什么是token
- 使用基於 Token 的身份驗證方法,在服務端不需要存儲用戶的登錄記錄。流程是這樣的:
- 客戶端使用用戶名跟密碼請求登錄
- 服務端收到請求,去驗證用戶名與密碼
- 驗證成功后,服務端會簽發一個 Token,再把這個 Token 發送給客戶端
- 客戶端收到 Token 以后可以把它存儲起來,比如放在 Cookie 里或者 Local Storage 里
- 客戶端每次向服務端請求資源的時候需要帶着服務端簽發的 Token
- 服務端收到請求,然后去驗證客戶端請求里面帶着的 Token,如果驗證成功,就向客戶端返回請求的數據
- APP登錄的時候發送加密的用戶名和密碼到服務器,服務器驗證用戶名和密碼,如果成功,以某種方式比如隨機生成32位的字符串作為token,存儲到服務器中,並返回token到APP,以后APP請求時,
- 凡是需要驗證的地方都要帶上該token,然后服務器端驗證token,成功返回所需要的結果,失敗返回錯誤信息,讓他重新登錄。其中服務器上token設置一個有效期,每次APP請求的時候都驗證token和有效期。
token的優勢
1.無狀態、可擴展
在客戶端存儲的Tokens是無狀態的,並且能夠被擴展。基於這種無狀態和不存儲Session信息,負載負載均衡器能夠將用戶信息從一個服務傳到其他服務器上。如果我們將已驗證的用戶的信息保存在Session中,則每次請求都需要用戶向已驗證的服務器發送驗證信息(稱為Session親和性)。用戶量大時,可能會造成 一些擁堵。但是不要着急。使用tokens之后這些問題都迎刃而解,因為tokens自己hold住了用戶的驗證信息。
2.安全性
請求中發送token而不再是發送cookie能夠防止CSRF(跨站請求偽造)。即使在客戶端使用cookie存儲token,cookie也僅僅是一個存儲機制而不是用於認證。不將信息存儲在Session中,讓我們少了對session操作。token是有時效的,一段時間之后用戶需要重新驗證。我們也不一定需要等到token自動失效,token有撤回的操作,通過token revocataion可以使一個特定的token或是一組有相同認證的token無效。
3.可擴展性
Tokens能夠創建與其它程序共享權限的程序。例如,能將一個隨便的社交帳號和自己的大號(Fackbook或是Twitter)聯系起來。當通過服務登錄Twitter(我們將這個過程Buffer)時,我們可以將這些Buffer附到Twitter的數據流上(we are allowing Buffer to post to our Twitter stream)。使用tokens時,可以提供可選的權限給第三方應用程序。當用戶想讓另一個應用程序訪問它們的數據,我們可以通過建立自己的API,得出特殊權限的tokens。
4.多平台跨域
我們提前先來談論一下CORS(跨域資源共享),對應用程序和服務進行擴展的時候,需要介入各種各種的設備和應用程序。Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.只要用戶有一個通過了驗證的token,數據和資源就能夠在任何域上被請求到。Access-Control-Allow-Origin: *
創建token的時候,你可以設定一些選項。我們在后續的文章中會進行更加詳盡的描述,但是標准的用法會在JSON Web Tokens體現。最近的程序和文檔是供給JSON Web Tokens的。它支持眾多的語言。這意味在未來的使用中你可以真正的轉換你的認證機制。
token原理
1.將荷載payload,以及Header信息進行Base64加密,形成密文payload密文,header密文。
2.將形成的密文用句號鏈接起來,用服務端秘鑰進行HS256加密,生成簽名.
3.將前面的兩個密文后面用句號鏈接簽名形成最終的token返回給服務端
注:
(1)用戶請求時攜帶此token(分為三部分,header密文,payload密文,簽名)到服務端,服務端解析第一部分(header密文),用Base64解密,可以知道用了什么算法進行簽名,此處解析發現是HS256。
(2)服務端使用原來的秘鑰與密文(header密文+"."+payload密文)同樣進行HS256運算,然后用生成的簽名與token攜帶的簽名進行對比,若一致說明token合法,不一致說明原文被修改。
(3)判斷是否過期,客戶端通過用Base64解密第二部分(payload密文),可以知道荷載中授權時間,以及有效期。通過這個與當前時間對比發現token是否過期。
token實現思路
1.用戶登錄校驗,校驗成功后就返回Token給客戶端。
2.客戶端收到數據后保存在客戶端
3.客戶端每次訪問API是攜帶Token到服務器端。
4.服務器端采用filter過濾器校驗。校驗成功則返回請求數據,校驗失敗則返回錯誤碼
token代碼生成工具類demo
package com.frank.common.utils;
import com.alibaba.fastjson.JSON;
import com.frank.common.entity.TokenHeader;
import com.frank.common.entity.TokenPlayload;
import com.frank.common.entity.User;
import java.rmi.server.UID;
import java.util.UUID;
/**
* Description:Token生成工具
* 第一部分我們稱它為頭部(header),第二部分我們稱其為載荷(payload, 類似於飛機上承載的物品),第三部分是簽證(signature).
* Auth: Frank
* Date: 2017-11-02
* Time: 下午 5:05
*/
public class TokenUtil {
public static final String TOKEN_AES_KEY = "xiangli8Token";
public static final String REFREH_TOKEN_AES_KEY = "xiangli8RefreshToken";
public static final String JWT_TYP = "JWT";
public static final String JWT_ALG = "AES";
public static final String JWT_EXP = "30";
public static final String JWT_ISS = "xiangli8";
/**
* 獲得token
* @param data 自定義數據
* @param <T> 自定義數據
* @return
* @throws Exception
*/
public static <T> String getToken(T data) throws Exception {
TokenPlayload<T> userTokenPlayload = new TokenPlayload<>();
userTokenPlayload.setExpData(data);
String jwt = createJWT(userTokenPlayload);
return jwt;
}
/**
* 生成jwt的header部分內容
* @return
* @throws Exception
*/
private static String tokenHeaderBase64() throws Exception {
TokenHeader tokenHeader = new TokenHeader();
tokenHeader.setTyp(JWT_TYP);
tokenHeader.setAlg(JWT_ALG);
String headerJson = JSON.toJSONString(tokenHeader);
String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());
return headerBase64;
}
/**
* 生成jwt的payload部分內容
* @param tokenPlayload
* @param <T>自定義的數據塊
* @return
* @throws Exception
*/
private static <T> String tokenPayloadBase64(TokenPlayload<T> tokenPlayload) throws Exception {
tokenPlayload.setIss(JWT_ISS);
tokenPlayload.setExp(JWT_EXP);
tokenPlayload.setIat(String.valueOf(System.currentTimeMillis()));
String headerJson =JSON.toJSONString(tokenPlayload);
String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());
return headerBase64;
}
/**
* 生成JWT
* @return
*/
public static <T> String createJWT(TokenPlayload<T> tokenPlayload) throws Exception {
StringBuilder jwtSb = new StringBuilder();
StringBuilder headerPlayloadSb = new StringBuilder();
String tokenHeaderBase64 = tokenHeaderBase64();
String tokenPayloadBase64 = tokenPayloadBase64(tokenPlayload);
jwtSb.append(tokenHeaderBase64);
jwtSb.append(".");
jwtSb.append(tokenPayloadBase64);
jwtSb.append(".");
headerPlayloadSb.append(tokenHeaderBase64);
headerPlayloadSb.append(tokenPayloadBase64);
String headerPlayloadSalt = SaltUtil.addSalt(headerPlayloadSb.toString());
String key = AesUtil.initKey(TOKEN_AES_KEY+tokenPlayload.getIat());
String signature = Base64Util.encryptBASE64(AesUtil.encrypt(headerPlayloadSalt.getBytes(),key));
jwtSb.append(signature);
return Base64Util.encryptBASE64(jwtSb.toString().getBytes());
}
/**
* 校驗token是否是服務器生成的,以防token被修改
* @param jwtBase64
* @return
* @throws Exception
*/
public static <T> boolean verifyJWT(String jwtBase64) throws Exception {
String jwt = new String (Base64Util.decryptBASE64(jwtBase64));
if(!jwt.contains(".")){
return false;
}
String[] jwts = jwt.split("\\.");
if(jwts.length<3){
return false;
}
TokenPlayload tTokenPlayload = JSON.parseObject(new String(Base64Util.decryptBASE64(jwts[1])),TokenPlayload.class);
String key = AesUtil.initKey(TOKEN_AES_KEY+tTokenPlayload.getIat());
//解析出header跟playload
StringBuilder headerPlayloadSb = new StringBuilder();
headerPlayloadSb.append(jwts[0]);
headerPlayloadSb.append(jwts[1]);
//解析signature
String headerPlayloadSalt = new String (AesUtil.decrypt(Base64Util.decryptBASE64(jwts[2]),key));
return SaltUtil.verifyPwd(headerPlayloadSb.toString(),headerPlayloadSalt);
}
public static void main(String[] args) throws Exception {
String jwt = getToken(new User(1L,"你是逗逼"));
System.out.println("jwt:"+jwt);
System.out.println("verifyJWT:"+verifyJWT(jwt));
}
}
使用說明
1,根據上面生成一個由base64編碼的token,該token由Header,Payload,Signature組成。
2,token作為用戶請求的標識,客戶端保存這token的全部信息。服務端只需要保存token的Signature部分。
3,服務端把token的Signature存於redis和服務器的數據庫中。
4,客戶端請求的數據附帶token,服務端拿到token,首先校驗token,以防token偽造。校驗規則如下:
4.1,拆分出token的Header,Payload,Signature。
4.2,校驗Signature,通過token的header和payload生成Signature,看看生成的Signature是否和客戶端附帶上來的Signature一致。如果一致繼續請求操作,不一致則打回操作
4.3,查看Signature是否存在服務器的redis和數據庫中。如果不存在則打回請求操作
