最近在做項目開始，涉及到服務器與安卓之間的接口開發(fā)，在此開發(fā)過程中發(fā)現(xiàn)了安卓與一般瀏覽器不同，安卓在每次發(fā)送請求的時候并不會帶上上一次請求的SessionId，導致服務器每次接收安卓發(fā)送的請求訪問時都新建一個Session進行處理，無法通過傳統(tǒng)的綁定Session來進行保持登錄狀態(tài)和通訊狀態(tài)。

基于傳統(tǒng)方法無法判斷安卓的每次請求訪問狀態(tài)，故查詢資料了解到Token，特殊的身份證驗證。以下是網上搜尋資料所得，作為學習總結資料。

令牌是一種能夠控制站點占有媒體的特殊幀，以區(qū)別數據幀及其他控制幀。token其實說的更通俗點可以叫暗號，在一些數據傳輸之前，要先進行暗號的核對，不同的暗號被授權不同的數據操作，下文我們就來詳細的介紹一下關于基于 Token 的身份驗證的教程

最近了解下基于 Token 的身份驗證，跟大伙分享下。很多大型網站也都在用，比如 Facebook，Twitter，Google+，Github 等等，比起傳統(tǒng)的身份驗證方法，Token 擴展性更強，也更安全點，非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”，我覺得挺好，意思就是，你拿著這個令牌，才能過一些關卡。

傳統(tǒng)身份驗證的方法

HTTP 是一種沒有狀態(tài)的協(xié)議，也就是它并不知道是誰是訪問應用。這里我們把用戶看成是客戶端，客戶端使用用戶名還有密碼通過了身份驗證，不過下回這個客戶端再發(fā)送請求時候，還得再驗證一下。

解決的方法就是，當用戶請求登錄的時候，如果沒有問題，我們在服務端生成一條記錄，這個記錄里可以說明一下登錄的用戶是誰，然后把這條記錄的 ID 號發(fā)送給客戶端，客戶端收到以后把這個 ID 號存儲在 Cookie 里，下次這個用戶再向服務端發(fā)送請求的時候，可以帶著這個 Cookie ，這樣服務端會驗證一個這個 Cookie 里的信息，看看能不能在服務端這里找到對應的記錄，如果可以，說明用戶已經通過了身份驗證，就把用戶請求的數據返回給客戶端。Cookie里面存的是sessionID是session記錄的id.

上面說的就是 Session，我們需要在服務端存儲為登錄的用戶生成的 Session ，這些 Session 可能會存儲在內存，磁盤，或者數據庫里。我們可能需要在服務端定期的去清理過期的 Session 。

基于 Token 的身份驗證方法

使用基于 Token 的身份驗證方法，在服務端不需要存儲用戶的登錄記錄。大概的流程是這樣的：

客戶端使用用戶名跟密碼請求登錄

服務端收到請求，去驗證用戶名與密碼

驗證成功后，服務端會簽發(fā)一個 Token，再把這個 Token 發(fā)送給客戶端

客戶端收到 Token 以后可以把它存儲起來，比如放在 Cookie 里或者 Local Storage 里

客戶端每次向服務端請求資源的時候需要帶著服務端簽發(fā)的 Token

服務端收到請求，然后去驗證客戶端請求里面帶著的 Token，如果驗證成功，就向客戶端返回請求的數據

JWT

實施 Token 驗證的方法挺多的，還有一些標準方法，比如 JWT，讀作：jot ，表示：JSON Web Tokens 。JWT 標準的 Token 有三個部分：

header

payload

signature

中間用點分隔開，并且都會使用 Base64 編碼，所以真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是兩部分內容，一個是 Token 的類型，另一個是使用的算法，比如下面類型就是 JWT，使用的算法是 HS256。

{ 
 "typ": "JWT",
 "alg": "HS256"
}

上面的內容要用 Base64 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 里面是 Token 的具體內容，這些內容里面有一些是標準字段，你也可以添加其它需要的內容。

下面是標準字段：

iss：Issuer，發(fā)行者 sub：Subject，主題 aud：Audience，觀眾 exp：Expiration time，過期時間 nbf：Not before iat：Issued at，發(fā)行時間 jti：JWT ID

比如下面這個 Payload ，用到了 iss 發(fā)行人，還有 exp 過期時間。另外還有兩個自定義的字段，一個是 name ，還有一個是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 Base64 編碼以后就變成了這個樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最后一部分是 Signature ，這部分內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時候要放進去一個 Secret ，這個相當于是一個密碼，這個密碼秘密地存儲在服務端。

header

payload

secret

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);

HMACSHA256(encodedString, 'secret');

處理完成以后看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后這個在服務端生成并且要發(fā)送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 以后把它存儲下來，下回向服務端發(fā)送請求的時候就帶著這個 Token 。服務端收到這個 Token ，然后進行驗證，通過以后就會返回給客戶端想要的資源。

補充知識：JAVA后端生成Token（令牌）,用于校驗客戶端

1.概述：

在web項目中，服務端和前端經常需要交互數據，有的時候由于網絡相應慢，客戶端在提交某些敏感數據（比如按照正常的業(yè)務邏輯，此份數據只能保存一份）時，如果前端多次點擊提交按鈕會導致提交多份數據，這種情況我們是要防止發(fā)生的。

2.解決方法：

①前端處理：在提交之后通過js立即將按鈕隱藏或者置為不可用。

②后端處理：對于每次提交到后臺的數據必須校驗，也就是通過前端攜帶的令牌（一串唯一字符串）與后端校驗來判斷當前數據是否有效。

3.總結：

第一種方法相對來說比較簡單，但是安全系數不高，第二種方法從根本上解決了問題，所以我推薦第二種方法

**
 * 生成Token的工具類：
 */
package red.hearing.eval.modules.token;
 
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;
 
import sun.misc.BASE64Encoder;
 
/**
 * 生成Token的工具類
 * @author zhous
 * @since 2018-2-23 13:59:27
 *
 */
public class TokenProccessor {
   
   private TokenProccessor(){};
   private static final TokenProccessor instance = new TokenProccessor();
   
  public static TokenProccessor getInstance() {
    return instance;
  }
 
  /**
   * 生成Token
   * @return
   */
  public String makeToken() {
    String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + "";
     try {
      MessageDigest md = MessageDigest.getInstance("md5");
      byte md5[] = md.digest(token.getBytes());
      BASE64Encoder encoder = new BASE64Encoder();
      return encoder.encode(md5);
    } catch (NoSuchAlgorithmException e) {
      // TODO Auto-generated catch block
      e.printStackTrace();
    }
     return null;
  }
}

/**
 *
 */
package red.hearing.eval.modules.token;
 
import javax.servlet.http.HttpServletRequest;
 
import org.apache.commons.lang3.StringUtils;
 
/**
 * Token的工具類
 * @author zhous
 * @since 2018-2-23 14:01:41
 *
 */
public class TokenTools {
   
  /**
   * 生成token放入session
   * @param request
   * @param tokenServerkey
   */
  public static void createToken(HttpServletRequest request,String tokenServerkey){
    String token = TokenProccessor.getInstance().makeToken();
    request.getSession().setAttribute(tokenServerkey, token);
  }
   
  /**
   * 移除token
   * @param request
   * @param tokenServerkey
   */
  public static void removeToken(HttpServletRequest request,String tokenServerkey){
    request.getSession().removeAttribute(tokenServerkey);
  }
   
  /**
   * 判斷請求參數中的token是否和session中一致
   * @param request
   * @param tokenClientkey
   * @param tokenServerkey
   * @return
   */
  public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){
    String token_client = request.getParameter(tokenClientkey);
    if(StringUtils.isEmpty(token_client)){
      return false;
    }
    String token_server = (String) request.getSession().getAttribute(tokenServerkey);
    if(StringUtils.isEmpty(token_server)){
      return false;
    }
     
    if(!token_server.equals(token_client)){
      return false;
    }
     
    return true;
  }
   
}

以上這篇JAVA中的Token 基于Token的身份驗證實例就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論