欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

token工作機(jī)制及原理附Java生成token工具類

 更新時間:2021年12月01日 10:04:49   作者:路飛擼代碼  
這篇文章介紹了token工作機(jī)制及原理,內(nèi)附Java生成token工具類Demo。對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

什么是token

Token是服務(wù)端生成的一串字符串,以作客戶端進(jìn)行請求的一個令牌,當(dāng)?shù)谝淮蔚卿浐螅?wù)器生成一個Token便將此Token返回給客戶端,以后客戶端只需帶上這個Token前來請求數(shù)據(jù)即可,無需再次帶上用戶名和密碼。

基于 Token 的身份驗證

  1. 使用基于 Token 的身份驗證方法,在服務(wù)端不需要存儲用戶的登錄記錄。流程是這樣的:
  2. 客戶端使用用戶名跟密碼請求登錄
  3. 服務(wù)端收到請求,去驗證用戶名與密碼
  4. 驗證成功后,服務(wù)端會簽發(fā)一個 Token,再把這個 Token 發(fā)送給客戶端
  5. 客戶端收到 Token 以后可以把它存儲起來,比如放在 Cookie 里或者 Local Storage 里
  6. 客戶端每次向服務(wù)端請求資源的時候需要帶著服務(wù)端簽發(fā)的 Token
  7. 服務(wù)端收到請求,然后去驗證客戶端請求里面帶著的 Token,如果驗證成功,就向客戶端返回請求的數(shù)據(jù)
  8. APP登錄的時候發(fā)送加密的用戶名和密碼到服務(wù)器,服務(wù)器驗證用戶名和密碼,如果成功,以某種方式比如隨機(jī)生成32位的字符串作為token,存儲到服務(wù)器中,并返回token到APP,以后APP請求時,
  9. 凡是需要驗證的地方都要帶上該token,然后服務(wù)器端驗證token,成功返回所需要的結(jié)果,失敗返回錯誤信息,讓他重新登錄。其中服務(wù)器上token設(shè)置一個有效期,每次APP請求的時候都驗證token和有效期。

token的優(yōu)勢

1.無狀態(tài)、可擴(kuò)展

在客戶端存儲的Tokens是無狀態(tài)的,并且能夠被擴(kuò)展。基于這種無狀態(tài)和不存儲Session信息,負(fù)載負(fù)載均衡器能夠?qū)⒂脩粜畔囊粋€服務(wù)傳到其他服務(wù)器上。如果我們將已驗證的用戶的信息保存在Session中,則每次請求都需要用戶向已驗證的服務(wù)器發(fā)送驗證信息(稱為Session親和性)。用戶量大時,可能會造成 一些擁堵。但是不要著急。使用tokens之后這些問題都迎刃而解,因為tokens自己hold住了用戶的驗證信息。

2.安全性

請求中發(fā)送token而不再是發(fā)送cookie能夠防止CSRF(跨站請求偽造)。即使在客戶端使用cookie存儲token,cookie也僅僅是一個存儲機(jī)制而不是用于認(rèn)證。不將信息存儲在Session中,讓我們少了對session操作。token是有時效的,一段時間之后用戶需要重新驗證。我們也不一定需要等到token自動失效,token有撤回的操作,通過token revocataion可以使一個特定的token或是一組有相同認(rèn)證的token無效。

3.可擴(kuò)展性

Tokens能夠創(chuàng)建與其它程序共享權(quán)限的程序。例如,能將一個隨便的社交帳號和自己的大號(Fackbook或是Twitter)聯(lián)系起來。當(dāng)通過服務(wù)登錄Twitter(我們將這個過程Buffer)時,我們可以將這些Buffer附到Twitter的數(shù)據(jù)流上(we are allowing Buffer to post to our Twitter stream)。使用tokens時,可以提供可選的權(quán)限給第三方應(yīng)用程序。當(dāng)用戶想讓另一個應(yīng)用程序訪問它們的數(shù)據(jù),我們可以通過建立自己的API,得出特殊權(quán)限的tokens。

4.多平臺跨域

我們提前先來談?wù)撘幌翪ORS(跨域資源共享),對應(yīng)用程序和服務(wù)進(jìn)行擴(kuò)展的時候,需要介入各種各種的設(shè)備和應(yīng)用程序。Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.只要用戶有一個通過了驗證的token,數(shù)據(jù)和資源就能夠在任何域上被請求到。Access-Control-Allow-Origin:*

5.基于標(biāo)準(zhǔn)

創(chuàng)建token的時候,你可以設(shè)定一些選項。我們在后續(xù)的文章中會進(jìn)行更加詳盡的描述,但是標(biāo)準(zhǔn)的用法會在JSON Web Tokens體現(xiàn)。最近的程序和文檔是供給JSON Web Tokens的。它支持眾多的語言。這意味在未來的使用中你可以真正的轉(zhuǎn)換你的認(rèn)證機(jī)制。

token原理

  • 1.將荷載payload,以及Header信息進(jìn)行Base64加密,形成密文payload密文,header密文。
  • 2.將形成的密文用句號鏈接起來,用服務(wù)端秘鑰進(jìn)行HS256加密,生成簽名.
  • 3.將前面的兩個密文后面用句號鏈接簽名形成最終的token返回給服務(wù)端

注:

  • (1)用戶請求時攜帶此token(分為三部分,header密文,payload密文,簽名)到服務(wù)端,服務(wù)端解析第一部分(header密文),用Base64解密,可以知道用了什么算法進(jìn)行簽名,此處解析發(fā)現(xiàn)是HS256。
  • (2)服務(wù)端使用原來的秘鑰與密文(header密文+"."+payload密文)同樣進(jìn)行HS256運算,然后用生成的簽名與token攜帶的簽名進(jìn)行對比,若一致說明token合法,不一致說明原文被修改。
  • (3)判斷是否過期,客戶端通過用Base64解密第二部分(payload密文),可以知道荷載中授權(quán)時間,以及有效期。通過這個與當(dāng)前時間對比發(fā)現(xiàn)token是否過期。

token實現(xiàn)思路

  • 1.用戶登錄校驗,校驗成功后就返回Token給客戶端。
  • 2.客戶端收到數(shù)據(jù)后保存在客戶端
  • 3.客戶端每次訪問API是攜帶Token到服務(wù)器端。
  • 4.服務(wù)器端采用filter過濾器校驗。校驗成功則返回請求數(shù)據(jù),校驗失敗則返回錯誤碼

token代碼生成工具類demo

package com.frank.common.utils;

import com.alibaba.fastjson.JSON;
import com.frank.common.entity.TokenHeader;
import com.frank.common.entity.TokenPlayload;
import com.frank.common.entity.User;

import java.rmi.server.UID;
import java.util.UUID;

/**
* Description:Token生成工具
* 第一部分我們稱它為頭部(header),第二部分我們稱其為載荷(payload, 類似于飛機(jī)上承載的物品),第三部分是簽證(signature).
* Auth: Frank
* Date: 2017-11-02
* Time: 下午 5:05
*/
public class TokenUtil {
public static final String TOKEN_AES_KEY = "xiangli8Token";
public static final String REFREH_TOKEN_AES_KEY = "xiangli8RefreshToken";
public static final String JWT_TYP = "JWT";
public static final String JWT_ALG = "AES";
public static final String JWT_EXP = "30";
public static final String JWT_ISS = "xiangli8";

/**
* 獲得token
* @param data 自定義數(shù)據(jù)
* @param <T> 自定義數(shù)據(jù)
* @return
* @throws Exception
*/
public static <T> String getToken(T data) throws Exception {
TokenPlayload<T> userTokenPlayload = new TokenPlayload<>();
userTokenPlayload.setExpData(data);
String jwt = createJWT(userTokenPlayload);
return jwt;
}

/**
* 生成jwt的header部分內(nèi)容
* @return
* @throws Exception
*/
private static String tokenHeaderBase64() throws Exception {
TokenHeader tokenHeader = new TokenHeader();
tokenHeader.setTyp(JWT_TYP);
tokenHeader.setAlg(JWT_ALG);

String headerJson = JSON.toJSONString(tokenHeader);

String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());

return headerBase64;
}

/**
* 生成jwt的payload部分內(nèi)容
* @param tokenPlayload
* @param <T>自定義的數(shù)據(jù)塊
* @return
* @throws Exception
*/
private static <T> String tokenPayloadBase64(TokenPlayload<T> tokenPlayload) throws Exception {
tokenPlayload.setIss(JWT_ISS);
tokenPlayload.setExp(JWT_EXP);

tokenPlayload.setIat(String.valueOf(System.currentTimeMillis()));

String headerJson =JSON.toJSONString(tokenPlayload);

String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());

return headerBase64;
}

/**
* 生成JWT
* @return
*/
public static <T> String createJWT(TokenPlayload<T> tokenPlayload) throws Exception {
StringBuilder jwtSb = new StringBuilder();
StringBuilder headerPlayloadSb = new StringBuilder();

String tokenHeaderBase64 = tokenHeaderBase64();
String tokenPayloadBase64 = tokenPayloadBase64(tokenPlayload);

jwtSb.append(tokenHeaderBase64);
jwtSb.append(".");
jwtSb.append(tokenPayloadBase64);
jwtSb.append(".");

headerPlayloadSb.append(tokenHeaderBase64);
headerPlayloadSb.append(tokenPayloadBase64);

String headerPlayloadSalt = SaltUtil.addSalt(headerPlayloadSb.toString());

String key = AesUtil.initKey(TOKEN_AES_KEY+tokenPlayload.getIat());

String signature = Base64Util.encryptBASE64(AesUtil.encrypt(headerPlayloadSalt.getBytes(),key));

jwtSb.append(signature);

return Base64Util.encryptBASE64(jwtSb.toString().getBytes());
}

/**
* 校驗token是否是服務(wù)器生成的,以防token被修改
* @param jwtBase64
* @return
* @throws Exception
*/
public static <T> boolean verifyJWT(String jwtBase64) throws Exception {
String jwt = new String (Base64Util.decryptBASE64(jwtBase64));

if(!jwt.contains(".")){
return false;
}

String[] jwts = jwt.split("\\.");
if(jwts.length<3){
return false;
}

TokenPlayload tTokenPlayload = JSON.parseObject(new String(Base64Util.decryptBASE64(jwts[1])),TokenPlayload.class);
String key = AesUtil.initKey(TOKEN_AES_KEY+tTokenPlayload.getIat());

//解析出header跟playload
StringBuilder headerPlayloadSb = new StringBuilder();
headerPlayloadSb.append(jwts[0]);
headerPlayloadSb.append(jwts[1]);

//解析signature
String headerPlayloadSalt = new String (AesUtil.decrypt(Base64Util.decryptBASE64(jwts[2]),key));

return SaltUtil.verifyPwd(headerPlayloadSb.toString(),headerPlayloadSalt);
}

 

public static void main(String[] args) throws Exception {
String jwt = getToken(new User(1L,"你是逗逼"));
System.out.println("jwt:"+jwt);
System.out.println("verifyJWT:"+verifyJWT(jwt));
}
}

使用說明

  • 1,根據(jù)上面生成一個由base64編碼的token,該token由Header,Payload,Signature組成。
  • 2,token作為用戶請求的標(biāo)識,客戶端保存這token的全部信息。服務(wù)端只需要保存token的Signature部分。
  • 3,服務(wù)端把token的Signature存于redis和服務(wù)器的數(shù)據(jù)庫中。
  • 4,客戶端請求的數(shù)據(jù)附帶token,服務(wù)端拿到token,首先校驗token,以防token偽造。校驗規(guī)則如下:
    • 4.1,拆分出token的Header,Payload,Signature。
    • 4.2,校驗Signature,通過token的header和payload生成Signature,看看生成的Signature是否和客戶端附帶上來的Signature一致。如果一致繼續(xù)請求操作,不一致則打回操作
    • 4.3,查看Signature是否存在服務(wù)器的redis和數(shù)據(jù)庫中。如果不存在則打回請求操作

到此這篇關(guān)于token工作機(jī)制及原理附Java生成token工具類的文章就介紹到這了。希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • 如何將JSON字符串?dāng)?shù)組轉(zhuǎn)對象集合

    如何將JSON字符串?dāng)?shù)組轉(zhuǎn)對象集合

    這篇文章主要介紹了如何將JSON字符串?dāng)?shù)組轉(zhuǎn)對象集合,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-06-06
  • Spring實戰(zhàn)之緩存使用condition操作示例

    Spring實戰(zhàn)之緩存使用condition操作示例

    這篇文章主要介紹了Spring實戰(zhàn)之緩存使用condition操作,結(jié)合實例形式分析了Spring緩存使用condition具體配置、屬性、領(lǐng)域模型等相關(guān)操作技巧與注意事項,需要的朋友可以參考下
    2020-01-01
  • 學(xué)習(xí)Java之自定義異常與NullPointerException的處理

    學(xué)習(xí)Java之自定義異常與NullPointerException的處理

    有時候Java自身提供的異常類并不能很好地表達(dá)我們的需求,所以這時候我們就可以自定義異常,也就是說,我們可以制造出一個自己的異常類,這樣就可以拋出或捕獲自己的異常了,本文就給大家詳細(xì)講講Java自定義異常與NullPointerException的處理
    2023-08-08
  • Spring依賴注入中的@Resource與@Autowired詳解

    Spring依賴注入中的@Resource與@Autowired詳解

    這篇文章主要介紹了Spring依賴注入中的@Resource與@Autowired詳解,提到Spring依賴注入,大家最先想到應(yīng)該是@Resource和@Autowired,對于Spring為什么要支持兩個這么類似的注解卻未提到,屬于知其然而不知其所以然,本文就來做詳細(xì)講解,需要的朋友可以參考下
    2023-09-09
  • 深入理解Java中線程間的通信

    深入理解Java中線程間的通信

    一般來講,線程內(nèi)部有自己私有的線程上下文,互不干擾。但是當(dāng)我們需要多個線程之間相互協(xié)作的時候,就需要我們掌握J(rèn)ava線程的通信方式。本文將介紹Java線程之間的幾種通信原理,需要的可以參考一下
    2022-11-11
  • springboot項目接入天貓精靈語音功能

    springboot項目接入天貓精靈語音功能

    小編最近接手一個項目,涉及到天貓精靈的語音功能,今天小編通過本文給大家分享下springboot項目接入天貓精靈語音功能的詳細(xì)過程及實例代碼,感興趣的朋友跟隨小編一起看看吧
    2021-12-12
  • 解決idea每次新建項目都需要重新指定maven目錄

    解決idea每次新建項目都需要重新指定maven目錄

    這篇文章主要介紹了解決idea每次新建項目都需要配置maven,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2020-09-09
  • javaweb如何實現(xiàn)請求和響應(yīng)

    javaweb如何實現(xiàn)請求和響應(yīng)

    這篇文章主要為大家詳細(xì)介紹了javaweb如何實現(xiàn)請求和響應(yīng),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2016-10-10
  • Java深入淺出數(shù)組的定義與使用下篇

    Java深入淺出數(shù)組的定義與使用下篇

    數(shù)組是有序的元素序列,若將有限個類型相同的變量的集合命名,那么這個名稱為數(shù)組名。組成數(shù)組的各個變量稱為數(shù)組的分量,也稱為數(shù)組的元素,有時也稱為下標(biāo)變量。數(shù)組是在程序設(shè)計中,為了處理方便,?把具有相同類型的若干元素按有序的形式組織起來的一種形式
    2022-03-03
  • 2020macOS Big Sur配置Java開發(fā)環(huán)境之jdk安裝過程

    2020macOS Big Sur配置Java開發(fā)環(huán)境之jdk安裝過程

    這篇文章主要介紹了2020macOS Big Sur配置Java開發(fā)環(huán)境之jdk安裝,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-02-02

最新評論