Token身份认证

最新推荐文章于 2024-03-09 11:44:55 发布
最新推荐文章于 2024-03-09 11:44:55 发布
阅读量5.5k 收藏 12
点赞数 2
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_22013331/article/details/79382367
版权

Token是什么

用户的数据安全性很重要,而http又是一种没有状态的协议,并不能区分访问者。这就需要做用户验证,用户输入账号和密码之后,需要把用户的登录信息记录下来,防止访问下一个页面的时候需要重新验证。传统的处理方法是,借助与Session机制,当用户登录之后,服务端生成一个记录,这个记录用来标记用户,然后发送给客户端,客户端将这个标记存储在Cookie里面,当客户端发起下一次请求的时候,会附带上Cookie里的这个标记,然后服务端会验证这条标记在服务器有没有记录,如果有,则通过验证,没有的话就返回失败。这种处理方式是基于服务器的,Session存储在服务器内存里或者是写到数据库里,需要在服务器定期的清理过期的Session,同时当用户量大了之后,对内存的需求会增加,对服务器的压力也会增加。Token也是用于验证用户身份的一种工具,是一个客户端令牌。当客户端发起登录请求时,会在服务端生成一串字符串,反馈给客户端作为Token令牌,之后的用户访问只需要带上这个Token即可。基于Token的验证方法,服务端不需要存储用户的登录记录。这两种验证方法的具体流程如下图:

请输入图片描述

Token的使用流程可以概括为:

  1. 用户登录,填写用户名和密码,并发送给服务端
  2. 后端验证用户登录信息
  3. 验证通过,签名生成一个Token,返回给客户端
  4. 客户端存储这个Token,在下一次访问服务端的时候,会附带上这个Token
  5. 服务端下一次接收到数据时,验证Token,并返回数据


Token的优点

Token作为用户认证的处理方式,有几个优点:

  • 无状态,可扩展:不会在服务端存储用户的登录状态,可以很容易的实现服务器的增减
  • 支持移动设备,对多类型客户端的支持良好
  • 支持跨程序调用,各个接口之间的调用更方便
  • 安全可靠


Token的生成

一个比较轻巧的Token规范是JWT(Json Web Token),当然也可以自定义Token的生成方式,只要能正常的加解密,同时Token字符串中包含足够的信息即可。这里只简介一下JWT的生成。一个JWT实际就是一个字符串,它包含三部分,分别是:

  • 头部 header
  • 载荷 payload
  • 签名 signature

他们按照 A.B.C 的格式拼接起来,其中C由A和B生成,他们之间的格式为 Base64(header).Base64(payload).H256(A.B)。需要注意的是header和payload都是对象序列化之后的字符串.
其中Header用来描述JWT的基本信息以及签名使用的算法,可以表示为一个Json对象如下:

    {
      "typ": "JWT",
      "alg": "HS256"
    }

对这个对象序列化之后,在进行Base64编码,得到字符串 A 为:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
而针对载荷payload,有固定的格式,如下:

{
    "sub": "1",
    "iss": "http://localhost:8000/auth/login",
    "iat": 1451888119,
    "exp": 1454516119,
    "nbf": 1451888119,
    "jti": "37c107e4609ddbcc9c096ea5ee76c667"
}

其中,各个字段的含义如下:

  • sub:表示针对的用户,一般设为用户uid
  • iss:当前JWT的签发者
  • iat:签发Token的时间 issue at
  • exp:当前Token的国企时间 expire time
  • nbf:Token在此时间之前不能被接收处理,正常情况下和签发时间一致
  • jti:当前Token的唯一标识

将payload对象序列化之后,再进行Base64编码,得到字符串 B ,为:eyJzdWIiOiIxIiwiaXNzIjoiaHR0cDpcL1wvbG9jYWx
ob3N0OjgwMDFcL2F1dGhcL2xvZ2luIiwiaWF0IjoxNDUxODg4MTE5LCJleHAiOjE0NTQ1MTYxMTksIm5iZiI6MTQ1MTg4OD
ExOSwianRpIjoiMzdjMTA3ZTQ2MDlkZGJjYzljMDk2ZWE1ZWU3NmM2NjcifQ

最后是签名signature,将上面两个字符串用 ‘.’ 符号拼接在一起,然后再按照Header中声明的加密方式(这里是HS256)加密之后,即可得到字符串 C。

将A、B、C三个字符串拼接之后,就得到了完整的JWT。


Token的使用

Token生成之后,客户端每次访问时,都要带上这个字符串。在后端对Token做验证,验证方式就是将Token字符串按照既有方式解密,然后判断Token中存储的信息,包括用户UID,过期时间等,是否符合条件。

Maxwell_7
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Token身份验证
博客
03-19 863
1.首先定义一个可以对Token进行操作的类 public class TokenUtil { //用于存储所有令牌 private static Map<String,User> tokenMap = new HashMap<>(); //生成token,存储token-user对应关系 public static String generateToken(User user){ String token = UUID...
JWT(JSON Web Token
最新发布
Casual_Lei的博客
07-03 1436
JWT 提供了一种简洁而强大的方式来进行身份验证和授权,特别适用于分布式系统和微服务架构。Spring Security 通过其强大的扩展机制,使得与 JWT 的集成变得非常简单和高效。通过了解和应用这些技术,开发者可以构建出安全、可靠的现代 Web 应用。
身份认证token
weixin_34175509的博客
03-27 176
2019独角兽企业重金招聘Python工程师标准>>> ...
基于Token进行身份验证
一位不知名小前端的一些笔记
02-26 2479
1.基于服务器的验证我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。  在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。基于服务器验证方式暴露的一些问题:1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。2.可扩展...
spring boot+vue+websocket带token身份认证推送消息实现
06-25
本知识点将介绍如何在Spring Boot与Vue前后端分离架构中集成WebSocket,并实现带有身份认证的消息推送功能。这是实现即时通讯、实时数据更新等应用场景的常用技术方案。 ### 1. WebSocket简介 WebSocket是一种在...
thinkphp5框架API token身份验证功能示例
10-16
在本篇中,我们将深入探讨如何在ThinkPHP5框架中实现API的Token身份验证功能。 首先,Token身份验证的基本原理是:用户成功登录后,服务器会生成一个唯一的Token,这个Token将发送给客户端(通常是移动应用或Web...
基于Token的身份验证的方法
10-18
基于Token的身份验证是一种现代的、安全的认证方式,尤其适用于Web应用和移动应用。这种方式避免了传统的Session存储用户登录状态的需求,减少了服务器的负担,并提高了系统的可扩展性。Token,中文通常被译为“令牌...
云生活超市服务端代码。 SpringBoot + Mybatis + MySql + Redis + Token身份验证.zip
03-09
Token身份验证是一种现代的认证方式,相比于传统的Session,Token具有更好的可扩展性和安全性。在这个项目中,Token可能被用来验证用户的身份,每个用户在登录后会获得一个唯一的Token,后续的API请求都需要携带这个...
基于Token的身份验证:安全与效率的结合
你若盛开,清风自来
03-09 2290
🔍本文深入探讨了基于Token的身份验证机制,解析了Token的作用原理和优势,以及如何实现安全、高效的用户认证。了解这一技术,有助于我们构建更安全、更灵活的Web应用。🌟Token是一种用于识别用户身份的小型数据片段,它可以代表用户的权限和状态信息。Token用户和服务器之间传递,实现了用户认证和授权的功能。Token,通常称为令牌,是一种对用户进行身份验证的方法。在计算机科学中,Token通常是一种轻量级的认证方法,它可以在客户端和服务器之间传递,以确认用户的身份。
基于Token的身份验证的原理
热门推荐
一土宁的博客
05-06 4万+
目录 1 发展史 2 Cookie 3 Session 3.1cookie和session的区别 4 Token 4.1 传统方式——基于服务器的验证 4.2 基于服务器验证方式暴露的一些问题 4.3 基于Token的验证原理 4.5 Tokens的优势 参考文献 1 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某...
Token详解及安全验证
qq_53058639的博客
03-08 1835
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Token 认证
2301_79544047的博客
01-12 1199
创作灵感记录一下简单的token使用,
token登陆验证
qq_20786911的博客
03-07 1万+
登陆业务的实现 由于http是无状态的,那么应该如何记住登录状态呢? 单一应用的服务中常见做法是在客户端cookie中保存sessionId,服务器端的session中保存sessionid,每次客户端发送请求的时候都带上sessionid,在服务器端进行验证。 在分布式系统中,由于服务器之间不能共享内存,因此服务器之间session不能互通,因此不能使用session去存储用户的登录信息,一般使...
什么是token认证?
weixin_47427787的博客
07-30 3147
token认证
jmeter使用:解决压测时获取token问题
m0_58026506的博客
08-03 3031
在执行压测过程中,首先要执行登录接口来获取token。如果并发数比较大只需要一个用户的登录token,可以使用setup线程组。如果是模拟多个用户登录获取token,需要使用仅一次控制器。
Token
qq_40266238的博客
11-21 4259
1.Token是什么 Token是一个字符串,是一段根据特殊规则生成的唯一的、保存在缓存服务器(如Redis)中的key,这个key对应的value是用户账户数据。每个用户登录后,服务器生成一个类似Token并缓存,之后用户每次请求中都要带上这个Token,以便实现类似于HTTP Session的会话跟踪。 2.为什么要用Token 随着近几年上网设备的多样化,软件项目的UI层不仅仅再是窗体...
springboot+shiro+jwt实现基于token的无状态授权认证
书生灬今天不吃饭的博客
07-11 2269
springboot+shiro+jwt实现基于token的无状态登录鉴权
springboot websocket token身份认证
07-15
### 回答1: Spring Boot是一个开源的Java框架,用于快速开发基于Spring的应用程序。它提供了许多功能和工具,其中包括支持WebSocket的功能。 WebSocket是一种用于实现双向通信的协议,在Web应用程序中可以用于实时通信和数据推送。在Spring Boot中使用WebSocket可以轻松地实现实时通信功能。 要实现基于token身份认证,可以按照以下步骤进行: 1. 创建一个WebSocket处理程序:在Spring Boot中,可以使用@ServerEndpoint注解创建一个WebSocket处理程序。在该处理程序中,可以定义onOpen、onMessage、onClose和onError等方法来处理WebSocket连接的生命周期事件。 2. 创建一个Token认证过滤器:可以使用Spring Security框架来实现基于token身份认证。创建一个Token认证过滤器,将其配置为在WebSocket连接建立之前进行身份认证。 3. 在WebSocket处理程序中验证token:在WebSocket处理程序的onOpen方法中,可以获取到WebSocket连接的会话对象。可以使用这个会话对象来获取到发送的token,并将其验证。 4. 发送认证结果:根据token的验证结果,可以发送不同的消息给客户端。如果验证成功,则可以发送连接成功的消息给客户端;如果验证失败,则可以发送连接失败的消息给客户端。 通过以上步骤,就可以实现基于token身份认证了。客户端在建立WebSocket连接时,需要将token作为参数发送给服务器。服务器在接收到连接请求后,会进行身份认证,根据认证结果发送相应的消息给客户端。 使用Spring Boot和WebSocket实现基于token身份认证,可以让应用程序更安全和可靠。同时,使用Spring Security可以提供更多的身份认证和授权功能,进一步增强应用程序的安全性。 ### 回答2: Spring Boot提供了一个强大的WebSocket支持,可以非常方便地实现Token身份认证。 要实现WebSocket的Token身份认证,首先需要创建一个WebSocket处理程序,可以通过实现`WebSocketHandler`接口或者继承`TextWebSocketHandler`类来实现。然后,可以使用`@Component`注解将该处理程序注册为Spring组件。 接下来,我们需要对WebSocket进行配置,可以创建一个类继承自`WebSocketConfigurer`接口,并实现其中的`registerWebSocketHandlers`方法。在这个方法中,我们可以指定处理程序的路径,并添加自定义的拦截器,用于Token身份认证。 在拦截器中,可以通过WebSocket握手时的`HandshakeInterceptor`,在`afterHandshake`方法中进行身份认证逻辑的处理。可以通过获取WebSocket握手的`HttpServletRequest`和`HttpServletResponse`,来获取和验证Token。如果Token验证通过,则可以继续进行握手,并返回true;否则,可以拒绝握手,返回false。 在身份认证通过后,可以通过`WebSocketSession`发送和接收消息。在发送消息时,可以通过`sendMessage`方法发送消息给指定的WebSocket会话;在接收消息时,可以通过实现`WebSocketHandler`接口的`handleTextMessage`方法来处理接收到的消息。 总结起来,要实现Spring Boot WebSocket的Token身份认证,需要创建WebSocket处理程序,配置WebSocket,添加拦截器进行Token验证,并在处理程序中处理收发消息的逻辑。这样,我们就可以在Spring Boot中实现带有Token身份认证的WebSocket功能了。 ### 回答3: Spring Boot提供了一种简便的方式来实现WebSocket身份认证,可以使用Token来验证用户身份。下面是一个简单的实现步骤。 首先,需要在Spring Boot项目中配置WebSocket,并添加相关依赖。可以通过在pom.xml文件中添加以下依赖来引入WebSocket支持: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-websocket</artifactId> </dependency> ``` 接下来,创建一个WebSocket配置类,继承自`AbstractWebSocketMessageBrokerConfigurer`类,并覆盖其中的方法。在`registerStompEndpoints()`方法中,可以设置WebSocket的端点和消息传输方式: ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig extends AbstractWebSocketMessageBrokerConfigurer { @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/websocket").withSockJS(); } @Override public void configureMessageBroker(MessageBrokerRegistry registry) { registry.enableSimpleBroker("/topic"); registry.setApplicationDestinationPrefixes("/app"); } } ``` 然后,在WebSocket处理类中,可以实现`WebSocketConfigurer`接口,通过重写其中的方法来进行身份验证。在`registerWebSocketHandlers()`方法中,可以设置拦截器来验证Token: ```java @Configuration public class WebSocketHandlerConfig implements WebSocketConfigurer { @Autowired private WebSocketInterceptor webSocketInterceptor; @Override public void registerWebSocketHandlers(WebSocketHandlerRegistry registry) { registry.addHandler(myHandler(), "/websocket") .addInterceptors(webSocketInterceptor) .setAllowedOrigins("*"); } @Bean public WebSocketHandler myHandler() { return new MyHandler(); } } ``` 在拦截器`WebSocketInterceptor`中,可以在用户连接WebSocket之前验证Token的有效性,例如检查Token是否过期、用户是否存在等: ```java @Component public class WebSocketInterceptor implements HandshakeInterceptor { @Override public boolean beforeHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Map<String, Object> attributes) throws Exception { // 根据Token验证用户身份 // 如果验证失败,可以使用response返回错误信息,然后返回false拒绝连接 // 如果验证成功,可以在attributes中存储用户信息,以便后面使用 return true; } @Override public void afterHandshake(ServerHttpRequest request, ServerHttpResponse response, WebSocketHandler wsHandler, Exception exception) { } } ``` 最后,在处理WebSocket消息的类中,可以通过获取用户信息来实现对特定用户的消息推送等操作: ```java @Component public class MyHandler extends TextWebSocketHandler { @Override public void afterConnectionEstablished(WebSocketSession session) throws Exception { // 根据用户信息保存WebSocketSession等操作 } @Override protected void handleTextMessage(WebSocketSession session, TextMessage message) throws Exception { // 处理用户传输的消息 } } ``` 通过以上方式,可以实现在Spring Boot中使用Token进行WebSocket身份认证。根据具体的需求,可以定制化处理用户信息、Token验证等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值