什么是token?
token是服務端生成的一串字符串,以作客戶端進行請求的令牌,當第一次登陸后,服務器生成一個token便將此token返回給客戶端,以后客戶端只要帶上這個token前來請求數據即可,無需再次帶上用戶名和密碼
基於token的身份驗證
使用基於token的身份驗證方法,在服務端不需要存儲用戶的登錄記錄.流程是這樣的: 客戶端使用用戶名跟密碼去請求登錄,服務度段收到請求,去驗證用戶名和密碼,驗證成功后,服務端會簽發一個token,再把這個token發送給客戶端,客戶頓收到token以后可以把它存儲起來,比如放在cookie里面或者local storage里面,客戶端每次向服務端請求資源的時候需要帶上服務端簽發的token,服務端收到請求,然后去驗證客戶端請求里面帶着的token,如果驗證成功,以某種方式比如隨機生成32位的字符串作為token,存儲在服務器中,並返回token到APP,以后APP請求時,凡是需要驗證的地方都要帶上該token,然后服務端驗證token,成功返回所需要的結果,失敗返回錯誤信息, 重新登錄,服務器上的token設置一個有效期,每次APP請求時都要驗證token和有效期.
token的優勢:
1.無狀態.可擴展
在客戶端存儲的token是無狀態的,並且能被擴展的.基於這種無狀態和不存儲session信息,負載均衡器能夠將用戶的信息從一個服務器傳到另一個服務器上.如果將已經驗證的信息保存在session中,則每次請求都需要用戶向已驗證的服務器發送驗證信息(稱為session親和性).用戶量大時,可會造成一些擁堵.但是不要着急,使用token之后問題就會解決,因為token自己hold住了用戶的驗證信息.
2. 安全性
請求過程中發送token而不再發送cookie能夠防止csrf(跨站請求偽造).即使在客戶端使用了cookie存儲token,cookie也僅僅是一個存儲機制而不是用於認證,不將信息存儲在session中,讓我們少了對session操作,token是有實效的,一段時間之后需要重新驗證,我們也不一定需要等到token自動實效,token有撤回的操作,通過token revocation可以使一個特定的token或是一組相同認證的token無效.
3. 可擴展性
token能夠將創建與其他程序共享權限的程序.例如,能將一個隨便的社交賬號和自己的大號聯系起來.當通過服務登錄(我們將這個過程Buffer)時,我們可以將這些buffer附到登錄的數據流上.使用token時, 可以提供可選的權限給第三方應用程序,當用戶想讓另一個應用程序訪問他們的數據,我們可以通過建立api,得出特殊權限的tokens
4. 多平台跨域
提前先談論下CORS(跨域資源共享), 對應用程序和服務進行擴展的時候,需要介入各種的設備和應用程序,讓我們的api只提供數據服務,我們還可以做出設計選擇來提供cdn中的資產.這消除了在為應用程序設置快速標頭配置后CORS出現的問題,只要用戶有一個通過了驗證的token,數據和資源就能夠在任何域上被請求到.
token原理
1. 將荷載payload,以及header信息進行Base64加密,形成密文payload密文,header密文
2. 將形成的密文用句號鏈接起來,用服務端秘鑰進行HS256加密,生成簽名
3.將前面的兩個密文后面用句號鏈接簽名形成最終的token返回給服務端
注:
(1) 用戶請求時攜帶此token(分為三部分,header密文, payload密文,簽名)到服務端,服務端解析第一部分(header密文),用base64解密,可以知道用了什么算法,此處解析發現是HS256
(2). 服務端使用原來的秘鑰與密文(header密文+"."+payload密文)同樣進行HS256運算,然后用生成的簽名與token攜帶的簽名進行比對,若一致說明token合法,不一致說明原文被修改
(3). 判斷是否過期,客戶端通過用base64解密第二部分(payload密文),可以知道荷載中授權時間,以及有效期.通過這個與當前時間對比發現token是否過期
token實現思路:
1.用戶登錄校驗,校驗成功后就返回token給客戶端
2. 客戶端收到數據后保存在客戶端
3. 客戶端每次訪問api是攜帶token到服務器端
4. 服務器端采用filter過濾器校驗. 校驗成功則返回請求數據,校驗失敗則返回錯誤碼