JAVA中的Token 基於Token的身份驗證

最近在做項目開始，涉及到服務器與安卓之間的接口開發，在此開發過程中發現了安卓與一般瀏覽器不同，安卓在每次發送請求的時候並不會帶上上一次請求的SessionId，導致服務器每次接收安卓發送的請求訪問時都新建一個Session進行處理，無法通過傳統的綁定Session來進行保持登錄狀態和通訊狀態。

  基於傳統方法無法判斷安卓的每次請求訪問狀態，故查詢資料了解到Token，特殊的身份證驗證。以下是網上搜尋資料所得，作為學習總結資料。

 

  令牌是一種能夠控制站點占有媒體的特殊幀，以區別數據幀及其他控制幀。token其實說的更通俗點可以叫暗號，在一些數據傳輸之前，要先進行暗號的核對，不同的暗號被授權不同的數據操作，下文我們就來詳細的介紹一下關於基於 Token 的身份驗證的教程

  最近了解下基於 Token 的身份驗證，跟大伙分享下。很多大型網站也都在用，比如 Facebook，Twitter，Google+，Github 等等，比起傳統的身份驗證方法，Token 擴展性更強，也更安全點，非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”，我覺得挺好，意思就是，你拿着這個令牌，才能過一些關卡。

傳統身份驗證的方法

        HTTP 是一種沒有狀態的協議，也就是它並不知道是誰是訪問應用。這里我們把用戶看成是客戶端，客戶端使用用戶名還有密碼通過了身份驗證，不過下回這個客戶端再發送請求時候，還得再驗證一下。

解決的方法就是，當用戶請求登錄的時候，如果沒有問題，我們在服務端生成一條記錄，這個記錄里可以說明一下登錄的用戶是誰，然后把這條記錄的 ID 號發送給客戶端，客戶端收到以后把這個 ID 號存儲在 Cookie 里，下次這個用戶再向服務端發送請求的時候，可以帶着這個 Cookie ，這樣服務端會驗證一個這個 Cookie 里的信息，看看能不能在服務端這里找到對應的記錄，如果可以，說明用戶已經通過了身份驗證，就把用戶請求的數據返回給客戶端。Cookie里面存的是sessionID是session記錄的id.

上面說的就是 Session，我們需要在服務端存儲為登錄的用戶生成的 Session ，這些 Session 可能會存儲在內存，磁盤，或者數據庫里。我們可能需要在服務端定期的去清理過期的 Session 。

基於 Token 的身份驗證方法

使用基於 Token 的身份驗證方法，在服務端不需要存儲用戶的登錄記錄。大概的流程是這樣的：

客戶端使用用戶名跟密碼請求登錄
服務端收到請求，去驗證用戶名與密碼
驗證成功后，服務端會簽發一個 Token，再把這個 Token 發送給客戶端
客戶端收到 Token 以后可以把它存儲起來，比如放在 Cookie 里或者 Local Storage 里
客戶端每次向服務端請求資源的時候需要帶着服務端簽發的 Token
服務端收到請求，然后去驗證客戶端請求里面帶着的 Token，如果驗證成功，就向客戶端返回請求的數據
JWT

實施 Token 驗證的方法挺多的，還有一些標准方法，比如 JWT，讀作：jot ，表示：JSON Web Tokens 。JWT 標准的 Token 有三個部分：

header
payload
signature

中間用點分隔開，並且都會使用 Base64 編碼，所以真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是兩部分內容，一個是 Token 的類型，另一個是使用的算法，比如下面類型就是 JWT，使用的算法是 HS256。

{

 

  "typ": "JWT",

 

  "alg": "HS256"

 

}

上面的內容要用 Base64 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload

Payload 里面是 Token 的具體內容，這些內容里面有一些是標准字段，你也可以添加其它需要的內容。下面是標准字段：

iss：Issuer，發行者
sub：Subject，主題
aud：Audience，觀眾
exp：Expiration time，過期時間
nbf：Not before
iat：Issued at，發行時間
jti：JWT ID
比如下面這個 Payload ，用到了 iss 發行人，還有 exp 過期時間。另外還有兩個自定義的字段，一個是 name ，還有一個是 admin 。

{

 

 "iss": "ninghao.net",

 

 "exp": "1438955445",

 

 "name": "wanghao",

 

 "admin": true

 

}

使用 Base64 編碼以后就變成了這個樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ
Signature

JWT 的最后一部分是 Signature ，這部分內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時候要放進去一個 Secret ，這個相當於是一個密碼，這個密碼秘密地存儲在服務端。

header
payload
secret

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 

 

HMACSHA256(encodedString, 'secret');

處理完成以后看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后這個在服務端生成並且要發送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 以后把它存儲下來，下回向服務端發送請求的時候就帶着這個 Token 。服務端收到這個 Token ，然后進行驗證，通過以后就會返回給客戶端想要的資源。