本文你能學到什么?
token的組成
token串的生成流程。
token在客戶端與服務器端的交互流程
Token的優點和思考
參考代碼:核心代碼使用參考,不是全部代碼
JWT token的組成
頭部(Header)����,格式如下:
{ “typ”: “JWT”, “alg”: “HS256” } 由上可知��,該token使用HS256加密算法����,將頭部使用Base64編碼可得到如下個格式的字符串:
有效載荷(Playload):
{ “iss”: “Online JWT Builder”, “iat”: 1416797419, “exp”: 1448333419, ……. “userid”:10001 } 有效載荷中存放了token的簽發者(iss)、簽發時間(iat)�����、過期時間(exp)等以及一些我們需要寫進token中的信息����。有效載荷也使用Base64編碼得到如下格式的字符串:
簽名(Signature):
將Header和Playload拼接生成一個字符串str=“eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOjB9”,使用HS256算法和我們提供的密鑰(secret,服務器自己提供的一個字符串)對str進行加密生成最終的JWT�����,即我們需要的令牌(token)�����,形如:str.”簽名字符串”。
token在服務與客戶端的交互流程
1:客戶端通過用戶名和密碼登錄
2:服務器驗證用戶名和密碼��,若通過�����,生成token返回給客戶端����。
3:客戶端收到token后以后每次請求的時候都帶上這個token,相當于一個令牌��,表示我有權限訪問了
4:服務器接收(通常在攔截器中實現)到該token����,然后驗證該token的合法性(為什么能驗證下面說)����。若該token合法,則通過請求����,若token不合法或者過期,返回請求失敗����。
關于Token的思考
服務如何判斷這個token是否合法����?
由上面token的生成可知�����,token中的簽名是由Header和有效載荷通過Base64編碼生成再通過加密算法HS256和密鑰最終生成簽名��,這個簽名位于JWT的尾部�����,在服務器端同樣對返回過來的JWT的前部分再進行一次簽名生成��,然后比較這次生成的簽名與請求的JWT中的簽名是否一致��,若一致說明token合法�����。由于生成簽名的密鑰是服務器才知道的����,所以別人難以偽造。
token中能放敏感信息嗎?
不能�����,因為有效載荷是經過Base64編碼生成的�����,并不是加密��。所以不能存放敏感信息�����。
Token的優點
(1)相比于session��,它無需保存在服務器��,不占用服務器內存開銷��。
(2)無狀態�����、可拓展性強:比如有3臺機器(A��、B��、C)組成服務器集群�����,若session存在機器A上�����,session只能保存在其中一臺服務器�����,此時你便不能訪問機器B��、C����,因為B、C上沒有存放該Session�����,而使用token就能夠驗證用戶請求合法性����,并且我再加幾臺機器也沒事��,所以可拓展性好就是這個意思����。
(3)由(2)知��,這樣做可就支持了跨域訪問�����。
Java實例:JWT token使用
部分代碼來自互聯網����,找不到原作者了。��。
編寫JWT(Java Web Token)操作類:JavaWebToken
public class JavaWebToken { private static Logger log = LoggerFactory.getLogger(JavaWebToken.class); //該方法使用HS256算法和Secret:bankgl生成signKey private static Key getKeyInstance() { //We will sign our JavaWebToken with our ApiKey secret SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256; byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("bankgl"); Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName()); return signingKey; } //使用HS256簽名算法和生成的signingKey最終的Token,claims中是有效載荷 public static String createJavaWebToken(Map<String, Object> claims) { return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact(); } //解析Token�����,同時也能驗證Token�����,當驗證失敗返回null public static Map<String, Object> parserJavaWebToken(String jwt) { try { Map<String, Object> jwtClaims = Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody(); return jwtClaims; } catch (Exception e) { log.error("json web token verify failed"); return null; } }} 編寫登錄Conreoller�����,在服務器端給客戶返回token.
public LoginStatusMessage checkUserAndPassword( @RequestParam(value="username",required=true) String username, @RequestParam(value="password",required=true) String password,User user,HttpServletRequest request) throws Exception{ User u = new User(); //登錄成功 if((u = userService.checkUsernameAndPassword(user)) != null){ Map<String,Object> m = new HashMap<String,Object>(); m.put("userid", user.getUserid()); String token = JavaWebToken.createJavaWebToken(m); System.out.println(token); LoginStatusMessage lsm = new LoginStatusMessage(); lsm.setUser(u); lsm.setToken(token); return lsm; }; //登錄失敗����,返回Null return null; } 在攔截器中對請求中的Token驗證(部分代碼,表示下意思):
String token = request.getParameter("token"); if(JavaWebToken.parserJavaWebToken(token) != null){ //表示token合法 return true; }else{ //token不合法或者過期 return false; } 以上就是本文的全部內容�����,希望對大家的學習有所幫助����,也希望大家多多支持VeVb武林網。
注:相關教程知識閱讀請移步到JavaScript/Ajax教程頻道����。
