
素,都能有唯一的辨识信息,而不需要通过中央控制端来做辨识信息的指定。如此一来,每个人
都可以创建不与其它人冲突的UUID。在这样的情况下,就不需考虑数据库创建时的名称重复问
题。目前最广泛应用的UUID,是微软公司的全局唯一标识符(GUID),而其他重要的应用,则
有Linux ext2/ext3文件系统、LUKS加密分区、GNOME、KDE、Mac OS X等等。另外我们也可
以在e2fsprogs包中的UUID库找到实现。

(2)存入Redis

 @Resource
	 private RedisTemplate<String,Object> redisTemplate;

	String token = UUID.randomUUID()+"";
	//以token为key,user为value,存30分钟
	redisTemplate.opsForValue().set(token,user,Duration.ofMiutes(30L));

(3)返回token

	return new Result(token,"登录成功"200);

@Resource和@Autowired注解都是用来实现依赖注入的。只是@AutoWried按by type自动注入,而@Resource默认按byName自动注入。

【5】使用

(1)获取当前登录用户信息

	@Resource
	private RedisTemplate<String,Object> redisTemplate;

	//将token放在请求头传给后端
	@GetMapping("/getUserOfLogin")
	public Result getUserOfLogin(HttpServletRequest request)throw ...{
		String token = request.getHeader("token");

		Object user = redisTemplate.opsForValue.get(token);
		if(user!=null){
			return new Result(user,"获取登录用户成功",200);
		}
		return new Result(null,"获取登录用户失败",104);
	}

(2)过滤器

@WebFilter(urlPatterns = {"/view/*"})
public class LoginFilter implements Filter {

	@Resource
	private RedisTemplate<String,Object> redisTemplate;

	@Override
	public void init(FilterConfig filterConfig) throws ServletException{
	}

	@Override
	public void doFilter(ServletRequest servletRequest,ServletResponse servletResponse){
		//获取Headers中获取token
		String token = request.getHeaders("token");
		token = token == null ? "" : token;

		//查询token在Redis中的剩余时间
		Long expire = redisTemplate.getExpire(token);
		if(expire > 0){//是登录状态
			//重置token的时间
			redisTemplate.expire(token,30L,TimeUnit.MINUTES);
			//已登录,放行
			filterChain.doFilter(sercletRequest,servletResponse);
		}else{
			//未登录,响应数据
			String string = JSONObject.toJSONString(new Result(null,"未登录"100));
			response.setContentType("json/text;cahrset=utf-8");
			PrintWriter out = reponse.getWriter();
			out.write(string);
		}
	}
}


public class LoginController{
	@Resource
	private RedisTemplate<String,Object> redisTemplate;

	//将token放在请求头传给后端
	@GetMapping("/view/getUserOfLogin")
	public Result getUserOfLogin(HttpServletRequest request)throw ...{
		String token = request.getHeader("token");

		Object user = redisTemplate.opsForValue.get(token);
		if(user!=null){
			return new Result(user,"获取登录用户成功",200);
		}
		return new Result(null,"获取登录用户失败",104);
	}
}
CaoPengCheng&
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
token-servlet使用案例.zip
06-06
java+servlet-来实现token使用,可经过简易修改即可用于大多数java项目的token异步登录功能。
Python时间模块
geter666的博客
09-16 65
一、time和datetime模块 (一)time: 1.时间戳:从1970年到现在经过的秒数 作用:用于时间间隔的计算 import time print(time.time()) 2.按照某种格式显示的时间,如:2021-09-16 14:27:52 作用:用于展示时间 import time print(time.strftime('%Y-%m-%d %H:%M:%S %p')) print(tim...
Vue3+Vite+TS后台项目 ~ 6.用户登录校验
yuan
12-24 3819
一、登录 1. 登录静态页 编辑 src / views / login / index.vue 文件 <template> <div class="login-container"> <el-form class="login-form" :rules="rules" ref="form" :model="user" size="medium" @submit.prevent="handl..
Apifox 关于token使用方式
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
04-15 5327
前言,关于token使用,仅做了简单的demo测试token效果。 1.手动登录获取token 顾名思义,因为只有登录之后才有token的信息,所以在调用其他接口前需要拥有token才能访问。
Springcloud之OAuth2
xiaopang2020的博客
08-22 7751
springcloud之OAuth2
jwt token 附加用户信息_掌握基于 JWT 实现的 Token 身份认证
weixin_35411438的博客
12-24 526
引语最近正好在独立开发一个后台管理系统,涉及到了基于Token的身份认证,自己边学边用边做整理和总结,对基于JWT实现的Token的身份认证做一次相对比较全面的认识。一、基于session的跨域身份验证Internet服务无法与用户身份验证分开。一般过程如下。用户向服务器发送用户名和密码。验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话。服务器向用户返回session_id,se...
token的基本使用
热门推荐
yolo_link的博客
12-15 1万+
Token 1、定义 token:服务端生成的一串字符串,可以解决频繁登录的问题 它作为客户端进行请求的一个令牌: 第一次登录后,服务器生成一个token返回给客户端; 客户端只需要带上token来请求数据即可,无需再次带上用户名和密码 2、目的 为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮 3、使用(后端) 生成token的插件:jsonwebtoken 下载:cnpm install jsonwebtoken --save 引入: var jwt = require('jsonwebto
token学习与使用
weixin_52259848的博客
10-05 4213
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此**Token返回给客户端**,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
token使用
weixin_50769390的博客
11-21 3597
token简介及JWT使用
Token使用
m0_50846834的博客
11-11 4268
springboot+vue实现前后端分离token使用
微信小程序的Token获取,存入缓存,以及从缓存获取Token携带的用户uid
qq_43737121的博客
01-06 8713
我们利用微信小程序给每一位用户生成的Code数字码,把这个Code码传递给我们的getToken接口,这个Code码是我们在微信服务器换取用户信息的标识,我们在getToken接口接收到这个Code码之后,我们就需要向微信服务器发送一个请求并将Code码发送到微信服务器,然后微信服务器就会返回一个openid和一个session_key,这个openid就是我们需要的用户身份的唯...
discord-token-login:电子应用程序以简单的方式登录到 Discord 令牌
07-23
:balloon: Discord Token Login 是一个程序,您可以使用该程序使用他们的令牌登录用户帐户。 它还可以用作帐户管理器,因为您可以将令牌保存在应用程序的本地存储,并且无需将令牌放回即可轻松切换帐户。 下载 ...
Node-Token-Authentication
05-18
使用JSON Web令牌和包在简单的Node.js API上实现基于令牌的身份验证。 这是通过使用Express路由间件验证令牌来演示身份验证方法的起点。 根据,包括或计划添加一些安全功能,因此该存储库可用作开发REST API的...
token-bucket
05-16
使用简单计数器的其他限速算法相比,令牌桶算法具有以下优点: 避免了打雷的问题,因为铲斗容量是逐渐补充的,而不是像每个固定窗口计数器那样在每个时期开始时立即重新装满。 突发持续时间可以明确控制 移动...
go-simple-token-auth
05-08
简单令牌授权 JWT(github.com/dgrijalva/jwt-go)和Redis(github.com/garyburd/redigo/redis)的包装器,试图简化/简化身份验证工作流。 遵循了上的教程。 去做 添加诸如重置和忘记密码之类的功能 添加与AngularJS...
C++_输入一个字符串,并逆序输出
qq_41607217的博客
09-07 9250
C++_输入一个字符串,并逆序输出 #include<iostream> #include<string> using namespace std; /** * 输入一个字符串,并逆序输出 * @project C++_Demo * @author CaoPengCheng * @date 2021-09-07 * @version 1.0.0 */ int main(){ char a[100]; cout<<"input String:"; cin&
Vue使用Echarts实现数据可视化
qq_41607217的博客
03-20 8425
Vue使用Echarts实现数据可视化一,Echarts1.1 获取ECharts1.2 引入 ECharts二,Vue使用Echarts2.1 Vue环境2.2 main.js引入Echarts2.3 使用模板2.4实例2.4.1柱状图(折线图变换)2.4.2极坐标柱状图标签 一,Echarts 一个基于 JavaScript 的开源可视化图表库 Echarts官网 https://echarts.apache.org/zh/index.html 1.1 获取ECharts (1)从 npm 获取(项目
钉钉api调用
qq_41607217的博客
09-01 6890
package DingDingApiDemo; import com.alibaba.fastjson.JSONObject; import com.dingtalk.api.DefaultDingTalkClient; import com.dingtalk.api.DingTalkClient; import com.dingtalk.api.request.*; import com.dingtalk.api.response.*; import com.taobao.api.ApiExcepti
C++_求2个或3个正整数的最大数,用带有默认参数的函数实现
qq_41607217的博客
09-07 6460
C++_求2个或3个正整数的最大数,用带有默认参数的函数实现 #include<iostream> using namespace std; /** * 求2个或3个正整数的最大数,用带有默认参数的函数实现 * @project C++_Demo * @author CaoPengCheng * @date 2021-09-07 * @version 1.0.0 */ int main() { int max(int a,int b,int c=0); int a,b,c;
sa-token使用
最新发布
07-28
sa-token 是一个基于 Spring Boot 框架的轻量级权限认证与会话管理框架。它提供了一套简单易用的 API,用于实现用户身份认证、权限控制和会话管理。 使用 sa-token 需要在 Spring Boot 项目添加对应的依赖,具体方式可以参考官方文档。一般来说,你需要在 pom.xml 文件添加如下依赖: ```xml <dependency> ***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CaoPengCheng&

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值