token身份验证---生成token和验证token
1.什么是token
现在可以说,JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。
它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。
在分布式系统中,很好地解决了单点登录问题,很容易解决了session共享的问题。
缺点是无法作废已颁布的令牌/不易应对数据过期。
英文网址如下:https://jwt.io/introduction/
2.token的优势
优势
Token相对于Cookie/Session的
支持跨域访问: Cookie是不允许垮域访问的,token支持
无状态: token无状态,session有状态的
去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可.
更适用于移动应用: Cookie不支持手机端访问的
性能: 在网络传输的过程中,性能更好
基于标准化: 你的API可以采用标准化的 JSON Web Token (JWT).
劣势
- 占带宽
正常情况下要比 session_id 更大,需要消耗更多流量,挤占更多带宽,假如你的网站每月有 10 万次的浏览器,就意味着要多开销几十兆的流量。听起来并不多,但日积月累也是不小一笔开销。实际上,许多人会在 JWT 中存储的信息会更多。 - 无法在服务端注销,那么久很难解决劫持问题。
- 更多的CPU开销,省下了内存容量的同时,增加了CPU的验证开销。
3. token怎么用
token的用法思路很简单,这也是它很棒的一点。
用户登陆的时候,我们生成一个token,放在返回里给到登陆用户。
用户查询其他资源的请求过来时,带着token一起过来,然后我们再验证token。
怎么生成token
首先在pom.xml里引入java-jwt
<!-- https://mvnrepository.com/artifact/com.auth0/java-jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.10.0</version>
</dependency>
然后我们写一个工具类JwtUtils, 里面写生成token的代码逻辑。
public static String createToken(Long ttlMillis, String username) {
// ttlMillis = MoreObjects.firstNonNull(ttlMillis, EXPIRE_TIME);
Long time = ( ttlMillis != null || ttlMillis.longValue() != 0)? ttlMillis: EXPIRE_TIME;
Date date = new Date(System.currentTimeMillis() + time);
Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
return JWT.create()
.withClaim("username", username) // 附带 username 信息
.withExpiresAt(date) // 到期时间
.sign(algorithm); // 创建一个新的 JWT,并使用给定的算法进行标记
}
主要逻辑时JWT.create()这个方法,这个方法的具体含义可以参考这篇文章。
https://blog.csdn.net/y368769/article/details/105675565jwt源码解析
这个方法写好,用户登陆的时候做完登陆验证,再调用下这个方法拿到token给出去就好了。
String userName = birth.getString("userName");
String password = birth.getString("password");
String token = null;
if(userService.login(userName, password)) {
//request.getSession().setAttribute("userName", userName); 请求里加上session,表明登陆状态
try {
token = JwtUtil.createToken(userName);//生成token
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
怎么验证token
验证token的逻辑是在拦截器里处理。
首先定义一个验证token的拦截器。他是继承了默认拦截器HandlerInterceptor
public class TokenInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
response.setCharacterEncoding("utf-8");
String token = request.getHeader("access_token");
if (null != token) {
//验证token是否正确
boolean result = JwtUtil.verify(token);
if (result) {
return true;
}
}
response.sendError(401,"没有token,不能访问系统,请先登录");
return false;
}
在springmvc.xml配置文件里增加如下配置
<!-- 拦截器,拦截请求,检查token -->
<mvc:interceptors>
<mvc:interceptor>
<mvc:mapping path="/**" />
<mvc:exclude-mapping path="/login"/>
<bean class="com.xxx.xxx.TokenInterceptor"></bean>
</mvc:interceptor>
</mvc:interceptors>
这样就完成了。
参考文章:
https://www.cnblogs.com/moyand/p/9047978.html