token的使用

已于 2023-01-08 19:46:48 修改
阅读量3.9k 收藏 23
点赞数 6
分类专栏: 后端 练习 文章标签: 服务器
于 2022-11-21 19:42:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50769390/article/details/127970458
版权

一:什么是token及token的作用?

1.什么是token?

Token是首次登录时,由服务器下发,作为客户端进行请求时的一个令牌。当请求后台方法时,用于身份验证

当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码

2.Token的作用?

Token完全由应用程序进行管理,所以它可以避开同源策略
Token可以避免CSRF(跨站请求访问)攻击 

 简单的说:后端生成token 会有一个签名(基本上后端自己设计)  避免外部攻击!

Token可以是无状态的,可以在多个服务器之间共享
使用Token减轻服务器的压力,减少频繁的查询数据库

3.Token的身份认证过程!

1.用户通过用户名和密码发送请求

2.程序进行验证

3.程序会返回一个字符串(就是token)给客户端

4.客户端进行储存token,并且用于每一次请求

5.服务器验证并且返回想要的数据

现在知道token是干什么的了,那么怎么使用token呢?

 二:JWT介绍

1.什么是JWT 

JWT,全称为JSON Web token,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWT的应用程序不再需要保存有关其用户的cookie或session数据

* 在身份验证过程中, 当用户使用其凭据成功登录时,将返回JWT,客户端会将其保存到本地存储中,而后每次请求都会携带

* JWT本质上就是一个经过加密处理与校验处理的字符串,

它由三部分组成:头信息.有效载荷.签名
    头信息: 一般由两部分组成,Token类型和散列算法(HMAC、RSASSA、RSASSA-PSS等)

{
   "typ": "JWT",
  "alg": "HS256"
}


    有效载荷: 一般里面可以存储自定义的实体的信息

payload(载荷)信息存放的是Claims声明信息。载荷其实就是自定义的数据,一般存储用户Id,过期时间等信息。也就是JWT的核心所在,因为这些数据就是使后端知道此token是哪个用户已经登录的凭证。而且这些数据是存在token里面的,由前端携带,所以后端几乎不需要保存任何数据。


    签名: 用于保证消息在传输过程中不会被篡改

signature(签名)需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。

 2.JWT的流程

 3.项目中使用JWT

1.依赖

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

 2.封装工具类 创建和解析token(调用)

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Map;

public class JwtUtil {
   // 创建token
    public static String createToken(Long id,String secret) {
        Map<String, Object> map = new HashMap<String, Object>();
        map.put("id", id);
        return Jwts.builder()
                .setClaims(map) //设置响应数据体
                .signWith(SignatureAlgorithm.HS256, secret) //设置加密方法和加密盐
                .compact();
    }


    // 解析token
    public static Map parseToken(String token,String secret) {
        return Jwts.parser().setSigningKey(secret)
                .parseClaimsJws(token)
                .getBody();
    }

}

最后token 相当于这玩意:

 "token": "eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MTI4fQ.BUsv0fc8qI2Yx02vEDLUR1JSc-FV5Sr8NuqsXIKPiNg"

生成和解析token工具类

import io.jsonwebtoken.*;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.*;

public class AppJwtUtil {

    // TOKEN的有效期一天(S)
    private static final int TOKEN_TIME_OUT = 3_600;
    // 加密KEY
    private static final String TOKEN_ENCRY_KEY = "MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY";
    // 最小刷新间隔(S)
    private static final int REFRESH_TIME = 300;

    // 生产ID
    public static String getToken(Long id){
        Map<String, Object> claimMaps = new HashMap<>();
        claimMaps.put("id",id);
        long currentTime = System.currentTimeMillis();
        return Jwts.builder()
                .setId(UUID.randomUUID().toString())
                .setIssuedAt(new Date(currentTime))  //签发时间
                .setSubject("system")  //说明
                .setIssuer("heima") //签发者信息
                .setAudience("app")  //接收用户
                .compressWith(CompressionCodecs.GZIP)  //数据压缩方式
                .signWith(SignatureAlgorithm.HS512, generalKey()) //加密方式
                .setExpiration(new Date(currentTime + TOKEN_TIME_OUT * 1000))  //过期时间戳
                .addClaims(claimMaps) //cla信息
                .compact();
    }

    /**
     * 获取token中的claims信息
     *
     * @param token
     * @return
     */
    private static Jws<Claims> getJws(String token) {
            return Jwts.parser()
                    .setSigningKey(generalKey())
                    .parseClaimsJws(token);
    }

    /**
     * 获取payload body信息
     *
     * @param token
     * @return
     */
    public static Claims getClaimsBody(String token) {
        try {
            return getJws(token).getBody();
        }catch (ExpiredJwtException e){
            return null;
        }
    }

    /**
     * 获取hearder body信息
     *
     * @param token
     * @return
     */
    public static JwsHeader getHeaderBody(String token) {
        return getJws(token).getHeader();
    }

    /**
     * 是否过期
     *
     * @param claims
     * @return -1:有效,0:有效,1:过期,2:过期
     */
    public static int verifyToken(Claims claims) {
        if(claims==null){
            return 1;
        }
        try {
            claims.getExpiration()
                    .before(new Date());
            // 需要自动刷新TOKEN
            if((claims.getExpiration().getTime()-System.currentTimeMillis())>REFRESH_TIME*1000){
                return -1;
            }else {
                return 0;
            }
        } catch (ExpiredJwtException ex) {
            return 1;
        }catch (Exception e){
            return 2;
        }
    }

    /**
     * 由字符串生成加密key
     *
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getEncoder().encode(TOKEN_ENCRY_KEY.getBytes());
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }

    public static void main(String[] args) {
       /* Map map = new HashMap();
        map.put("id","11");*/
        System.out.println(AppJwtUtil.getToken(1102L));
        Jws<Claims> jws = AppJwtUtil.getJws("eyJhbGciOiJIUzUxMiIsInppcCI6IkdaSVAifQ.H4sIAAAAAAAAADWLQQqEMAwA_5KzhURNt_qb1KZYQSi0wi6Lf9942NsMw3zh6AVW2DYmDGl2WabkZgreCaM6VXzhFBfJMcMARTqsxIG9Z888QLui3e3Tup5Pb81013KKmVzJTGo11nf9n8v4nMUaEY73DzTabjmDAAAA.4SuqQ42IGqCgBai6qd4RaVpVxTlZIWC826QA9kLvt9d-yVUw82gU47HDaSfOzgAcloZedYNNpUcd18Ne8vvjQA");
        Claims claims = jws.getBody();
        System.out.println(claims.get("id"));

    }

}

華同学.
关注
  • 6
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Token解析
ThreeAspects的博客
10-27 6691
  定义:Token是服务端生成的一串字符串,作为客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。   使用目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。 基于 Token 的身份验证 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的: 1、客户端使用用户名跟密码请求登录 2、服务端收到请求,去验证用户名与密码
token使用流程
EatsSinner的博客
06-28 610
token token的概念 token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算...
了解 token,以及使用token作为访问权限的令牌
m0_57184906的博客
04-08 924
访问权限的令牌,本质上是一串字符串发起请求之前,触发的配置函数,对请求参数进行额外配置响应回到 then/catch 之前,触发的拦截函数,对响应结果统一处理例如:身份验证失败,统一判断并做处理。
关于tokentoken使用详解
2301_79644036的博客
04-19 1989
首先在 express 中安装 jsonwebtoken生成 token 值并返回给前端:在 login 接口中加入// SECRET_KEY 可以是自己定义的一个密钥,也可以是使用 crypto 包随机生成或者其他密钥可以定义在全局然后使用白名单去除不需要验证的接口;这里定义一个验证 token 的中间件,需要使用 token 验证才能获取数据的接口才放上这个中间件:if (!
Token使用
zyy151007的博客
03-21 1727
5.服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据,如果验证失败就返回。2.验证成功后,服务端会签发一个token,再把这个token发送给客户端。验证token是否过期并规定哪些路由不需要验证 (具体代码下面会写)4.客户端每次向服务端请求资源的时候需要带着服务器签发的token。定义生成token和获取token的函数。再次向服务端发送请求时携带token。验证token的方法verify。生成token的方法sign。作用:生成token与验证。
什么是token/token如何使用
热门推荐
qq_45955475的博客
11-01 2万+
什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。 token的存储 token可以存到数据库中,但是有可能查询token
token是什么?token的作用以及运用场景?
qq_44052087的博客
11-15 1864
token是什么?token的作用以及运用场景?
php token使用与验证示例【测试可用】 <font color=red>原创</font>
10-19
主要介绍了php token使用与验证方法,通过对form表单hidden提交字段的处理实现token验证功能,防止非法来源数据的访问,需要的朋友可以参考下
session vs token 使用特性.md
03-15
session 与 token 特性,让你更加了解 session 与 token ,更合理的 使用 session 与 token
php token使用与验证示例【测试可用】 原创
12-19
本文实例讲述了php token使用与验证。分享给大家供大家参考,具体如下: 一、token功能简述 PHP 使用token验证可有效的防止非法来源数据提交访问,增加数据操作的安全性 二、实现方法: 前台form表单: <form ...
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
api.rar_Token 使用redis_django_exclaimedthp_redis_roselgr
09-24
前后端分离,使用redis存储用户token实现登录才可以调用的接口
token的简单使用
q1519187064的博客
02-22 917
身份验证: HTTP 是一种没有状态的协议,也就是它并不知道是谁在访问。客户端用户名密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证。 token定义: token是服务端生成的一串字符串,作为客户端进行请求的一个令牌,第一次登录后,服务器生成一个token并返回给客户端,客户端再次请求时,只需携带token即可,很大程度上减轻了服务器的压力,不用频繁的查询数据库。 思想: 1、客...
数据交互系列:简述token和如何使用token
Code_King006的博客
07-31 2457
欢饮各位大神和同行指点❤
如何使用token保存用户登录信息
微信公众号:一颗向上的草莓
07-31 1万+
1.登录成功后生产token 登录成功之后,后台生成一个token,将token保存在redis中,key是token,value是用户id,并且把token响应给前端,前端每次请求时都把token传给后台进行鉴权。生成token代码如下: private String logining(String account,Long userId){ String token =...
请求时,为什么要携带token
渣渣的成长之路
08-16 5476
token是什么? token携带在请求头中,只有登录请求不需要携带token,登录成功后把token返回给前端,以后的请求前端需要携带这个token来才能请求成功!否则请求被拦截…… 为什么要用它? token的目的是减轻服务器压力,减少数据库请求。 如果没有token做一层拦截的,每次请求都会去请求数据库,如果恶意请求,很可能击垮数据库… 如何实现呢? 拦截器 JWT:JSON WEB TOKEN,用于生产token Jwts.builder() .s
JSON WEB TOKEN
weixin_34273481的博客
03-19 722
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
tiDB token使用
最新发布
04-24
TiDB Token 使用率是指在 TiDB 集群中,每个节点上分配的 Token使用情况。Token 是用于水平分片的一种方式,将数据划分为多个范围,每个范围对应一个 Token。TiDB 使用 TiKV 作为底层存储引擎,TiKV 负责存储和处理数据。 TiDB Token 使用率可以通过以下几个方面来衡量: 1. Token 分布均匀性:如果 Token 在各个节点上分布均匀,说明数据在集群中得到了合理的分布,避免了热点问题。 2. Token 利用率:如果 Token 的利用率高,说明数据在集群中得到了充分的利用,避免了资源浪费。 3. 数据迁移频率:如果 Token使用率过高,可能会导致数据迁移频繁,影响集群的性能。 为了提高 TiDB Token 使用率,可以采取以下措施: 1. 合理规划数据分布:根据业务需求和数据特点,合理划分 Token 范围,使得数据在集群中均匀分布。 2. 动态调整数据分布:根据实际情况,动态调整 Token 的分布,避免热点问题和资源浪费。 3. 监控和优化:通过监控 TiDB 集群的 Token 使用情况,及时发现问题并进行优化,提高 Token 的利用率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

華同学.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值