一:什么是token及token的作用?
1.什么是token?
Token是首次登录时,由服务器下发,作为客户端进行请求时的一个令牌。当请求后台方法时,用于身份验证
当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码
2.Token的作用?
Token完全由应用程序进行管理,所以它可以避开同源策略
Token可以避免CSRF(跨站请求访问)攻击
简单的说:后端生成token 会有一个签名(基本上后端自己设计) 避免外部攻击!
Token可以是无状态的,可以在多个服务器之间共享
使用Token减轻服务器的压力,减少频繁的查询数据库。
3.Token的身份认证过程!
1.用户通过用户名和密码发送请求
2.程序进行验证
3.程序会返回一个字符串(就是token)给客户端
4.客户端进行储存token,并且用于每一次请求
5.服务器验证并且返回想要的数据
现在知道token是干什么的了,那么怎么使用token呢?
二:JWT介绍
1.什么是JWT
JWT,全称为JSON Web token,是用于对应用程序上的用户进行身份验证的标记。也就是说,使用JWT的应用程序不再需要保存有关其用户的cookie或session数据
* 在身份验证过程中, 当用户使用其凭据成功登录时,将返回JWT,客户端会将其保存到本地存储中,而后每次请求都会携带
* JWT本质上就是一个经过加密处理与校验处理的字符串,
它由三部分组成:头信息.有效载荷.签名
头信息: 一般由两部分组成,Token类型和散列算法(HMAC、RSASSA、RSASSA-PSS等)
-
{
-
"typ":
"JWT",
-
"alg":
"HS256"
-
}
有效载荷: 一般里面可以存储自定义的实体的信息
payload(载荷)信息存放的是Claims声明信息。载荷其实就是自定义的数据,一般存储用户Id,过期时间等信息。也就是JWT的核心所在,因为这些数据就是使后端知道此token是哪个用户已经登录的凭证。而且这些数据是存在token里面的,由前端携带,所以后端几乎不需要保存任何数据。
签名: 用于保证消息在传输过程中不会被篡改
signature(签名)需要使用编码后的header和payload以及一个秘钥,使用header中指定签名算法进行签名。
2.JWT的流程
3.项目中使用JWT
1.依赖
-
<dependency>
-
<groupId>io.jsonwebtoken
</groupId>
-
<artifactId>jjwt
</artifactId>
-
<version>0.9.1
</version>
-
</dependency>
2.封装工具类 创建和解析token(调用)
-
import io.jsonwebtoken.Jwts;
-
import io.jsonwebtoken.SignatureAlgorithm;
-
-
import java.util.Map;
-
-
public
class
JwtUtil {
-
// 创建token
-
public
static String
createToken
(Long id,String secret) {
-
Map<String, Object> map =
new
HashMap<String, Object>();
-
map.put(
"id", id);
-
return Jwts.builder()
-
.setClaims(map)
//设置响应数据体
-
.signWith(SignatureAlgorithm.HS256, secret)
//设置加密方法和加密盐
-
.compact();
-
}
-
-
-
// 解析token
-
public
static Map
parseToken
(String token,String secret) {
-
return Jwts.parser().setSigningKey(secret)
-
.parseClaimsJws(token)
-
.getBody();
-
}
-
-
}
最后token 相当于这玩意:
"token": "eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MTI4fQ.BUsv0fc8qI2Yx02vEDLUR1JSc-FV5Sr8NuqsXIKPiNg"
转载:https://blog.csdn.net/weixin_50769390/article/details/127970458