Token原理(WEB令牌)

最新推荐文章于 2024-05-22 15:07:53 发布
最新推荐文章于 2024-05-22 15:07:53 发布
阅读量2.9k 收藏 14
点赞数 7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43358075/article/details/89387856
版权

Token在WEB系统中相当于临时令牌的作用,一般作为验证使用。JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。Token的出现主要解决了两方面问题。
Session会话机制,可以对用户信息进行存储,方便用户再次进入系统,或者进行相应的业务操作。但是,Session是存储于服务器的,会在一定的时间内消耗服务器的内存,同时,Session储存于固定的服务器中,因此,跨域问题就成了一个大麻烦。
Token将用户信息、加密算法、签名哈希进行加密发给客户端,让客户端进行存储,又有点类似于cookie机制了,但token可比cookie安全多了。

JWT的结构

JWT,即Json Web Token(以下简称jwt)即就是一种token的实现方式。一般来说,一个完整的jwt需要分为三个部分,token头、有效载荷、哈希签名 。(jwt官方网站: https://jwt.io/
在这里插入图片描述

一、JWT头
{
  "alg": "HS256",          签名使用的算法
  "typ": "JWT"             令牌类型,这里就是jwt
}

将这个对象进行BASE64URL加密就是jwt的头。

二、PAYLOAD 有效载荷
{
  "sub": "1234567890",               主题
  "name": "John Doe",                自定义字段
  "iat": 1516239022                  发布时间
}

PAYLOAD有效载荷中既可以存放一些已经定义过的字段,也可以自定义字段。

~~payload预定义的一些字段~~
iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

将这个对象同样使用BASE64URL加密并且与jwt头以点号( . )隔开。

三、VERIFY SIGNATURE 哈希签名

对jwt头和载荷信息使用指定算法进行哈希签名,确保数据的完整性。
在签名算法中需要指定一个私钥,这个私钥只存储于服务器中,不能向用户公开。
将生成的哈希签名作为第三部分与前两部分以点号隔开,就生成了一个完整的token。

JWT的存储

服务器在验证用户合法性后会生成token,并将这个token发送给客户端,由客户端(即浏览器)存储在cookie或者local storage中。
客户再次进入系统时,客户端将携带token发给服务器作验证,这时候,token一般位于HTTP请求的HEADER AUTHORITON字段中,有时,也会放在post请求的数据主体中。

JWT的优缺点

1、JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
2、当JWT未加密方法是,一些私密数据无法通过JWT传输。
3、JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
4、JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。
5、JWT本身包含认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。为了减少盗用,JWT的有效期不宜设置太长。对于某些重要操作,用户在使用时应该每次都进行进行身份验证。
6、为了减少盗用和窃取,JWT不建议使用HTTP协议来传输代码,而是使用加密的HTTPS协议进行传输。

JWT的实现

这里只介绍java中如何实现,其它编程语言请参考JWT官网。
1.先引入jwt所需的jar包

 <dependency>
     <groupId>com.auth0</groupId>
     <artifactId>java-jwt</artifactId>
     <version>3.3.0</version>
 </dependency>

2.生成token以及验证

import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.io.UnsupportedEncodingException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

public class AuthTools {

    public static String sign(String userName, String userId){
        try {
            Date date = new Date(System.currentTimeMillis() + Constant.EXPIRE_TIME);
            Algorithm algorithm = Algorithm.HMAC256(Constant.TOKEN);
            //设置头部信息
            Map<String, Object> header = new HashMap<>(2);
            header.put("typ","jwt");
            header.put("alg","HS256");
            return JWT.create()
                    .withHeader(header)
                    //设置自定义载荷信息
                    .withClaim("userName",userName)
                    .withClaim("userId", userId)
                    //设置token过期时间
                    .withExpiresAt(date)     
                    .sign(algorithm);
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return null;
    }

    public static boolean verify(String token){
        try {
            Algorithm algorithm = Algorithm.HMAC256(Constant.TOKEN);
            JWTVerifier verifier = JWT.require(algorithm).build();
            DecodedJWT jwt = verifier.verify(token);
            return true;
        } catch (UnsupportedEncodingException e) {
            return false;
        }
    }
}



//一些用到的常量
public class Constant {

    //设置过期时间为15分钟
    public static final long EXPIRE_TIME = 15*60*1000;

    //token私钥
    public static final String TOKEN = "cabsycbiabiebciubadiugi";

}

3.验证token的生成

import ch.qos.logback.core.net.SyslogOutputStream;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import com.test.travel.tools.AuthTools;
import com.test.travel.tools.Constant;

import java.io.UnsupportedEncodingException;

public class TestMain {

    public static void main(String[] args) {

        String token = AuthTools.sign("username","1");
        System.out.println("用户是否合法: " + AuthTools.verify(token));

        Algorithm algorithm = null;
        try {
            algorithm = Algorithm.HMAC256(Constant.TOKEN);
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        JWTVerifier verifier = JWT.require(algorithm).build();
        DecodedJWT jwt = verifier.verify(token);

        System.out.println("header: " + jwt.getHeader());
        System.out.println("payload:" + jwt.getPayload());
        System.out.println("signature: " + jwt.getSignature());
        System.out.println("token: " + jwt.getToken());
        System.out.println("userName: " + jwt.getClaim("userName").asString());
        System.out.println("userId: " + jwt.getClaim("userId").asString());
        System.out.println("算法: " + jwt.getAlgorithm());

    }

}


##执行结果
用户是否合法: true
header: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
payload:eyJ1c2VyTmFtZSI6InVzZXJuYW1lIiwiZXhwIjoxNTU1NTkzMDMwLCJ1c2VySWQiOiIxIn0
signature: M7b7w1Zd4jeVCGii9VJRlfTQgjD_cCtQYWyDQhCeU2s
token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyTmFtZSI6InVzZXJuYW1lIiwiZXhwIjoxNTU1NTkzMDMwLCJ1c2VySWQiOiIxIn0.M7b7w1Zd4jeVCGii9VJRlfTQgjD_cCtQYWyDQhCeU2s
userName: username
userId: 1
算法: HS256
~来了小老弟
关注
  • 7
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Web基础:Token
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
如果一直在操作网页token会失效吗?
m0_74099927的博客
04-11 240
如果一直在操作网页token会失效吗?
【笔记】什么是token
weixin_43348322的博客
08-20 914
什么是token
深入了解“令牌Token
最新发布
m0_66993332的博客
05-22 239
token机制的一些讲解
Web应用中的Cookie, Session, Token机制
般若
12-08 839
要解决HTTP协议无状态的问题,提升Web应用的交互体验,通常有三种方案:Cookie, Session, Token
数据交互系列:简述token和如何使用token
Code_King006的博客
07-31 2504
欢饮各位大神和同行指点❤
Token的作用及原理
热门推荐
0945v1
07-09 1万+
讲到Token的作用和原理,网上有很多相关的技术文章,通过搜集整理并加入自己的理解体会,做一个总结整理,希望可以帮助到更多有需要的人。 1、token作用及原理 Token,即令牌,是服务器产生的,具有随机性和不可预测性,它主要有两个作用: (1)防止表单重复提交; 使用Token防表单重复提交步骤: ①在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token; ②将Token发送到客户端的Form表单中,在Form表单中使用隐藏域
asp.net webapi2 基于token令牌的身份验证
03-27
本文将深入探讨ASP.NET WebAPI2如何实现基于Token令牌身份验证。 首先,我们需要理解Token的身份验证原理。这种机制下,用户登录后,服务器会生成一个唯一的Token,这个Token包含了一些关于用户的信息,经过加密...
创建token令牌的算法示例
12-30
本文将深入探讨如何在Java环境中创建和使用`Token`,以及其背后的算法原理。 首先,我们需要理解什么是`Token`。`Token`是一个字符串,它代表了用户的身份或授权信息。与传统的Cookie相比,`Token`不存储在客户端,...
webapi token验证例子
06-05
WebAPI Token验证是一种常见的安全机制,它用于保护Web API接口免受未经授权的访问。...通过研究这些代码,你可以深入理解WebAPI中Token验证的工作原理和实现方式。这将有助于你构建更安全、更健壮的Web服务。
深入理解令牌认证机制(token
10-16
令牌认证机制,或者说Token,是现代Web应用中广泛采用的一种安全认证方式,特别是在前后端分离的架构中。Token主要用于在用户身份验证后提供一种安全的身份标识,使得客户端可以在不暴露用户名和密码的情况下,访问...
jwt-demo token实战
12-06
JWT(JSON Web Token)是一种...通过学习和运行这个项目,你可以深入理解JWT的工作原理以及如何在实际的Web环境中实施。这将有助于提升你在身份验证和授权领域的技能,使你能为你的应用构建更安全的登录和授权机制。
知识小结-05token原理与使用
weixin_42282999的博客
02-23 1409
1、token主要有两个作用: (1)防止表单重复提交(设置在多少时间内) 原理:在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌),同时在当前用户的Session域中保存这个Token。 然后将Token发送到客户端的Form表单中,在Form表单中使用隐藏域来存储这个Token,表单提交的时候连同这个Token一起提交到服务器端, 然后在服务器端判断客户端提交上来的Token与...
基于TokenWEB后台认证机制
weixin_30845171的博客
06-22 4279
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
JSON Web Token原理深入理解
氷的博客
03-25 469
JWT全称Json Web Token,翻译为JSON格式的网络令牌,很多时候又简称为Token(JWT是Token的一种实现方式)。它要解决的问题,就是为多种终端设备,提供统一的、安全的令牌格式。因此,JWT只是一个令牌格式而已,你可以把它存储到Cookie,也可以存储到localstorage,没有任何限制!同样的,对于传输,你可以使用任何传输方式来传输JWT,一般来说,我们会使用HTTP请求头(Authorization)来传输它。比如,当登录成功后,服务器可以给客户端响应一个JWT。
Token令牌原理及使用
清颖的博客
06-22 5853
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
token令牌常用的四种加密方式
weixin_49612239的博客
07-05 6002
1.base64 ‘防君子不防小人’ 方法 作用 参数 返回值 b64encode 将输入的参数转化为base64规则的串 预加密的明文,类型为bytes;例:b‘guoxiaonao’ base64对应编码的密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ b64decode 将base64串 解密回 明文 base64密文,类型为bytes;例:b’Z3VveGlhb25hbw==’ 参数对应的明文,类型为bytes;例:b’guoxiaonao’ urlsaf
【前端开发必备】深入理解Token技术的实现原理和安全性
DevCorner的Pro技术博客
06-22 3758
Token,又称令牌,是一种用于身份验证的方式。在前后端分离的应用中,当用户登录后,后端会生成一个Token字符串,然后将其返回给前端。前端可以将该Token保存在客户端,例如浏览器的Cookie或LocalStorage中,以便在需要访问后端API时,将该Token发送给后端进行身份验证。后端在验证Token的有效性后,会根据Token所代表的用户身份等信息,返回相应的数据或执行相应的操作。前端Token技术是一种常用而且重要的身份验证方式,在前后端分离的应用中得到了广泛应用。
token在前端页面的处理
yiXin_Chen的博客
02-28 1324
token在登录页面及加载登录用户信息页面的处理
jwttoken原理
05-20
JWT(JSON Web Token)是一种基于JSON格式的安全令牌,用于在网络应用中传递声明。JWT由三个部分组成,分别是Header(头部)、Payload(负载)和Signature(签名)。 Header部分通常由两部分组成,分别是token类型和算法类型,例如: ``` { "alg": "HS256", "typ": "JWT" } ``` Payload部分是JWT的核心,包含了一些声明信息,例如用户ID、用户名、过期时间等,也可以自定义一些信息,如下所示: ``` { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 } ``` Signature部分是使用私钥对Header和Payload进行签名得到的,用于验证JWT的真实性和完整性。签名的过程如下: 1. 将Header和Payload进行Base64编码,得到两个字符串 2. 将两个字符串用`.`连接起来,得到一个字符串 3. 使用私钥对字符串进行签名,得到一个密文 JWT的验证过程如下: 1. 将Header和Payload进行Base64编码,得到两个字符串 2. 将两个字符串用`.`连接起来,得到一个字符串 3. 使用公钥对密文进行验签,得到一个字符串 4. 将验签得到的字符串和第2步得到的字符串进行比较,如果相等则验证通过 JWT的优点在于它是无状态的,即服务端不需要保存任何状态信息,只需要验证JWT的合法性即可。这样可以减轻服务器的负担,提高系统的可伸缩性。同时,JWT还支持跨域访问和多语言环境,是一种非常灵活的令牌方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值