Token-简单使用
(1)登录 -> 后端服务 -> 生成令牌(sajkbcjy123nmb) -> 存入Redis缓存数据库中(30分钟) -> 响应生成的令牌给前端
(2)前端请求(携带令牌) -> 后端服务 -> Redis缓存(判断令牌是否存在)
【1】token类型
(1)传统的token
传统的token是某个用户登陆之后,服务器返回一个token给用户保存,这个token可能是随机几个字母的组合,并且服
务器保留同一份token(比如用redis存储token)
当用户对其他的接口访问时,必须携带这个token,接着服务器判断这个token是否存在与redis中,来判断用户是否已
经登陆或者是否有相应的权限
(2)JWT(json web token)
与传统token不同的是,json web token是不用保留一份在服务器上的。
处理流程:
[1]用户登陆之后,服务器通过计算,返回一个按照一定规则加密过的token,token里面包含用户的一些必要信息,
比如用户的id、token过期时间
[2]当用户访问其他的接口时,必须携带这个token,接着服务器通过密码来验证这个token
[3]验证token是否是服务器发送的token
验证token过期时间
一切都正确之后,才认为用户是已经登陆、有相应权限的
什么地方会用到token?
在我们前后端分离的开发中,往往需要为多端服务提供认证,比如移动端、web端、小程序端,用户千千万个,接口千千万个,而我们后台怎么样才能保证每个接口只允许有权限的用户来访问呢?(比如只能管理员访问或者只允许登陆的用户访问),处理办法就是可以返回一个JWT给用户了,然后再从这个token里面判断当前访问接口用户是否符合我们设定
【2】Json Web Token的特点
优点
不用储存用户的登录状态信息到服务器上面(比如redis)
同一个Token在不同的服务器器、环境、甚至不同的业务服务都可以使用(只要配置好密钥之类的)
可以手机端、web端、小程序端等等使用
缺点
当然坏处也是有的
比如生成和解析token都需要时间,对比于传统的token验证方式,JWT的生成与解析花的时间会比较多
比如不能取消已经发布存在的token(如果token泄露,在token有效期内,即使用户已经改了密码,攻击者仍然可以拿该tokne为所欲为)
【3】Token的原理
Json web token 包含三部分,头部、数据、签名
(1)头部
头部可以放一些关于token的信息,比如加密算法的信息,创建token的时间,过期的时间,然后用base64进行加密
注意(base64加密后的数据是任何人都可以解密,相当于透明)
{
“typ”: “jwt”, # token类型
“iat”: 1603426198, # 生成时间
“exp”: 1603426298 # 过期时间
}
(2)数据
数据这里可以放一些用户的id、权限等级之类的,不过请不要放隐秘的数据,比如(用户的密码、用户的真实姓名)
注意(因为头部和数据这两部分是任何人都可以使用base64解密的)
{
"say": "我爱你",
"from": "音宫",
"to": "小姐姐",
"uid": 1,
"role": "admin"
}
(3)签名
签名这部分才是JWT的精华之处,把头部和数据两段字符串进行哈希加密,而这个哈希加密跟base64加密不一样,哈希加密是需要密码的,这个密码不能透露给用户,也就是加密后的内容是不可逆的
比如加密方式如下
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
比如头部部分记录的是7点创建,8点过期,即有效期一个小时。
数据部分记录的是某个用户的id。
这个时候服务器通过密码加密之后,会形成一串字符串(只要头部和数据部分的数据不改变,那么每次加密都会形成一样的字符串)
你7-8点之间访问服务接口都可以正常使用
然而,9点钟的时候,黑客发现了你这个token,不过token已经过期,然后黑客改了头部的过期时间,然后再用这个token来访问服务接口
这时候就会出错,为什么呢?
因为头部的信息改动之后,签名就会改变,然而黑客没有生成token的密码,使用黑客不能构造正确的签名
后台验证token的时候,会把头部和数据部分进行用密码加密,生成一个签名,然后再与提交上来的token对比是否一致
【4】生成Token
(1)生成Token
String token = UUID.randomUUID()+"";
System.out.println(token);
6c75df3f-16f0-47da-8b73-3dd59b843cb0
UUID 是 通用唯一识别码(Universally Unique Identifier)的缩写,是一种软件建构的标准,亦
为开放软件基金会组织在分布式计算环境领域的一部分。其目的,是让分布式系统中的所有元
素,都能有唯一的辨识信息,而不需要通过中央控制端来做辨识信息的指定。如此一来,每个人
都可以创建不与其它人冲突的UUID。在这样的情况下,就不需考虑数据库创建时的名称重复问
题。目前最广泛应用的UUID,是微软公司的全局唯一标识符(GUID),而其他重要的应用,则
有Linux ext2/ext3文件系统、LUKS加密分区、GNOME、KDE、Mac OS X等等。另外我们也可
以在e2fsprogs包中的UUID库找到实现。
(2)存入Redis
@Resource
private RedisTemplate<String,Object> redisTemplate;
String token = UUID.randomUUID()+"";
//以token为key,user为value,存30分钟
redisTemplate.opsForValue().set(token,user,Duration.ofMiutes(30L));
(3)返回token
return new Result(token,"登录成功",200);
@Resource和@Autowired注解都是用来实现依赖注入的。只是@AutoWried按by type自动注入,而@Resource默认按byName自动注入。
【5】使用
(1)获取当前登录用户信息
@Resource
private RedisTemplate<String,Object> redisTemplate;
//将token放在请求头传给后端
@GetMapping("/getUserOfLogin")
public Result getUserOfLogin(HttpServletRequest request)throw ...{
String token = request.getHeader("token");
Object user = redisTemplate.opsForValue.get(token);
if(user!=null){
return new Result(user,"获取登录用户成功",200);
}
return new Result(null,"获取登录用户失败",104);
}
(2)过滤器
@WebFilter(urlPatterns = {"/view/*"})
public class LoginFilter implements Filter {
@Resource
private RedisTemplate<String,Object> redisTemplate;
@Override
public void init(FilterConfig filterConfig) throws ServletException{
}
@Override
public void doFilter(ServletRequest servletRequest,ServletResponse servletResponse){
//获取Headers中获取token
String token = request.getHeaders("token");
token = token == null ? "" : token;
//查询token在Redis中的剩余时间
Long expire = redisTemplate.getExpire(token);
if(expire > 0){//是登录状态
//重置token的时间
redisTemplate.expire(token,30L,TimeUnit.MINUTES);
//已登录,放行
filterChain.doFilter(sercletRequest,servletResponse);
}else{
//未登录,响应数据
String string = JSONObject.toJSONString(new Result(null,"未登录",100));
response.setContentType("json/text;cahrset=utf-8");
PrintWriter out = reponse.getWriter();
out.write(string);
}
}
}
public class LoginController{
@Resource
private RedisTemplate<String,Object> redisTemplate;
//将token放在请求头传给后端
@GetMapping("/view/getUserOfLogin")
public Result getUserOfLogin(HttpServletRequest request)throw ...{
String token = request.getHeader("token");
Object user = redisTemplate.opsForValue.get(token);
if(user!=null){
return new Result(user,"获取登录用户成功",200);
}
return new Result(null,"获取登录用户失败",104);
}
}