1.What is token?
token是令牌的意思,作用就像“通关令牌”一样,持有token的请求会被“放行”,不持有token的请求可以被拦截(可以设置白名单使不被拦截,例如登陆请求)。
token是由服务端创建的一串字符串,登陆成功后发送给前端存储在浏览器或本地中,以后每次发送请求都携带上。
1. 使用拦截器在请求发出前在请求头中添加上 token。
2. 将 token 存储在浏览器的 cookies 中,符合一些条件每次请求都会自动带上 token。
2.Why do we use token?
在前后端分离的web项目中,HTTP是无状态协议,即使使用账号密码登陆,后端仍然无法分辨是谁发出的请求,要么后端不需要确认请求者的身份,要么每次请求都携带身份信息供后端确认。
显然第一种方法对软件的安全会造成极大的威胁,那么第二种方法就被改善成了token,token就是加密了的用户身份信息。
3.token组成(Composition of token)
以jwt(java web token)为例,下图介绍了详细介绍了token的组成。
4.校验token(Verify token)
这里只说最基础的校验。
token的加密一般是可逆的,后端接收到token中,还可以根据加密的算法再进行解密,以获取荷载中的用户信息,因此荷载中不能放置密码等信息。
第三部分由于加入了自己制定的秘钥(秘钥一般保存在后端代码中),解密成功后会与前两部分和保存的秘钥进行对比,对比成功了才算token验证通过。经过这样的双重保障,这三部分每一部分被篡改都会被发现。
校验流程:
5. 实操:生成token(Generate token)
以生成jwt为例子,代码如下:
<!-- 引入jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.8.2</version> </dependency>
@Slf4j public class JwtUtil { /** * 使用固定的解密秘钥 */ private static final String SECRET = TOKEN_SECRET; /** * @version: V1.0 * @description: 生成token并验证token并解密token中的信息 * @param: userInfo 用户手机号和用户Id * @return: java.lang.String 返回token **/ public static String getToken(UserInfoEntity userInfo) { try{ //用秘钥生成签名 Algorithm algorithm = Algorithm.HMAC256(SECRET); //默认头部+载荷(手机号/id)+签名=jwt String jwtToken= JWT.create() .withClaim("userPhone", userInfo.getUserPhone()) .withClaim("userId", userInfo.getUserId()) .sign(algorithm); log.info("用户{}的token生成成功:{}",userInfo.getUserId(),jwtToken); return jwtToken; }catch (Exception e){ log.error("用户{}的token生成异常:{}",userInfo.getUserId(),e); return null; } } /** * @version: V1.0 * @description: 校验token是否正确 * @param: token * @param: userPhone * @return: UserInfoEntity token中的用户信息(姓名/id) **/ public static UserInfoEntity verify(String token) { try { // 根据用户信息userInfo生成JWT效验器 Algorithm algorithm = Algorithm.HMAC256(SECRET); JWTVerifier verifier = JWT.require(algorithm) .build(); // 效验TOKEN verifier.verify(token); log.info("token:{}校验成功成功",token); //返回token内容 return getTokenInfo(token); } catch (Exception exception) { log.error("token校验异常:{}",exception); return null; } } /** * @version: V1.0 * @Title: getUsername * @description: 从Token中解密获得Token中的用户信息 * @param: token * @return: UserInfoEntity token中的用户信息(姓名/id) **/ private static UserInfoEntity getTokenInfo(String token) { try { DecodedJWT jwt = JWT.decode(token); UserInfoEntity userInfo=new UserInfoEntity(); userInfo.setUserPhone(jwt.getClaim("userPhone").asString()); userInfo.setUserId(jwt.getClaim("userId").asString()); log.info("用户{}从token获取用户信息成功",userInfo.getUserId()); return userInfo; } catch (JWTDecodeException e) { log.error("从token:{}获取用户信息异常:{}",token,e); return null; } } }
