Token学习笔记

最新推荐文章于 2024-04-30 17:28:01 发布
最新推荐文章于 2024-04-30 17:28:01 发布
阅读量1.8k 收藏 5
点赞数
分类专栏: Web开发 文章标签: java 后端 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39573047/article/details/127843211
版权

一、什么是token

        Token是一种用户身份的验证方式。当用户第一次登录后,服务器生成一个Token并将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

        相对于session/cookie,基于Token的用户验证方式有如下优势:

  1. 支持跨域访问:由于在设置cookie时是设置了domain为自身或父域,所以无法实现跨域访问,而在请求时将token放入请求头,跨域后不会使信息丢失。
  2. 无状态:由于token无需存储在服务器端,而是每次服务器从token中获取用户信息。
  3. 去耦:token可以在API被调用的任何地方生成,不需要绑定到一个特定的身份验证方案。
  4. 更适用于移动应用:当客户端是非浏览器平台时,cookie是不被支持的,此时采用token认证方式会简单很多
  5. 更安全:由于不再依赖cookie,所以采用token认证方式不会发生CSRF,所以也就无需考虑CSRF的防御
  6. 基于标准化:API可以采用标准化的 JSON Web Token (JWT). JSON Web Tokens - jwt.io

        也有如下劣势:

  1. 占带宽:由于正常情况下token要比 sessionId 更大,需要消耗更多流量,挤占更多带宽。实际上,开发过程中会在 JWT 中存储很多信息。
  2. 无法在服务端注销,很难解决劫持问题。
  3. 更多的CPU开销,省下了内存容量的同时,增加了CPU的验证开销。

二、Token基本流程

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

三、JWT Token的组成

        JWT Token分为三部分,分别是表头、有效载荷和签名。

3.1 表头Header

        表头Header是一个json对象,存储元数据。

{    
    "alg":"HS256",
    "typ":"JWT"
}


        alg:签名的算法,默认为HMAC SHA。

        typ:token的类型,JWT令牌统一写为JWT。

3.2 有效载荷Payload

        Payload 里面是 Token 的具体内容,也是一个json字符串,这些内容里面有一些是标准字段,属于public,也可以添加自己定义的字典,属于private。payload的json结构并不像header那么简单,payload用来承载要传递的数据,它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims , JWT默认提供了一些标准的Claim,具体内容如下。

public:

iss(issuer):签发人
 
exp(expiration time):过期时间
 
sub(subject):该JWT所面向的用户
 
aud(audience):受众,接受该JWT的一方
 
nbf(not before):生效时间
 
iat(Issued At):签发时间
 
jti(JWT ID):编号


private:

{
 
    "role": "admin",

    "name": "管理员",

    "id": 23455
}

        以上数据都是明文传输的,所以最好不要存放敏感数据。前两部分数据都是json对象使用的是base64URL编码,翻译为字符串。

3.3 签名Signature

        Signature是对前两部分的签名,以防数据被篡改。

HMACSHA256(
    base64UrlEncoder(header)+"."+
    base64UrlENcode(paylosd),
    secret)

        先指定一个secret密匙,把base64URL的header、base64URL的payload和secret密钥使用HNAC SHA256生成签名字符串。最后把三个部分的拼成一个字符串,每个部分之间用点(.)分隔,返回给用户。

四、JWT认证流程

  1. 前端通过POST请求将用户名和密码发送到后端接口。
  2. 后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token。
  3. 后端将JWT Token字符串作为登录成功的结果返回给前端。前端可以将返回的结果保存,退出登录时删除保存的JWT Token即可。
  4. 前端在每次请求时将JWT Token放入HTTP请求头中的Authorization属性中。
  5. 后端检查前端传过来的JWT Token,验证其有效性。比如检查签名是否正确、是否过期、token的接收方是否是自己等等。
  6. 验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作,返回结果给前端。
     
XCyclone
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cassandra学习笔记
09-26
一、了解token token是cassandra里相当重要的一个概念,它是cassandra用来平衡集群内各节点负载的一个属性。cassandra里有不同的token分配策略,推荐采用默认的RandomPartitioner分区策略。在这个策略下,token是一个0~2的127次方之间的一个整数(这也意味着理论上cassandra可以支持2的127次方个节点)。之所以是2的127次方,是因为MD5 HASH固定输出128位的数,去掉一位符号位,剩下127位。 cassandra会将你插入数据时的key进行md5 HASH,得到一个127位的数,然后将这个数与各节点的token比较来决定存储到哪个节点上。它根据以下规则进行节点选择: 1.数据将存储到拥有最近的比key的hash值大的token的节点上; 2.若key的hash值比最大的token大,那将被存储到具有最小token的节点上。
获取后台返回的URL中的Token
weixin_44143476的博客
08-20 2759
获取后台返回的URL中的Token App.vue中 // An highlighted block methods: { init() { var url = window.location.href; //access_token是后台所指定的key if (url.indexOf('access_token') != -1) { //登录跳转 ...
部署到服务器后前端传递的token后端接收不到的问题
tgy003的博客
03-11 606
前端传递的token后端死活都拿不到,导致请求都被拦截器拦截下来,返回未登录的状态码,前端传递的token名字是tt_token,在本地运行的时候是完全没问题的(本地没用nginx做代理),甚至在postman上测试也是可以接收到token的,但是部署到服务器上时(用了nginx做代理),后端就接收不到了。NGINX将静默地丢弃带有下划线的HTTP标头,这样做是为了防止在将头映射到CGI变量时出现歧义,因为在该过程中,短划线和下划线都映射到下划线。
后端交互实现的token登录请求
Mjjie_的博客
03-20 2029
1.服务端收到请求,去验证用户名与密码2.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端3.客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里4.客户端每次向服务端请求资源的时候需要带着服务端签发的 Token5.服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。
后端生成Token架构与设计详解
好好学java
11-24 1650
点击上方好好学java,选择星标公众号重磅资讯、干货,第一时间送达 今日推荐:硬刚一周,3W字总结,一年的经验告诉你如何准备校招! 个人原创100W+访问量博客:点击前往,查...
JAVA后端通过微信getAccessToken接口获取access_token
Stringcui的博客
04-13 4042
项目场景: 项目是微信小程序端,需要实现快捷登录功能,所以需要定时调用getAccessToken接口获取微信的access_token并存入redis,以供后续接口查询。 微信开发文档链接:微信getAccessToken开发文档 调用详情: 接口的调用地址: https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET 其中需要传入三个参数: gran
Pytorch学习笔记——文本预处理
01-06
文本预处理 1、概述 文本数据:有用内容和无用内容 文章:单词、符号、空格、乱码等 思想:我们需要对无用信息进行过滤,而计算机无法直接处理单词等有用信息,我们需要把他们转换成数字。将单词映射到不同的数字,...
Axios学习笔记之使用方法教程
01-19
所以本文将详细介绍关于Axios使用方法的相关内容,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍: Axios Github 功能特性 从浏览器中创建 XMLHttpRequests 从 node.js 创建 http 请求 支持 ...
wcf 学习笔记
02-10
客户端发Request(携带token type message)通过soap协议 要序列化成xml格式,服务器返回response(token message),要反序列化成类对象的格式,先进行general验证(符不符合MS-FSSHTTP-FSSHTTPB.wsdl的格式),再...
Notebook:我的学习笔记
04-10
bash deploy.sh $GH_TOKEN #部署 脚本说明 此脚本会从.git的commit记录中读取各文件的标题、所在目录、创建时间和最后修改时间(重命名和移动不算修改)保存到各个文件夹的_meta.json中。此外,该脚本还会读取每个....
AOP如何获取注解参数
qq_43028226的博客
11-15 2450
标题SpringBoot AOP获取参数 getControllerMethodInfo(JoinPoint joinPoint){ //获取目标类名 String targetName = joinPoint.getTarget().getClass().getName(); //获取方法名 String methodName = joinPoint.getSignature().getName(); //获取相关参数
token实现登录状态保持/身份认证的机制
热门推荐
FloraCat_染小白
12-19 2万+
实现登录状态保持与身份认证的方式通常有两种:session结合数据库、token。 两者相比较,token有较多优点。 ① token可以存储在任何位置(比如cookie或local storage) ② token更容易跨域 ③ token过期时可以通过刷新token,让用户一直保持有效登录 ④ 如果api在不同终端上,token更方便安全   二、token原理 其过程大致...
后端处理token以及身份验证
weixin_43980559的博客
03-29 1万+
一、生成token 后端利用生成token的方式来进行用户状态的保持和验证,token简单的解释就是后端 二、获取到前端请求中的token值 三、验证token值,是否存在、是否过期等等。 四、参数注解
后端登录功能token技术
weixin_52777510的博客
04-13 5575
后端登录功能实现——token技术 内容参考自以下博客: https://www.yunliyunwai.cn/blog/detail/da87ec1283706f0c0995a9c235f2eb31(过度借鉴,请勿在意~) 【详细而又具体有逻辑的内容请直接点击链接访问,笔者只是一个过度的参考者+生疏的搬运工】 计时器参考以下博客: https://www.yunliyunwai.cn/blog/detail/6df3b14ac972cbabf8484cd1c9da9554 【我不说我其实没写过…】 前端
获取后台用户 token 的方法
weixin_30357231的博客
09-15 2405
一,通过电子邮箱获取用户token protected function getCustomerToken($emailId){ /** * @var \Magento\Customer\Model\Customer $customer */ */ $customer->loadByEmail($emailId); if($customer->getId()){...
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 931
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 880
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
最新发布
yajunjiao的专栏
04-30 278
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Lambda表达式特点
weixin_57763462的博客
04-24 797
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
tushare token
07-27
- *3* [【Python学习笔记】Tushare库的](https://blog.csdn.net/m0_63073742/article/details/125403742)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值