token的用法（生成和验证）

远游客0713

于 2024-09-27 16:21:29 发布

阅读量401

点赞数 14

文章标签：前端后端安全

本文链接：https://blog.csdn.net/weixin_45582252/article/details/142596410

版权

首先我们先来看一下图中显示的token，相信很多朋友都听说过token这种东西，但是没有深入了解过这些东西，下面让我浅显的介绍一下。

首先，Token（令牌）是一个广泛使用的概念，尤其在计算机科学和网络安全领域。它的具体含义和用途可能会根据上下文有所不同。以下是一些常见的Token类型及其详细介绍：

1. 认证Token

在Web开发中，认证Token通常用于用户身份验证和会话管理。用户在登录后，服务器会生成一个Token（例如JWT，JSON Web Token），并将其返回给客户端。客户端在后续请求中会将此Token包含在HTTP头中，以证明其身份。

优点：
- 无需在服务器端存储会话信息，减少了服务器的负担。
- 能够在多个服务之间共享用户身份。
- 可以设置过期时间，提高安全性。

2. 访问Token与刷新Token

在OAuth 2.0等认证协议中，通常会使用访问Token和刷新Token。

访问Token：用于访问受保护的资源，通常有效期短（如几分钟到几小时）。
刷新Token：用于获取新的访问Token，通常有效期更长（如几天到几个月）。当访问Token过期时，客户端可以使用刷新Token请求新的访问Token，而不必重新登录。

3. API Token

API Token是用于身份验证的字符串，允许应用程序与API进行交互。开发者通常会在API服务中生成API Token，并将其提供给客户端应用。

使用场景 ：
- 在调用API时，客户端需要在请求中包含API Token，以验证其身份。
- 常用于第三方服务集成，确保只有授权的应用可以访问API。

4. CSRF Token

CSRF（Cross-Site Request Forgery）Token是一种安全机制，用于防止跨站请求伪造攻击。服务器在发送表单时，会附加一个随机生成的Token，客户端在提交表单时需要将该Token一起发送回服务器。服务器会验证Token是否匹配，以确保请求的合法性。

5. Session Token

Session Token通常用于Web应用的会话管理。用户登录后，服务器会为该用户创建一个会话，并生成一个Session Token。该Token会存储在客户端（通常是cookie中），并在后续请求中发送给服务器。

6. 其他类型的Token

Cryptographic Token：用于加密和解密数据的Token。
Smart Contract Token：在区块链中，智能合约可以生成和管理Token，代表某种资产或权益。

总的来说，Token的使用极大地简化了身份验证、授权和安全性管理。它们通过提供一种无状态的方式来验证用户和服务之间的交互，成为现代Web应用和API开发中的重要组成部分。在实现Token机制时，确保Token的安全性（如加密、过期机制等）是至关重要的。

验证方法一般如下：

Token验证流程通常涉及一系列步骤，以确保用户的身份和请求的合法性。以下是一个典型的Token验证流程，主要以JWT（JSON Web Token）为例进行说明：

1. 用户登录

用户通过前端界面输入凭据（如用户名和密码），并将这些信息发送到后端服务器。

2. 服务器验证凭据

后端服务器接收到用户的凭据后，会进行验证：

检查用户名和密码是否正确。
可以进行其他安全检查，如账户是否被锁定、是否过期等。

3. 生成Token

如果用户凭据有效，服务器会生成一个Token（例如JWT），并将用户的相关信息（如用户ID、角色等）编码到Token中。这个Token通常包含三个部分：

头部（Header）：指定Token的类型和签名算法。
负载（Payload）：包含用户信息和其他元数据。
签名（Signature）：用于验证Token的真实性，防止被篡改。

4. 返回Token给客户端

服务器将生成的Token发送回客户端，通常在HTTP响应的主体中。

5. 客户端存储Token

客户端（如Web应用或移动应用）接收到Token后，通常会将其存储在本地存储、sessionStorage或cookie中，以便在后续请求中使用。

6. 客户端发送请求

在需要访问受保护资源的情况下，客户端会将Token附加到HTTP请求的Authorization头中，格式一般为：

Authorization: Bearer <token>

7. 服务器验证Token

当后端服务器收到请求时，会执行以下操作：

从Authorization头中提取Token。
验证Token的有效性，包括：
- 检查Token是否已过期。
- 验证Token的签名，以确保其未被篡改。
- (可选) 检查Token的其他信息（如黑名单、权限等）。

8. 处理请求

如果Token验证成功，服务器将根据Token中包含的信息（如用户ID）处理请求并返回相应的资源。如果验证失败，服务器将返回401 Unauthorized状态码，表示请求未授权。

9. 刷新Token（可选）

如果使用了刷新Token机制，客户端在访问Token过期时，可以使用刷新Token请求新的访问Token，而无需重新登录。

// GenerateToken 生成Token
func GenerateToken(username string) (string, error) {
	claims := Claims{username, jwt.StandardClaims{
		ExpiresAt: time.Now().Unix() + 60*60,
		Issuer:    username,
	}}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	return token.SignedString(SigningKey)
}

// VerifyToken 验证Token
func VerifyToken(tokenString string) error {
	_, err := jwt.ParseWithClaims(tokenString, &Claims{}, func(token *jwt.Token) (interface{}, error) {
		return SigningKey, nil
	})
	return err
}