目录
1️⃣ What is token?
2️⃣ Why do we use token?
3️⃣ token组成(Composition of token)
4️⃣ 校验token(Verify token)
5️⃣ 实操:
生成token(Generate token)
校验token(Verificationtoken)
1️⃣ What is token?
token是令牌的意思,作用就像“通关令牌”一样,持有token的请求会被“放行”,不持有token的请求可以被拦截(可以设置白名单使不被拦截,例如登陆请求)。
token是由服务端创建的一串字符串,登陆成功后发送给前端存储在浏览器或本地中,以后每次发送请求都携带上。
1. 使用拦截器在请求发出前在请求头中添加上 token。
2. 将 token 存储在浏览器的 cookies 中,符合一些条件每次请求都会自动带上 token。
2️⃣ Why do we use token?
在前后端分离的web项目中,HTTP是无状态协议,即使使用账号密码登陆,后端仍然无法分辨是谁发出的请求,要么后端不需要确认请求者的身份,要么每次请求都携带身份信息供后端确认。
显然第一种方法对软件的安全会造成极大的威胁,那么第二种方法就被改善成了token,token就是加密了的用户身份信息。
3️⃣ token组成(Composition of token)
以jwt(java web token)为例,下图介绍了详细介绍了token的组成。
4️⃣ 校验token(Verify token)
这里只说最基础的校验。
token的加密一般是可逆的,后端接收到token中,还可以根据加密的算法再进行解密,以获取荷载中的用户信息,因此荷载中不能放置密码等信息。
第三部分由于加入了自己制定的秘钥(秘钥一般保存在后端代码中),解密成功后会与前两部分和保存的秘钥进行对比,对比成功了才算token验证通过。经过这样的双重保障,这三部分每一部分被篡改都会被发现。
校验流程:
5️⃣ 实操:
生成token(Generate token)
以生成jwt为例子,代码如下:
<!-- 引入jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.2</version>
</dependency>校验token(Verificationtoken)
@Slf4j
public class JwtUtil {
/**
* 使用固定的解密秘钥
*/
private static final String SECRET = TOKEN_SECRET;
/**
* @version: V1.0
* @description: 生成token并验证token并解密token中的信息
* @param: userInfo 用户手机号和用户Id
* @return: java.lang.String 返回token
**/
public static String getToken(UserInfoEntity userInfo) {
try{
//用秘钥生成签名
Algorithm algorithm = Algorithm.HMAC256(SECRET);
//默认头部+载荷(手机号/id)+签名=jwt
String jwtToken= JWT.create()
.withClaim("userPhone", userInfo.getUserPhone())
.withClaim("userId", userInfo.getUserId())
.sign(algorithm);
log.info("用户{}的token生成成功:{}",userInfo.getUserId(),jwtToken);
return jwtToken;
}catch (Exception e){
log.error("用户{}的token生成异常:{}",userInfo.getUserId(),e);
return null;
}
}
/**
* @version: V1.0
* @description: 校验token是否正确
* @param: token
* @param: userPhone
* @return: UserInfoEntity token中的用户信息(姓名/id)
**/
public static UserInfoEntity verify(String token) {
try {
// 根据用户信息userInfo生成JWT效验器
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWTVerifier verifier = JWT.require(algorithm)
.build();
// 效验TOKEN
verifier.verify(token);
log.info("token:{}校验成功成功",token);
//返回token内容
return getTokenInfo(token);
} catch (Exception exception) {
log.error("token校验异常:{}",exception);
return null;
}
}
/**
* @version: V1.0
* @Title: getUsername
* @description: 从Token中解密获得Token中的用户信息
* @param: token
* @return: UserInfoEntity token中的用户信息(姓名/id)
**/
private static UserInfoEntity getTokenInfo(String token) {
try {
DecodedJWT jwt = JWT.decode(token);
UserInfoEntity userInfo=new UserInfoEntity();
userInfo.setUserPhone(jwt.getClaim("userPhone").asString());
userInfo.setUserId(jwt.getClaim("userId").asString());
log.info("用户{}从token获取用户信息成功",userInfo.getUserId());
return userInfo;
} catch (JWTDecodeException e) {
log.error("从token:{}获取用户信息异常:{}",token,e);
return null;
}
}
}
总结:
在实际应用中,还应考虑安全性措施,如使用安全的随机数生成器生成密钥、定期更换密钥、使用 HTTPS 等。文章来源:https://www.toymoban.com/news/detail-428362.html
Token 的生成和校验机制为应用程序提供了一种安全的身份验证和授权方式,可以用于用户认证、API 访问控制等场景。正确实现和使用 Token 机制可以提高应用程序的安全性和用户体验。文章来源地址https://www.toymoban.com/news/detail-428362.html
到了这里,关于如何生成以及校验token的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
