## 一,Token
**token特点**
Token 临时且唯一 保证不能够重复 (缓存有效期机制),智能门锁、临时密码 具有有效期2小时
**token生成**
Token如何生成:uuid作为token。
比如:生成token(uuid生成),作为Rediskey放入redis中,Redis的key作为有效期。
实际项目中,token和sessionid非常相似
**session缺陷**
传统项目使用session存在缺陷:放入到服务端,
session 类似redis存放缓存内容,
session中的sessionid类似于token,
session共享效率低
大的项目都是基于token替代session,Redis中。
**token的使用**
每次请求的时候在请求头中传递该token,服务器端接收到
Token,从Redis查找对应key对应的value userid。
再根据userid查询用户信息返回给客户端。
使用token的情况下依赖:必须依赖服务器端redis。
Token:
1)临时且唯一。
2)能够隐藏参数的真实性。
## 二,JWT
jwt和token的设计思想基本一致。
JWT:json web token
Json:数据交换格式 轻量级、跨语言、减少带宽、可读性高
**加密算法**
- 单向加密(不可逆加密,不能反解):MD5、SHA
优点:性能好,加密或解密只需要遍历一次
- 双向加密(可逆加密,需要的时候可以反解为明文) :对称加密(对称加密过程和解密过程使用的同一个密钥) aes des 非对称加密(使用公钥进行加密,使用私钥进行解密。) rsa
根据一个数学原理会生成一对密钥,一个叫公钥、一个叫私钥,同一份文档用公钥加密了就只能用私钥解密。
缺点:有点复杂,所以机密解密性能不好
主要两个应用场景:
1)加密传输:公钥加密,拥有私钥的可以解密。
2)身份验证:使用私钥进行加密,因为公钥是公开的,理论上所有人都知道,他们通过此来对这个人进行身份验证
**JWT主要分成 三个部分组成**
第一部分:header头部 ,标记使用什么算法 HS256,RSA256.
第二部分:PayLoad(载荷),jwt存放的数据,注意不能够存放敏感数据(userid、号码)
第三部分:sign,PayLoad采用MD5加密之后的签名值
**Jwt生成:
Base64.ENcode(header).Base64.ENcode(PayLoad).签名值**
**手写JWT**
```yaml
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.0</version>
</dependency>
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.72</version>
</dependency>
<dependency>
<groupId>org.apache.commons</groupId>
<artifactId>commons-lang3</artifactId>
</dependency>
<dependency>
<groupId>commons-codec</groupId>
<artifactId>commons-codec</artifactId>
</dependency>
```
```java
package com.shuang;
import com.alibaba.fastjson.JSONObject;
import org.apache.commons.codec.digest.DigestUtils;
import java.util.Base64;
public class test1 {
private static String SIGN_KEY="shuang";
public static void main(String[] args) {
//head
JSONObject header =new JSONObject();
header.put("alg","HS256");
//payload
JSONObject payload=new JSONObject();
payload.put("phone","12345678901");
//sign
String sign= DigestUtils.md5Hex(payload+SIGN_KEY);
String jwt= Base64.getEncoder().encodeToString(header.toJSONString().getBytes())
+"."+Base64.getEncoder().encodeToString(payload.toJSONString().getBytes())
+"."+sign;
System.out.println(jwt);
//解密
String[] split=jwt.split("\\.");
String payLoad=new String(Base64.getDecoder().decode(split[1].getBytes()));
System.out.println(DigestUtils.md5Hex(payLoad+SIGN_KEY).equals(sign));
System.out.println(payLoad);
}
}
```
Base64不属于对称加密属于编码器。
**Jwt与token的区别**
1)token对应的内容存放在Redis中
2)Jwt对应的playload数据存放在客户端
**Jwt优点**
1),减轻服务端压力。
2),查询效率比token高。
3),不容易被客户端篡改数据。
**缺点**
1)如果一旦生成好一个jwt之后,后期是否可以销毁
2)Jwt playload数据多,占据服务器端带宽资源
jwt不是很安全,playload中不能存放敏感的信息,必要须加密
**jwt注销**
无法做真正意义上的注销
1)用户注销时,直接将cookie缓存清除。
2)最好将jwt过期时间定义不要太长。
3)每个用户对应的盐值不一样,用户注销的时候直接将该盐值发生变化。
