实现令牌技术

已于 2024-03-07 16:59:42 修改
阅读量870 收藏 21
点赞数 28
分类专栏: JavaEE 文章标签: 服务器 数据库 前端
于 2024-03-07 16:52:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67793092/article/details/136355717
版权

目录

令牌技术

实现令牌的方式

JWT令牌

JWT令牌的生成和校验

1.引入JWT令牌的依赖

2.生成令牌

3.校验令牌

给一个场景:实现登录

传统思路:

• 登陆页面把用户名密码提交给服务器.

• 服务器端验证用户名密码是否正确, 并返回校验结果给后端

• 如果密码正确, 则在服务器端创建 Session . 通过 Cookie 把 sessionId 返回给浏览器.

问题: 集群环境下无法直接使用Session。

1.session存在服务器中,服务器重启,session丢失,用户需要重新登录。

2.用户第一次请求,分配在服务器1,session存在服务器1上。用户第二次请求,分配在服务器2,服务器2没有用户的session,校验失败,认为用户没有登录,让用户重新登录。

解决方案:

1.session存储在一个公用机器(或者缓存中)

2.token(常用)

token:带有一定信息的字符串,token是客户端进行访问时携带的;token不能伪造;token不是用来加密,是用来防止篡改。

令牌技术

令牌其实就是⼀个用户身份的标识

使用令牌技术解释场景:

  1. 用户登录 用户登录请求, 经过负载均衡, 把请求转给了第一台服务器, 第一台服务器进行账号密码验证, 验证成功后, 生成⼀个令牌, 并返回给客户端。
  2. 客户端收到令牌之后, 把令牌存储起来. 可以存储在Cookie中, 也可以存储在其他的存储空间(比如 localStorage)
  3.  查询操作 用户登录成功之后, 携带令牌继续执行查询操作, 比如查询博客列表. 此时请求转发到了 第二台机器, 第二台机器会先进行权限验证操作.。服务器验证令牌是否有效, 如果有效, 就说明用户已经执行了登录操作, 如果令牌是无效的, 就说明用户之前未执行登录操作。

令牌的优缺点

优点: 1.解决了集群环境下的认证问题

         2.减轻服务器的存储压力(无需在服务器端存储)

缺点: 1.需要自己实现(包括令牌的生成, 令牌的传递, 令牌的校验)

当前企业开发中, 解决会话跟踪使用最多的方案就是令牌技术

实现令牌的方式

JWT令牌

JWT全称: JSON Web Token

官网: JSON Web Tokens - jwt.io

JSON Web Token(JWT) 用于客户端和服务器之间传递安全可靠的信息。其本质是一个token, 是一种紧凑的URL安全方法。

JWT令牌的生成和校验
1.引入JWT令牌的依赖
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt-api</artifactId>
 <version>0.11.5</version>
</dependency>
<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt-impl</artifactId>
 <version>0.11.5</version>
 <scope>runtime</scope>
</dependency>
<dependency>
 <groupId>io.jsonwebtoken</groupId>
 <artifactId>jjwt-jackson</artifactId> <!-- or jjwt-gson if Gson is preferred--> 
 <version>0.11.5</version>
 <scope>runtime</scope>
</dependency>
2.生成令牌
public class JwtUtilTest {
    //过期时间,30分钟
    private static final long expiration=30*60*1000;
    //1.生成token
    //2.验证token
    @Test
    public void getToken(){
        Key key= Keys.hmacShaKeyFor(Decoders.BASE64.decode("asddfghhjjzzzzzzaqwexfgff"));//签名的编码方式
        Map<String,Object> claim=new HashMap<>();
        claim.put("id",5);
        claim.put("name","zhangsan");
        //setClaims()自定义载荷(要存储的信息)
        String token=Jwts.builder()
                            .setClaims(claim)//生成载荷
                            .setExpiration(new Date(System.currentTimeMillis()+expiration))//生成过期时间
                            .signWith(key)//生成签名
                            .compact();//生成token
        System.out.println(token);
    }
}

运行:

加长字符串长度,得到token,将token解析:

自动随机生成key

 @Test
    public void genKey(){
        //随机生成一个key
        SecretKey secretKey= Keys.secretKeyFor(SignatureAlgorithm.HS256);
        String key = Encoders.BASE64.encode(secretKey.getEncoded());
        System.out.println(key);
    }

把这个生成的key带入上面,位数不会出现错误,即可生成token。

3.校验令牌

完成了令牌的生成, 我们需要根据令牌, 来校验令牌的合法性(以防客户端伪造)

    //校验令牌
    @Test
    public void parseToken(){
        String token ="eyJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoiemhhbmdzYW4iLCJpZCI6NSwiZXhwIjoxNzA5MTk2MjE2fQ.8Kh05VSkgmXl2A_UtCU0GWlIVlNDApzpQ6wSMOoCsQ4";
        JwtParser build = Jwts.parserBuilder().setSigningKey(key).build();
        Claims body = build.parseClaimsJws(token).getBody();
        System.out.println(body);
    }
Roylelele
关注
  • 28
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
登录令牌解决方案对比
Light.T的博客
09-21 251
session 使用流程 用户向服务器发送用户名和密码。 服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 服务器向用户返回一个 session_id,写入用户的 Cookie。 用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 问题:扩展性(scaling)不好,服务器集群需要将session数据共享 解决方发: session 数据持久化,.
QoS技术令牌桶算法实现方式比较
04-24
在实际部署QoS策略时,网络工程师需要根据网络的结构、流量特性以及业务需求来选择合适的QoS技术令牌桶算法实现方式。比如,对于需要保证关键业务应用性能的场景,可能会采用更为严格和复杂的QoS策略,结合双速率...
令牌机制
weixin_41980941的博客
07-18 942
令牌机制(一次性) 原理:在页面加载时,一个token放在session中,另一个用form提交传递到后台, 后台接收到两个token进行对比,相同则是第一次提交,清空token 1.在Servlet代码 // 判断是否是重复提交: String token1 = (String)request.getSession().ge...
深入解析Spring Boot中的JWT令牌校验:安全身份验证与授权实践
最新发布
A_991128a的博客
07-26 1034
JWT是一种基于JSON的开放标准(RFC 7519),用于在用户和服务器之间安全地传输信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部通常包含令牌的类型(JWT)和使用的加密算法,载荷包含要传输的信息(如用户ID、角色等),签名用于验证令牌的真实性。通过本文的介绍,我们深入了解了Spring Boot中JWT令牌校验的实现方法及其相关的技术细节。JWT令牌是一种安全传输信息的开放标准,通过在用户和服务器之间传递被声明的对象来安全地传输信息。
零、生成 Token 令牌
Yilong18的博客
10-26 1093
零、生成 Token 令牌
登录(生成令牌)
Leon_Jinhai_Sun的博客
12-22 729
功能说明: 用户登录时生成并返回令牌,该令牌用于访问P2P平台内受保护资源。 访问路径:POST http://localhost:53020/uaa/oauth/token 请求参数: grant_type: 授权类型,可以是authorization_code,implicit,client_credentials,password client_id:接入客户端id client_secret:接入客户端密钥 username:登录用户名 passwo
web令牌机制
m0_63411853的博客
01-28 1631
令牌机制思想:        令牌机制是一种编程思想,被引入到Struts2中,主要是为了防止用户在提交表单数据时,多次提交,从而引起数据紊乱或者系统崩溃! 原理:        用户在访问页面时,服务器会给用户的请求中分配一个令牌(一组值),并且将此令牌拷贝一份放在Session中,在用户提交后,会将用户提交时所携带的令牌和session中的令牌进行比对,通过之后会将
Linux多线程实现令牌桶流量控制
02-19
本文将深入探讨如何在Linux环境下利用多线程技术实现令牌桶流量控制。 首先,我们要理解令牌桶算法的基本原理。令牌桶算法是一个允许突发数据传输并同时保持平均传输速率的机制。桶中存储一定数量的令牌,只有当...
基于令牌桶算法实现的SpringBoot无锁限流插件
08-07
在本文中,我们将详细探讨如何利用令牌桶算法实现一个SpringBoot无锁限流插件,以及其在Java Web开发中的应用。 首先,SpringBoot作为一款轻量级的Java Web框架,因其简洁的配置和强大的功能深受开发者喜爱。结合...
TokenRing:分布式系统同步的令牌实现
07-02
**TokenRing:分布式系统同步的令牌实现** 在分布式系统中,同步是确保多个节点能够协同工作、避免冲突和数据不一致的关键要素。TokenRing是一种经典的网络拓扑结构和通信协议,它在分布式系统同步中扮演了重要...
动态口令电子令牌技术在电力系统中的应用.pdf
08-27
为了确保电力系统的稳定运行和用户信息的安全,动态口令电子令牌技术得到了广泛应用。这种技术是一种先进的身份认证方法,它解决了传统静态密码易被窃取或长期使用相同口令所带来的安全隐患。 动态口令电子令牌技术...
创建token令牌的算法示例
12-30
这是一个token的示例,众所周知,token是用于后台服务器认证浏览器的一种技术,它弥补了cookie对数据大小限制和安全性问题
JWT令牌生成与校验
赵广陆
02-08 2509
目录1 JWT介绍1.1 什么是JWT?1.2 JWT令牌结构2 配置JWT令牌服务3 生成JWT令牌4 校验JWT令牌5 JWT整合Spring Security5.1 创建表6 配置授权服务6.1 测试 1 JWT介绍 通过上边的测试我们发现,当资源服务和授权服务不在一起时资源服务使用RemoteTokenServices 远程请求授权服务验证token,如果访问量较大将会影响系统的性能 。 解决上边问题: 令牌采用JWT格式即可解决上边的问题,用户认证通过会得到一个JWT令牌,JWT令牌中已经包括了
令牌桶生成令牌_使用令牌的经典ASP登录系统
cunchi8090的博客
07-20 1116
令牌桶生成令牌This demonstration started out as a follow up to some recently posted questions on the subject of logging in: http://www.experts-exchange.com/Programming/Languages/Scripting/JavaScript/Q_286346...
【限流算法】java实现令牌桶算法
DreamSeeker
11-18 7119
本文实现了一种基本的令牌桶算法 令牌桶算法思想:以固定速率产生令牌,放入令牌桶,每次用户请求都得申请令牌令牌不足则拒绝请求或等待。 代码逻辑:线程池每0.5s发送随机数量的请求,每次请求计算当前的令牌数量,请求令牌数量超出当前令牌数量,则产生限流。 @Slf4j public class TokensLimiter { private ScheduledExecutorServ...
令牌桶生成令牌_设计令牌如何有效使用令牌
weixin_26715991的博客
09-04 618
令牌桶生成令牌“It used to be that designers made an object and walked away. Today the emphasis must shift to designing the entire lifecycle.” “过去,设计师制造了一个物体然后走开了。 今天,重点必须转向设计整个生命周期。” Paul Saffo — technology...
keystone令牌三种生成方式
Jian Sun_的博客
06-28 1846
keystone认证方式:UUID、PKI、Fernet; 通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 公开密钥加密,也称为非对称加密(asymmetric cryptography,加密密钥和解密密钥不相同).
令牌的校验与刷新
Leon_Jinhai_Sun的博客
05-10 1086
令牌校验 Spring Security Oauth2提供校验令牌的端点,如下: Get: http://localhost:9001/oauth/check_token?token= [access_token] 参数: token:令牌 使用postman测试如下: 如果令牌校验失败,会出现如下结果: 如果令牌过期了,会如下如下结果: 刷新令牌 刷新令牌是当令牌快过期时重新生成一个令牌,它于授权码授权和密码授权生成令牌不同,刷新令牌不需要授权码 也不需要账号和密码,只需要一
[SpringBoot] JWT令牌——登录校验
m0_61632590的博客
04-26 782
如果用户进行登录操作,登录成功后,服务器会调用令牌生成方法,给用户生成一个令牌,然后将令牌返回给用户端,用户端就会把令牌存储到本地,之后用户发送任何请求都会在请求体中携带令牌。而用户发起的任何请求都会被服务器的过滤器所拦截,在过滤器中校验令牌的真假,如果令牌正确,则放行用户的请求,如果令牌错误,则返回给用户端提示信息生成一个 JWT令牌需要设置令牌的加密算法、密钥、有效时期,也可以在令牌中添加一些自定义的内容,而自定义的内容会被添加到令牌的载荷(payload)部分里所以我们定义两个静态变量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Roylelele

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值