【JavaWeb】cookie、session、token(jwt)全部完成,简单理解下吧

原创 已于 2022-07-19 14:06:42 修改 · 677 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #后端 #eclipse #tomcat

于 2022-05-08 10:59:45 首次发布
本文介绍了JavaWeb中的Token,将其与Session进行了对比,并详细讲解了JWT(JSON Web Token)的工作原理和使用方法,包括JWT的构成、生成与解析。通过示例展示了如何在登录时使用JWT生成和验证Token,以及如何通过请求头传递Token。

【JavaWeb】token

前言

前面我么们学习了cookie、session今天我们来理解token,其实token很像session那其实都是衍生过来的,所以简单理解下吧,如果现在理解不了,慢慢往后就会理解了,那看前点个赞,养成好习惯👍

书接上回:
【JavaWeb】-Tomcat、Eclipse使用项目搭建(一)
【JavaWeb】-mysql、jdbc、dbcp使用(二)
【JavaWeb】-MVC、Servlet学习(三)
【JavaWeb】-Cookie、Session学习(四)

介绍

目前已经有很多都用到了token,那如果我们说了解cookie和session那token绝对是个新概念,其实我也是后面才了解,而且也不是很了解,这里既然都说到了,就拿目前自己了解的说下吧;

我们首先看看token是什么(来自百度百科):

在这里插入图片描述

就是信息加密技术,我们这里叫做令牌,作为交互对话的唯一身份标识,当用户第一次过来登录过后,我们验证身份会给用户发一个令牌,也就是token;

当用户再来访问的时候,只需要携带令牌,可以存放在cookie或请求头header中,这里注意我们session是通过session跟踪只能在cookie而令牌可以放到请求头中,这样可以防止一些攻击,大家可以自行去百度更多的文章去理解,这里我也不会这些攻击,等哪天会了再来跟大家说吧,这样我们与我们这里已经存在的令牌做对比,就可以得知用户是不是合法用户;

我们发现其实token跟session差不多,那其实token也可以理解成session,但是我们可以通过加密把信息全部存储在token中,服务端只需要留下token令牌只需要进行比对,需要的时候拿出token中的信息,这样我们就可以解放了服务端,同时信息的存储又交给了客户端;哈哈,是不是来来回回,还是来来回回,大家说会不会下一个技术出现,就又还给服务端了呢;

这样token虽然省出了空间,但是又要把用户的信息解密出来又是利用了cpu,那我们知道没办法,想要时间就浪费空间,想要空间就得浪费时间,就是这样

那token怎么实现呢,其实就是把信息加密成令牌就可以了,如果自己愿意做,自己可以做,那这里我们不做,就了解下jwt;

jwt

那什么又是jwt呢?

  • JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。

  • 一个 JWT 实际上就是一个字符串,它由三部分组成,头部、载荷与签名。前两部分需要经过 Base64 编码,后一部分通过前两部分 Base64 编码后再加密而成。

三部分组成:

header(头部)

{
    'typ':'jwt',    #类型是jwt
    'alg':'HS256'   #加密算法,这里还有很多加密算法,大家自行了解
}

payload(载荷)

{
    'sub':'42342342342',
    'name':'john',
    'admin':ture
}

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

signature(签名)

这里是我们做一个签名数据,放在我们后端,对数据进行加密,如果别别人知道了,那这些token数据无疑全部暴露;

添加依赖

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

编写测试代码

package Test;

import java.util.Date;
import java.util.UUID;

import io.jsonwebtoken.*;

public class TestJwt {

	// 这是我们后端对数据的加密签名,密钥
	private String signature = "xuexiriji";
	
	
	public String encryption() {
		// 通过建造者模式创建一个jwt构造器
		JwtBuilder jwtBuilder = Jwts.builder();

		// 过期时间24小时
		long time = 1000 * 60 * 60 * 24;



		// 设置头部
		String token = jwtBuilder
				// 头部header
				.setHeaderParam("typ", "JWT").setHeaderParam("alg", "HS256")
				// 载荷payload,也就是数据
				.claim("name", "root")
				.claim("pass", "root")
				// 主题
				.setSubject("user")
				// 有效时间,重当前算起,到什么时候
				.setExpiration(new Date(System.currentTimeMillis() + time))
				// 再设置一个id
				.setId(UUID.randomUUID().toString())
				// signature,加一个签名
				.signWith(SignatureAlgorithm.HS256, this.signature)
				// 拼接
				.compact();

		System.out.println(token);

		return token;
	}
	
	
	public void parse(String token){
		JwtParser jwtParser = Jwts.parser();
		Jws<Claims> claimsJws =  jwtParser.setSigningKey(this.signature).parseClaimsJws(token);
		
		Claims claims = claimsJws.getBody();
		
		System.out.println(claims);
		
		//获取载荷信息
		System.out.println(claims.get("name"));
		System.out.println(claims.get("pass"));
		
		//可以获取id
		System.out.println(claims.getId());
		
		//获取subject
		System.out.println(claims.getSubject());
		//有效期
		System.out.println(claims.getExpiration());
	}
	
	
	

	public static void main(String[] args) {
		TestJwt testJwt = new TestJwt();
		testJwt.parse(testJwt.encryption());
	
		
	}
}

输出内容

我们通过生成可以看到生成的由三部分组成,通过.分隔,前两个分别对应header和payload的base64加密,最后一个是通过前两个内容加上密钥也就是signature再一次加密:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJuYW1lIjoicm9vdCIsInBhc3MiOiJyb290Iiwic3ViIjoidXNlciIsImV4cCI6MTY1MTU0ODI0MSwianRpIjoiZWYxM2RhMTktYzM1ZS00MjNiLTkxZTEtZGYxMTE5MjI4MWI0In0.Kf7pwcDhRRnhZrZRJYodDsB3DJmh05ege-Qri7iCNdc
这是我们输出的数据
{name=root, pass=root, sub=user, exp=1651548241, jti=ef13da19-c35e-423b-91e1-df11192281b4}
root
root
ef13da19-c35e-423b-91e1-df11192281b4
user
Tue May 03 11:24:01 CST 2022

我们不妨做给简单的tokenUtil:

package util;

import java.util.Date;
import java.util.Map;
import java.util.UUID;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.JwtParser;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

public class TokenUtil {
	
	// 这是我们后端对数据的加密签名,密钥
	private static String signature = "xuexiriji";
	// 过期时间24小时
	private static long time = 1000 * 60 * 60 * 24;
	
	public static String getToken(Map<String, Object> map) {
		// 通过建造者模式创建一个jwt构造器
		JwtBuilder jwtBuilder = Jwts.builder();
		
		// 设置头部
				String token = jwtBuilder
						// 头部header
						.setHeaderParam("typ", "JWT").setHeaderParam("alg", "HS256")
						// 载荷payload,也就是数据
						.setClaims(map)
						// 主题
						.setSubject("user")
						// 有效时间,重当前算起,到什么时候
						.setExpiration(new Date(System.currentTimeMillis() + time))
						// 再设置一个id
						.setId(UUID.randomUUID().toString())
						// signature,加一个签名
						.signWith(SignatureAlgorithm.HS256, signature)
						// 拼接
						.compact();
		
		
		return token;
	}

	public static Claims parseToken(String token) {
		JwtParser jwtParser = Jwts.parser();
		Jws<Claims> claimsJws =  jwtParser.setSigningKey(signature).parseClaimsJws(token);
		
		Claims claims = claimsJws.getBody();
		
/*		System.out.println(claims);
		
		//获取载荷信息
		System.out.println(claims.get("name"));
		System.out.println(claims.get("pass"));
		
		//可以获取id
		System.out.println(claims.getId());
		
		//获取subject
		System.out.println(claims.getSubject());
		//有效期
		System.out.println(claims.getExpiration());*/
		
		return claims;
	}

}

token尝试

我们了解了jwt的加密这里我们尝试下jwt对登录信息的保存,做个小例子:

改变我们的MyLoginServlet:

package servlet;

import java.io.IOException;
import java.net.URLEncoder;
import java.util.HashMap;
import java.util.Map;

import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.collections.map.HashedMap;

import com.mysql.cj.Session;
import com.sun.org.apache.bcel.internal.generic.NEW;

import Dao.BaseDao;
import util.TokenUtil;

/**
 * Servlet implementation class MyLoginServlet
 */
@WebServlet("/MyLoginServlet")
public class MyLoginServlet extends HttpServlet {
	private static final long serialVersionUID = 1L;

	/**
	 * @see HttpServlet#HttpServlet()
	 */
	public MyLoginServlet() {
		super();
		// TODO Auto-generated constructor stub
	}

	/**
	 * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse
	 *      response)
	 */
	protected void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		
		String name = request.getParameter("username");
		String pass = request.getParameter("password");
		
		Map<String, Object> map = new HashMap<String, Object>();
		map.put("name", name);
		map.put("pass", pass);
		//生成token,使用token放入请求头中,那就是前后端分离的项目了,或者前端使用异步方式请求,带上请求头
		String token = TokenUtil.getToken(map);
		//将token放入cookie
		response.addCookie(new Cookie("token", token));
		//将token放入请求头
		//response.addHeader("token", token);
		response.sendRedirect("index.jsp");
	}

	/**
	 * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
	 *      response)
	 */
	protected void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		// TODO Auto-generated method stub
		doGet(request, response);
	}

}

index.jsp页面

<%@page import="Dao.BaseDao"%>
<%@page import="com.sun.javafx.collections.MappingChange.Map"%>
<%@page import="util.TokenUtil"%>
<%@page import="io.jsonwebtoken.*"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>主界面</title>
</head>
<body>
	<%
		 Cookie[] cookies = request.getCookies();

		if (cookies != null) {
			// 我们可以遍历下我们的cooike看看
			for (Cookie cookie : cookies) {
				if(cookie.getName().equals("token")){
					Claims user = TokenUtil.parseToken(cookie.getValue());
					out.print(user.get("name")+"<br/>");
					out.print(user.get("pass")+"<br/>");
				}
			}
		} 		
	%>
	这里是主界面
</body>
</html>

效果

在这里插入图片描述

在这里插入图片描述

我们发现,这里我们并没有存储用户信息而是将信息放到了token中进行存储,我们只需要后面拿过来token然后通过密钥解析,就可以拿到用户的信息;

我们这里还可以用请求头测试下:

改变下代码:

MyLoginServlet.java


@WebServlet("/MyLoginServlet")
public class MyLoginServlet extends HttpServlet {

	protected void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		
		String name = request.getParameter("username");
		String pass = request.getParameter("password");
		
		Map<String, Object> map = new HashMap<String, Object>();
		map.put("name", name);
		map.put("pass", pass);
		//生成token,使用token放入请求头中,那就是前后端分离的项目了,或者前端使用异步方式请求,带上请求头
		String token = TokenUtil.getToken(map);
		//将token放入cookie
		//response.addCookie(new Cookie("token", token));
		//将token放入请求头
		response.addHeader("token", token);
		//response.sendRedirect("index.jsp");
	}

	/**
	 * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse
	 *      response)
	 */
	protected void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		// TODO Auto-generated method stub
		doGet(request, response);
	}

}

index.jsp页面

<%@page import="Dao.BaseDao"%>
<%@page import="com.sun.javafx.collections.MappingChange.Map"%>
<%@page import="util.TokenUtil"%>
<%@page import="io.jsonwebtoken.*"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>主界面</title>
</head>
<body>
	<%
		/*  Cookie[] cookies = request.getCookies();
		
		if (cookies != null) {
			// 我们可以遍历下我们的cooike看看
			for (Cookie cookie : cookies) {
				if(cookie.getName().equals("token")){
					Claims user = TokenUtil.parseToken(cookie.getValue());
					out.print(user.get("name")+"<br/>");
					out.print(user.get("pass")+"<br/>");
				}
			}
		} 		 */
		if (request.getHeader("token") != null) {
			Claims user = TokenUtil.parseToken(request.getHeader("token"));
			out.print(user.get("name") + "<br/>");
			out.print(user.get("pass") + "<br/>");
		}
	%>
	这里是主界面
</body>
</html>

我们再次运行执行登录请求,打开检查,我们发现已经从请求头中响应了过来:

在这里插入图片描述

这里我们用postman测试下,通过请求头测试,测试成功:

在这里插入图片描述

而用户只要是携带了token,我们后端有这个token只需要判断有没有就知道这个用户是否登录过;这里我们放在了cookie中,token我们还可以放在请求头中,可以防止很多攻击,对于前后端项目来说,很好,但是这里尽量不要存放用户敏感信息,因为token也不是安全的;

包括token如果存放在请求头中,这里我们没有办法刷新用户的token只能是到时间之后自动过期;

具体使用场景看具体业务,这里只是简单的了解下,并没有什么业务代码,也是对于自己的理解,好就这样吧,那占位符 {jsp}

小结

通过cookie、session、以及token的学习相信已经了解了,那这只是很简单的了解,之后可以更加深入的学习,进行业务操作,所以到这里还不三连点个关注吗

CookieSessionJWTToken
qq_73181349的博客
07-24 997
cookiesessionjwt原理,传输过程,优缺点
JavaWebCookie,session,Token
weixin_46011471的博客
06-27 631
说明由来:在最开始的网页浏览中 HTTP 协议是无状态的,所谓的无状态就是客户端每次想要与服务端通信,都必须重新与服务端链接,意味着请求一次客户端和服务端就连接一次,下一次请求与上一次请求是没有关系的。它的最大的问题是就是每次一都要去校验身份,解决方法就是cookiesessiontoken使用,解决了它的鉴权问题。
[java]关于Session&关于Token&关于JWT
YJH000_的博客
06-10 1071
从软件技术上,可以使用Session机制来识别客户端的身份,当某个客户端第1次向服务器端发起请求,服务器端会生成一个随机的Session ID(本质上是一个UUID值)并响应给客户端,后续,客户端每次请求时,都会携带这个Session ID来访问服务器端,而服务器端的内存中,使用K-V结构记录每个客户端对应的数据,使用Session ID作为Key,所以,每个客户端在服务器端都有一份属于自己的数据,这个数据就是Session。访问官网的主页,就可以看到JWT的数据表现格式 (下图红色框)。
sessiontokencookie详解,和java JWT工具类
衡与墨的博客
11-12 1739
前言 sessiontoken是当下两种流行的会话标志方法,近年来,随着微服务、分布式普遍,session的不利之处也越来越明显,占用内存多、无法跨服务器使用、易被跨域攻击等缺点使得大家越来越偏向于使用token,有些人会狡辩说token不是也有缺点吗?他们会说:无法在服务器端终止token,如果要做到这一功能必须要在服务端保存token才行,那么,和session有什么区别?是的,他们说的这些...
Java 会话技术、CookieJWT令牌、过滤器Filter、拦截器Interceptor、ThreadLocal
最新发布
zeijiershuai的博客
11-09 744
Java 会话技术、CookieJWT令牌、过滤器Filter、拦截器Interceptor、ThreadLocal
javasessiontoken以及token实现
qq_29950673的博客
03-01 6432
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid...
session机制到token机制到jwt实践应用
lileLife的博客
02-10 1186
从开始的cookie在web间做信息认证,到session机制,紧接着因为session带来的跨域问题,和越来越多的前后端分离、分布式项目,更多的开发者选择了自己喜爱的token机制,以及jwt(JSON web token),本文会从cookie开始,一步一步介绍到jwt使用cookie简单介绍 cookie 存储在浏览器中。 浏览器 js可以使用do...
Javaweb-cookiesessiontoken
codfishXY的博客
09-29 270
1. cookie 以 k1=v1;k2=v2… 形式在浏览器保存的少量(同一网站最多存20个)文本数据 保存了的cookie在以后的每次请求中都会携带 cookie默认不支持中文 cookie存放原始数据在本地不安全 从服务器发送cookie给浏览器保存 Cookie cookie = new Cookie("username", "zhangsan"); response.addCookie(cookie); cookie的生命周期 cookie随浏览器的进程关闭而销毁,所以浏览器一般会把coo
JavaWeb项目】实现简易的疫苗预约系统 登录校验 Cookie Session 前端 Servlet JDBC
04-04
本项目是一个基于JavaWeb技术实现的简易疫苗预约系统,涵盖了登录验证、用户会话管理以及数据访问等核心功能。下面将详细阐述其中涉及的关键知识点。 首先,**登录校验**是系统的重要组成部分,用于确保只有合法...
精选资源
11_JavaWeb——Cookie&Session案例资源
05-01
此资源是我的博客11_JavaWeb——Cookie&Session中的案例资源,关于比较难以编写的工具类我已在博客中给出,下载此资源后可直接运行,实现登录注册功能。其中登录功能能够记住用户使得下次登录不需要重复输入用户名和...
JavaWeb使用SessionCookie实现登录认证
08-31
JavaWeb 使用 SessionCookie 实现登录认证 SessionCookie 是 Web 开发中两种常用的技术,分别用于实现用户会话和客户端数据存储。本文将详细介绍如何使用 SessionCookie 实现登录认证。 什么是 ...
JAVA WEB TOKEN使用
weixin_44470173的博客
03-20 592
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519). 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息, 该token也可直接被用于认证,也可被加密。
JavaWeb-cookie,session,token
weixin_48813970的博客
08-28 365
cookie,session,token 会话的概念:可以理解为用户打开浏览器,访问该web服务器的多个资源,然后关闭浏览器,这中间的一系列过程称之为一个会话。 javaweb中有两种实现会话的机制:cookiesession cookie机制 基本介绍 1)cookie机制采用的是在客户端保持 HTTP 状态信息的方案。当浏览器访问WEB服务器的某个资源时,WEB服务器会在HTTP响应头中添加一个键值对传送给浏览器,再由浏览器将该cookie放到客户端磁盘的一个文件中,该文件可理
JAVA基础 - token session cookie
zs1972551648的博客
02-28 1480
token session cookie
Java Web Token(JWT)介绍
zhaisharap的专栏
09-09 1170
1. JSON Web Token是什么 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 2. 什么时候你应该用JSON Web Token 下列场景中使用JSON Web Token是很有用的: Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源
JavaWeb】认证授权(一)—— SessionJWT
远赴山河万里的博客
04-04 2250
`Session`,是一种有状态的会话管理机制,其目的就是为了解决`HTTP`无状态请求带来的问题。 当用户登录认证请求通过时,服务端会将用户的信息存储起来,并生成一个`Session Id`发送给前端,前端将这个`Session Id`保存起来(一般是保存在Cookie中)。之后前端再发送请求时都携带`Session Id`,服务器端再根据这个`Session Id`来检查该用户有没有登录过。
cookiesessiontoken详解
kagurawill的博客
08-29 458
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪...
Java中的Token
m0_65732083的博客
06-12 3143
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。基于 Token 的身份验证使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:客户端使用用户名跟密码请求登录服务端收到请求,去验证用户名与密码验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端。
java--Springboot 拦截器、异常类处理和定时器相关基础
weixin_45686583的博客
03-30 703
Springboot 拦截器、异常类和定时器相关基础 拦截器用于拦截controller中被访问的路径,false表示拦截 true代表放行。 拦截器的配置: package cn.zbw.interceptor; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterce
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学习日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值