什么是token?
Token是服務端生成的一串字串,以作客戶端進行請求的一個令牌,當第一次登錄后,服務器生成一個Token便將此Token回傳給客戶端,以后客戶端只需帶上這個Token前來請求資料即可,無需再次帶上用戶名和密碼,
基于 Token 的身份驗證
使用基于 Token 的身份驗證方法,在服務端不需要存盤用戶的登錄記錄,流程是這樣的:
1.客戶端使用用戶名跟密碼請求登錄
2.服務端收到請求,去驗證用戶名與密碼
3.驗證成功后,服務端會簽發一個 Token,再把這個 Token 發送給客戶端
客戶端收到 Token 以后可以把它存盤起來,比如放在 Cookie 里或者 Local Storage 里
4.客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token
服務端收到請求,然后去驗證客戶端請求里面帶著的 Token,如果驗證成功,就向客戶端回傳請求的資料
5.APP登錄的時候發送加密的用戶名和密碼到服務器,服務器驗證用戶名和密碼,如果成功,以某種方式比如隨機生成32位的字串作為token,存盤到服務器中,并回傳token到APP,以后APP請求時,
凡是需要驗證的地方都要帶上該token,然后服務器端驗證token,成功回傳所需要的結果,失敗回傳錯誤資訊,讓他重新登錄,其中服務器上token設定一個有效期,每次APP請求的時候都驗證token和有效期,
token的優勢
1.無狀態、可擴展
在客戶端存盤的Tokens是無狀態的,并且能夠被擴展,基于這種無狀態和不存盤Session資訊,負載負載均衡器能夠將用戶資訊從一個服務傳到其他服務器上,如果我們將已驗證的用戶的資訊保存在Session中,則每次請求都需要用戶向已驗證的服務器發送驗證資訊(稱為Session親和性),用戶量大時,可能會造成 一些擁堵,但是不要著急,使用tokens之后這些問題都迎刃而解,因為tokens自己hold住了用戶的驗證資訊,
2.安全性
請求中發送token而不再是發送cookie能夠防止CSRF(跨站請求偽造),即使在客戶端使用cookie存盤token,cookie也僅僅是一個存盤機制而不是用于認證,不將資訊存盤在Session中,讓我們少了對session操作,token是有時效的,一段時間之后用戶需要重新驗證,我們也不一定需要等到token自動失效,token有撤回的操作,通過token revocataion可以使一個特定的token或是一組有相同認證的token無效,
3.可擴展性
Tokens能夠創建與其它程式共享權限的程式,例如,能將一個隨便的社交帳號和自己的大號(Fackbook或是Twitter)聯系起來,當通過服務登錄Twitter(我們將這個程序Buffer)時,我們可以將這些Buffer附到Twitter的資料流上(we are allowing Buffer to post to our Twitter stream),使用tokens時,可以提供可選的權限給第三方應用程式,當用戶想讓另一個應用程式訪問它們的資料,我們可以通過建立自己的API,得出特殊權限的tokens,
4.多平臺跨域
我們提前先來談論一下CORS(跨域資源共享),對應用程式和服務進行擴展的時候,需要介入各種各種的設備和應用程式,Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.只要用戶有一個通過了驗證的token,資料和資源就能夠在任何域上被請求到,Access-Control-Allow-Origin: *
5.基于標準
創建token的時候,你可以設定一些選項,我們在后續的文章中會進行更加詳盡的描述,但是標準的用法會在JSON Web Tokens體現,最近的程式和檔案是供給JSON Web Tokens的,它支持眾多的語言,這意味在未來的使用中你可以真正的轉換你的認證機制,
token原理
1.將荷載payload,以及Header資訊進行Base64加密,形成密文payload密文,header密文,
2.將形成的密文用句號鏈接起來,用服務端秘鑰進行HS256加密,生成簽名.
3.將前面的兩個密文后面用句號鏈接簽名形成最終的token回傳給服務端
注:
(1)用戶請求時攜帶此token(分為三部分,header密文,payload密文,簽名)到服務端,服務端決議第一部分(header密文),用Base64解密,可以知道用了什么演算法進行簽名,此處決議發現是HS256,
(2)服務端使用原來的秘鑰與密文(header密文+"."+payload密文)同樣進行HS256運算,然后用生成的簽名與token攜帶的簽名進行對比,若一致說明token合法,不一致說明原文被修改,
(3)判斷是否過期,客戶端通過用Base64解密第二部分(payload密文),可以知道荷載中授權時間,以及有效期,通過這個與當前時間對比發現token是否過期,
token實作思路
1.用戶登錄校驗,校驗成功后就回傳Token給客戶端,
2.客戶端收到資料后保存在客戶端
3.客戶端每次訪問API是攜帶Token到服務器端,
4.服務器端采用filter過濾器校驗,校驗成功則回傳請求資料,校驗失敗則回傳錯誤碼
token代碼生成工具類demo
package com.frank.common.utils;
import com.alibaba.fastjson.JSON;
import com.frank.common.entity.TokenHeader;
import com.frank.common.entity.TokenPlayload;
import com.frank.common.entity.User;
import java.rmi.server.UID;
import java.util.UUID;
/**
- Description:Token生成工具
- 第一部分我們稱它為頭部(header),第二部分我們稱其為載荷(payload, 類似于飛機上承載的物品),第三部分是簽證(signature).
- Auth: Frank
- Date: 2020-11-05
- Time: 下午 5:05
*/
public class TokenUtil {
public static final String TOKEN_AES_KEY = "xiangli8Token";
public static final String REFREH_TOKEN_AES_KEY = "xiangli8RefreshToken";
public static final String JWT_TYP = "JWT";
public static final String JWT_ALG = "AES";
public static final String JWT_EXP = "30";
public static final String JWT_ISS = "xiangli8";
/**
* 獲得token
* @param data 自定義資料
* @param <T> 自定義資料
* @return
* @throws Exception
*/
public static <T> String getToken(T data) throws Exception {
TokenPlayload<T> userTokenPlayload = new TokenPlayload<>();
userTokenPlayload.setExpData(data);
String jwt = createJWT(userTokenPlayload);
return jwt;
}
/**
* 生成jwt的header部分內容
* @return
* @throws Exception
*/
private static String tokenHeaderBase64() throws Exception {
TokenHeader tokenHeader = new TokenHeader();
tokenHeader.setTyp(JWT_TYP);
tokenHeader.setAlg(JWT_ALG);
String headerJson = JSON.toJSONString(tokenHeader);
String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());
return headerBase64;
}
/**
* 生成jwt的payload部分內容
* @param tokenPlayload
* @param <T>自定義的資料塊
* @return
* @throws Exception
*/
private static <T> String tokenPayloadBase64(TokenPlayload<T> tokenPlayload) throws Exception {
tokenPlayload.setIss(JWT_ISS);
tokenPlayload.setExp(JWT_EXP);
tokenPlayload.setIat(String.valueOf(System.currentTimeMillis()));
String headerJson =JSON.toJSONString(tokenPlayload);
String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());
return headerBase64;
}
/**
- 生成JWT
- @return
*/
public static <T> String createJWT(TokenPlayload<T> tokenPlayload) throws Exception {
StringBuilder jwtSb = new StringBuilder();
StringBuilder headerPlayloadSb = new StringBuilder();
String tokenHeaderBase64 = tokenHeaderBase64();
String tokenPayloadBase64 = tokenPayloadBase64(tokenPlayload);
jwtSb.append(tokenHeaderBase64);
jwtSb.append(".");
jwtSb.append(tokenPayloadBase64);
jwtSb.append(".");
headerPlayloadSb.append(tokenHeaderBase64);
headerPlayloadSb.append(tokenPayloadBase64);
String headerPlayloadSalt = SaltUtil.addSalt(headerPlayloadSb.toString());
String key = AesUtil.initKey(TOKEN_AES_KEY+tokenPlayload.getIat());
String signature = Base64Util.encryptBASE64(AesUtil.encrypt(headerPlayloadSalt.getBytes(),key));
jwtSb.append(signature);
return Base64Util.encryptBASE64(jwtSb.toString().getBytes());
}
/**
* 校驗token是否是服務器生成的,以防token被修改
* @param jwtBase64
* @return
* @throws Exception
*/
public static <T> boolean verifyJWT(String jwtBase64) throws Exception {
String jwt = new String (Base64Util.decryptBASE64(jwtBase64));
if(!jwt.contains(".")){
return false;
}
String[] jwts = jwt.split("\\.");
if(jwts.length<3){
return false;
}
TokenPlayload tTokenPlayload = JSON.parseObject(new String(Base64Util.decryptBASE64(jwts[1])),TokenPlayload.class);
String key = AesUtil.initKey(TOKEN_AES_KEY+tTokenPlayload.getIat());
//決議出header跟playload
StringBuilder headerPlayloadSb = new StringBuilder();
headerPlayloadSb.append(jwts[0]);
headerPlayloadSb.append(jwts[1]);
//決議signature
String headerPlayloadSalt = new String (AesUtil.decrypt(Base64Util.decryptBASE64(jwts[2]),key));
return SaltUtil.verifyPwd(headerPlayloadSb.toString(),headerPlayloadSalt);
}
public static void main(String[] args) throws Exception {
String jwt = getToken(new User(1L,"你是逗逼"));
System.out.println("jwt:"+jwt);
System.out.println("verifyJWT:"+verifyJWT(jwt));
}
}
使用說明
1,根據上面生成一個由base64編碼的token,該token由Header,Payload,Signature組成,
2,token作為用戶請求的標識,客戶端保存這token的全部資訊,服務端只需要保存token的Signature部分,
3,服務端把token的Signature存于redis和服務器的資料庫中,
4,客戶端請求的資料附帶token,服務端拿到token,首先校驗token,以防token偽造,校驗規則如下:
4.1,拆分出token的Header,Payload,Signature,
4.2,校驗Signature,通過token的header和payload生成Signature,看看生成的Signature是否和客戶端附帶上來的Signature一致,如果一致繼續請求操作,不一致則打回操作
4.3,查看Signature是否存在服務器的redis和資料庫中,如果不存在則打回請求操作
差不多也是這些東西
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/203630.html
標籤:其他