深入理解 Token:生成和校验过程详解

最新推荐文章于 2024-05-19 20:39:56 发布
最新推荐文章于 2024-05-19 20:39:56 发布
阅读量4.8k 收藏 14
点赞数 11
分类专栏: SpringBoot 文章标签: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42279822/article/details/136924243
版权

标题:深入理解 Token:生成和校验过程详解

在网络应用中,Token 是一种常见的身份验证和授权机制,它通过加密技术来确保通信的安全性和用户身份的合法性。在本文中,我们将深入探讨 Token 的生成和校验过程,并提供详细的示例来帮助读者更好地理解。

Token 的生成过程:

1. 选择加密算法和密钥:

首先,我们需要选择合适的加密算法和密钥来生成 Token。常见的算法包括 HMAC 和基于公钥/私钥的算法(如 RSA)等。在示例中,我们选择使用 HMAC-SHA256 算法,并准备好一个密钥。

2. 生成载荷(Payload):

载荷是 Token 中包含的信息,通常包括用户的身份、权限、过期时间等。我们可以用 JSON 格式来表示载荷。示例载荷如下:

{
  "user_id": "123456",
  "username": "example_user",
  "expires_at": "2024-03-31T00:00:00Z"
}
3. 生成签名(Signature):

使用选定的加密算法和密钥,对载荷进行签名。签名是载荷和密钥的哈希值,用于验证令牌的完整性和真实性。示例中,我们使用 HMAC-SHA256 算法来生成签名。

4. 将载荷和签名组合成令牌:

将生成的签名与载荷组合起来,形成最终的令牌。令牌通常以"."分隔载荷和签名。

Token 的校验过程:

1. 提取载荷和签名:

在接收到令牌后,首先提取载荷和签名。

2. 验证签名:

使用与生成令牌时相同的密钥和加密算法,对载荷进行哈希,并将结果与令牌中的签名进行比较。如果匹配,则令牌未被篡改。

3. 检查有效期:

如果令牌中包含了过期时间,需要验证当前时间是否在有效期范围内。

下面是使用 Java 实现 Token 的生成和校验的示例代码:

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.time.Instant;
import java.util.Base64;

public class TokenUtil {

    private static final String HMAC_ALGORITHM = "HmacSHA256";
    private static final String SECRET_KEY = "secret_key";

    // 生成 Token
    public static String generateToken(String payload) {
        try {
            // 创建 HMAC-SHA256 密钥
            SecretKeySpec secretKeySpec = new SecretKeySpec(SECRET_KEY.getBytes(), HMAC_ALGORITHM);
            Mac mac = Mac.getInstance(HMAC_ALGORITHM);
            mac.init(secretKeySpec);

            // 计算签名
            byte[] signatureBytes = mac.doFinal(payload.getBytes());

            // 使用 Base64 编码签名
            String signature = Base64.getEncoder().encodeToString(signatureBytes);

            // 返回 Token,格式为 payload.signature
            return payload + "." + signature;
        } catch (NoSuchAlgorithmException | InvalidKeyException e) {
            e.printStackTrace();
            return null;
        }
    }

    // 校验 Token
    public static boolean verifyToken(String token) {
        try {
            // 提取载荷和签名
            String[] parts = token.split("\\.");
            String payload = parts[0];
            String receivedSignature = parts[1];

            // 创建 HMAC-SHA256 密钥
            SecretKeySpec secretKeySpec = new SecretKeySpec(SECRET_KEY.getBytes(), HMAC_ALGORITHM);
            Mac mac = Mac.getInstance(HMAC_ALGORITHM);
            mac.init(secretKeySpec);

            // 计算签名
            byte[] calculatedSignatureBytes = mac.doFinal(payload.getBytes());
            String calculatedSignature = Base64.getEncoder().encodeToString(calculatedSignatureBytes);

            // 验证签名是否一致
            if(!receivedSignature.equals(calculatedSignature)){
            	return false;
			}
 // 提取过期时间
            String expirationTime = new String(Base64.getDecoder().decode(payload)).split("\"expires_at\":\"")[1].split("\"")[0];

            // 检查有效期
            LocalDateTime expiresAt = LocalDateTime.parse(expirationTime);
            LocalDateTime currentTime = LocalDateTime.now(ZoneOffset.UTC);
            return currentTime.isBefore(expiresAt);
            
        } catch (NoSuchAlgorithmException | InvalidKeyException e) {
            e.printStackTrace();
            return false;
        }
    }

    // 示例
    public static void main(String[] args) {
        // 生成载荷
        String payload = "{\"user_id\": \"123456\", \"username\": \"example_user\", \"expires_at\": \"2024-03-31T00:00:00Z\"}";

        // 生成 Token
        String token = generateToken(payload);
        System.out.println("Generated Token: " + token);

        // 校验 Token
        boolean isValid = verifyToken(token);
        System.out.println("Token is valid: " + isValid);
    }
}

这个示例演示了如何使用 Java 实现 Token 的生成和校验过程。在生成 Token 时,我们使用 HMAC-SHA256 算法对载荷进行签名,并将签名与载荷一起编码为 Token。在校验 Token 时,我们提取载荷和签名,然后重新计算签名并与接收到的签名进行比较,以验证 Token 的完整性和真实性。

结论:

通过以上示例,我们深入了解了 Token 的生成和校验过程。Token 的安全性取决于密钥的安全性和算法的选择,同时在校验过程中需要注意有效期的检查。合理使用 Token 可以有效保护用户身份和通信的安全性,在网络应用中起着重要作用。

java搬砖工-苤-初心不变
关注
  • 11
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Token详解及安全验证
qq_53058639的博客
03-08 1656
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
什么是token及怎样生成token
热门推荐
daobuxinzi的博客
02-08 1万+
什么是token   Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。   基于 Token 的身份验证 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户
Java最全Token生成方案-JWT_java jwt token方案,springboot面试问题
2401_83977546的博客
05-10 782
无论是哪家公司,都很重视基础,大厂更加重视技术的深度和广度,面试是一个双向选择的过程,不要抱着畏惧的心态去面试,不利于自己的发挥。同时看中的应该不止薪资,还要看你是不是真的喜欢这家公司,是不是能真的得到锻炼。针对以上面试技术点,我在这里也做一些分享,希望能更好的帮助到大家。##### 数据准备useridnamepwdid##### 实体类@Data@Autowired//校验用户名密码是否正确。
13.(后端)生成token并验证
m0_63953077的博客
10-12 2178
在flask_shop的工具类utils下创建一个新文件,专门用于生成和验证token信息。若对token不了解,可以查看第12篇文章。
Java简单快速入门JWT(token生成与验证)
greatming666的博客
09-08 8187
java jwt简单了解并快速上手
使用JWT创建Token和验证Token
qq_38966550的博客
10-27 379
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
Token 校验机制
subsistent的博客
01-11 755
Token 校验机制
Token 如何生成 简述
dujidan的博客
01-27 8446
Token 如何生成 简述 Token 值是将请求源串以及 Secret 通过 MD5 算法生成的,用来提高传输过程参数的防篡改性。 token 值的生成共有 2 个步骤:构造源串,生成 token 值。 如何成成 MD5 值 md5sum $file ...
SpringBoot(九)jwt + 拦截器实现token验证
zhaojun的博客
07-31 7766
前面两篇文章的过滤器和拦截器,我们都提到过可以做诸如权限验证的事情。http/https是无状态的协议,当用户访问一个后端接口时,如何判断该用户有没有权限?当然,可以使用账号+密码去验证。但是,如果使用账号和密码,需要频繁访问数据库,很明显,会带来一些额外的开销。本篇介绍下使用jwt和拦截器实现token权限验证。
怎么使用Token?进行权限校验
weixin_35753291的博客
12-16 922
在进行权限校验时,通常使用 Token 来进行身份验证。 具体来说,首先,你需要在认证服务器上创建一个 Token。这通常是通过用户名和密码进行身份验证,然后在认证成功后生成一个 Token。这个 Token 通常是一个字符串,由认证服务器生成并返回给客户端。 然后,客户端可以在发出请求时将 Token 作为 HTTP 头的一部分发送给服务器。服务器会收到这个请求,并根据 Token 中包含的信息...
Token验证实现思路
qq_34991010的博客
09-01 2252
简介 Token 是一个临时、唯一、保证不重复的令牌 Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:
Token生成规则以及工具相关代码
06-26
此资源是针对“Token生成规则以及工具”这篇文章的相关代码文章地址:https://blog.csdn.net/kai_1215/article/details/78477146
前后端如何实现登录token拦截校验详解
12-10
  b、后端接收到登录信息,生成有效期限token(后端算法生成的一段秘钥),作为结果返回给前端;   c、前端在此后的每次请求,都会携带token与后端校验;   d、在token有效时间内前端的请求响应都会成功,
浅谈java获取UUID与UUID的校验
08-26
java 获取 UUID 与 UUID 校验详解 Java 获取 UUID 是一个非常常见的操作,UUID(Universally Unique Identifier,全球唯一标识符)是一种软件建筑中用于标识信息的标识符。UUID 的主要用途是为了在分布式系统中生成...
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
例如,我们可以使用JwtUtils工具类生成Token和验证Token生成Token方法中存入了用户的信息,例如用户的Id、名称、密码等信息。在验证Token时,我们可以使用checkJWT方法来校验Token是否正确。 使用Jwt处理跨域认证...
微信支付的开发流程详解
10-21
微信支付作为国内广泛使用的移动支付方式之一,对于开发者来说,理解和掌握其开发流程至关重要。本文将详细介绍微信支付的步骤,并提供一些关键注意事项。 1. 用户下单流程: 当用户在应用内浏览商品并选择购买时...
PHP开发api接口安全验证操作实例详解
10-15
`token`通常是在表单中添加一个隐藏字段,其值在服务器端和客户端之间进行校验,确保数据提交的合法性。这种方法可以防止跨站请求伪造(CSRF)攻击。 总结来说,PHP API接口的安全验证涉及到多个方面,包括但不限于...
如何生成以及校验token
devops
04-25 6117
token是由服务端创建的一串字符串,登陆成功后发送给前端存储在浏览器或本地中,以后每次发送请求都携带上。
创建RSA 秘钥和私钥生成jwt token
最新发布
qingcyb的博客
05-19 912
/ KeyPairGenerator类用于生成公钥和私钥对,基于RSA算法生成对象。// 生成一个密钥对,保存在keyPair中。// 将字符串Base64解码。// 创建x509证书封装类。// 初始化密钥对生成器。* 通过私钥获取token。2、生成公私钥,私钥生成token。* token过期时间。
Spring Security生成token取消密码校验
11-02
Spring Security生成token取消密码校验可以通过使用Remember Me功能实现。在Spring Security中,Remember Me是一种自动登录机制,它允许用户在关闭浏览器后再次访问应用程序时保持登录状态。当用户登录时,系统会生成一个token并将其存储在cookie中。当用户再次访问应用程序时,系统会检查cookie中是否存在token,如果存在,则自动登录用户。 要实现Remember Me功能,可以在Spring Security配置文件中添加以下代码: ``` http.rememberMe() .tokenValiditySeconds(60 * 60 * 24 * 7) // token有效期为7天 .rememberMeParameter("remember-me") // 自定义remember-me参数名 .key("uniqueAndSecret"); // 自定义加密密钥 ``` 在登录页面中,需要添加一个复选框,用于启用Remember Me功能: ``` <input type="checkbox" name="remember-me" value="true"> Remember me ``` 当用户勾选了Remember Me复选框并成功登录后,系统会生成一个token并将其存储在cookie中。当用户再次访问应用程序时,系统会检查cookie中是否存在token,如果存在,则自动登录用户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值