侧边栏壁纸
博主头像
峰峰火火博主等级

一条咸鱼罢了

  • 累计撰写 124 篇文章
  • 累计创建 90 个标签
  • 累计收到 59 条评论

目 录CONTENT

文章目录

什么是token及怎样生成token

峰峰火火
2021-01-27 / 0 评论 / 0 点赞 / 391 阅读 / 7,775 字 / 正在检测是否收录...
温馨提示:
若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

前言

使用halo博客的时候,有些时候日志报出token失效事故,觉得这货似曾相识,回忆之后,才知道当时面试浙江大华时,面试官问客户端获取一个东西该怎么验证它的身份,该返回什么数据;当时懵懵懂懂,现在记录一下。

什么是token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

基于 Token 的身份验证

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:

  • 客户端使用用户名跟密码请求登录

  • 服务端收到请求,去验证用户名与密码

  • 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端

  • 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

  • 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

  • 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

  • APP登录的时候发送加密的用户名和密码到服务器,服务器验证用户名和密码,如果成功,以某种方式比如随机生成32位的字符串作为token,存储到服务器中,并返回token到APP,以后APP请求时,凡是需要验证的地方都要带上该token,然后服务器端验证token,成功返回所需要的结果,失败返回错误信息,让他重新登录。其中服务器上token设置一个有效期,每次APP请求的时候都验证token和有效期。

token的优势

  • 无状态、可扩展

   在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是不要着急。使用tokens之后这些问题都迎刃而解,因为tokens自己hold住了用户的验证信息。

  • 安全性

   请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。

  • 可扩展性

   Tokens能够创建与其它程序共享权限的程序。例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。

  • 多平台跨域

   我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。Access-Control-Allow-Origin: *

  • 基于标准

   创建token的时候,你可以设定一些选项。我们在后续的文章中会进行更加详尽的描述,但是标准的用法会在JSON Web Tokens体现。最近的程序和文档是供给JSON Web Tokens的。它支持众多的语言。这意味在未来的使用中你可以真正的转换你的认证机制。

token原理

1598504-20190202220449263-1608141775

  • 将荷载payload,以及Header信息进行Base64加密,形成密文payload密文,header密文。

  • 将形成的密文用句号链接起来,用服务端秘钥进行HS256加密,生成签名.

  • 将前面的两个密文后面用句号链接签名形成最终的token返回给服务端

注:

  • 用户请求时携带此token(分为三部分,header密文,payload密文,签名)到服务端,服务端解析第一部分(header密文),用Base64解密,可以知道用了什么算法进行签名,此处解析发现是HS256。

  • 服务端使用原来的秘钥与密文(header密文+"."+payload密文)同样进行HS256运算,然后用生成的签名与token携带的签名进行对比,若一致说明token合法,不一致说明原文被修改。

  • 判断是否过期,客户端通过用Base64解密第二部分(payload密文),可以知道荷载中授权时间,以及有效期。通过这个与当前时间对比发现token是否过期。

token实现思路

1598504-20190202220655368-2110639952

  • 用户登录校验,校验成功后就返回Token给客户端。

  • 客户端收到数据后保存在客户端

  • 客户端每次访问API是携带Token到服务器端。

  • 服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码

token代码生成工具类demo

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Calendar;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import org.apache.commons.codec.binary.Base64;

public class JwtUtil {

    /**
     * 创建jwt
     * 
     * @param id
     * @param subject
     * @param ttlMillis
     *            过期的时间长度
     * @return
     * @throws Exception
     */
    public String createJWT(String id, String subject, long ttlMillis) throws Exception {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; // 指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        long nowMillis = System.currentTimeMillis();// 生成JWT的时间
        Date now = new Date(nowMillis);
        Map<String, Object> claims = new HashMap<String, Object>();// 创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
        claims.put("uid", "DSSFAWDWADAS...");
        claims.put("user_name", "admin");
        claims.put("nick_name", "DASDA121");
        SecretKey key = generalKey();// 生成签名的时候使用的秘钥secret,这个方法本地封装了的,一般可以从本地配置文件中读取,切记这个秘钥不能外露哦。它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个secret,
                                        // 那就意味着客户端是可以自我签发jwt了。
        // 下面就是在为payload添加各种标准声明和私有声明了
        JwtBuilder builder = Jwts.builder() // 这里其实就是new一个JwtBuilder,设置jwt的body
                .setClaims(claims) // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setId(id) // 设置jti(JWT
                            // ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
                .setIssuedAt(now) // iat: jwt的签发时间
                .setSubject(subject) // sub(Subject):代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                .signWith(signatureAlgorithm, key);// 设置签名使用的签名算法和签名使用的秘钥
        if (ttlMillis >= 0) {
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp); // 设置过期时间
        }
        return builder.compact(); // 就开始压缩为xxxxxxxxxxxxxx.xxxxxxxxxxxxxxx.xxxxxxxxxxxxx这样的jwt
    }

    /**
     * 解密jwt
     * 
     * @param jwt
     * @return
     * @throws Exception
     */
    public Claims parseJWT(String jwt) throws Exception {
        SecretKey key = generalKey(); // 签名秘钥,和生成的签名的秘钥一模一样
        Claims claims = Jwts.parser() // 得到DefaultJwtParser
                .setSigningKey(key) // 设置签名的秘钥
                .parseClaimsJws(jwt).getBody();// 设置需要解析的jwt
        return claims;
    }

    /**
     * 由字符串生成加密key
     * 
     * @return
     */
    public SecretKey generalKey() {
        String stringKey = "7786df7fc3a34e26a61c034d5ec8245d";// 本地配置文件中加密的密文7786df7fc3a34e26a61c034d5ec8245d
        byte[] encodedKey = Base64.decodeBase64(stringKey.getBytes());// 本地的密码解码[B@152f6e2
        System.out.println(encodedKey);// [B@152f6e2
        // System.out.println(Base64.encodeBase64URLSafeString(encodedKey));//7786df7fc3a34e26a61c034d5ec8245d
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");// 根据给定的字节数组使用AES加密算法构造一个密钥,使用
                                                                                    // encodedKey中的始于且包含
                                                                                    // 0
                                                                                    // 到前
                                                                                    // leng
                                                                                    // 个字节这是当然是所有。(后面的文章中马上回推出讲解Java加密和解密的一些算法)
        return key;
    }

    public static void main(String[] args) throws Exception {

        JwtUtil util = new JwtUtil();
        String ab = util.createJWT("jwt", "{id:1000,name:xiaohong}", 300000);
        // System.out.println(ab);
        // eyJhbGciOiJIUzI1NiJ9.eyJuaWNrX25hbWUiOiJEQVNEQTEyMSIsInVpZCI6IkRTU0ZBV0RXQURBUy4uLiIsImV4cCI6MTU1ODY2NjUzNCwidXNlcl9uYW1lIjoiYWRtaW4iLCJzdWIiOiJ7aWQ6MTAwLG5hbWU6eGlhb2hvbmd9IiwianRpIjoiand0IiwiaWF0IjoxNTU4NjY2MjM0fQ.bamQI-EVanZ-cCJVPUSrIQAF1J2XN3qFeGNBwMGOjV0
        String jwt = "eyJhbGciOiJIUzI1NiJ9.eyJuaWNrX25hbWUiOiJEQVNEQTEyMSIsInVpZCI6IkRTU0ZBV0RXQURBUy4uLiIsImV4cCI6MTU2MjAzNjc0MSwidXNlcl9uYW1lIjoiYWRtaW4iLCJzdWIiOiJ7aWQ6MTAwMCxuYW1lOnhpYW9ob25nfSIsImp0aSI6Imp3dCIsImlhdCI6MTU2MjAzNjQ0MX0.khHxFcH3ye9CJ8lk1Q3pD193caz4EbkAWnpmcy2Fbec";
        Claims c = util.parseJWT(jwt);// 注意:如果jwt已经过期了,这里会抛出jwt过期异常。
        System.out.println(c.getId());// jwt
        System.out.println(c.getIssuedAt());// Mon Feb 05 20:50:49 CST 2018
        System.out.println(c.getSubject());// {id:100,name:xiaohong}
        System.out.println(c.getIssuer());// null
        System.out.println(c.get("uid", String.class));// DSSFAWDWADAS...
    }
}
0

评论区