token的组成和使用

最新推荐文章于 2025-07-11 16:31:03 发布
转载 最新推荐文章于 2025-07-11 16:31:03 发布 · 1.6w 阅读 · 22
文章标签:

#token #的使用 

本文你能学到什么?

token的组成 
token串的生成流程。 
token在客户端与服务器端的交互流程 
Token的优点和思考 
参考代码:核心代码使用参考,不是全部代码

JWT token的组成

头部(Header),格式如下: 
{ 
“typ”: “JWT”, 
“alg”: “HS256” 
} 
由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串:

eyJhbGciOiJIUzI1NiJ91

有效载荷(Playload): 
{  
  “iss”: “Online JWT Builder”,  
  “iat”: 1416797419,  
  “exp”: 1448333419,  
      ……. 
  “userid”:10001 
} 
有效载荷中存放了token的签发者(iss)、签发时间(iat)、过期时间(exp)等以及一些我们需要写进token中的信息。有效载荷也使用Base64编码得到如下格式的字符串:

eyJ1c2VyaWQiOjB91

签名(Signature): 
将Header和Playload拼接生成一个字符串str=“eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOjB9”,使用HS256算法和我们提供的密钥(secret,服务器自己提供的一个字符串)对str进行加密生成最终的JWT,即我们需要的令牌(token),形如:str.”签名字符串”。

token在服务与客户端的交互流程

1:客户端通过用户名和密码登录 
2:服务器验证用户名和密码,若通过,生成token返回给客户端。 
3:客户端收到token后以后每次请求的时候都带上这个token,相当于一个令牌,表示我有权限访问了 
4:服务器接收(通常在拦截器中实现)到该token,然后验证该token的合法性(为什么能验证下面说)。若该token合法,则通过请求,若token不合法或者过期,返回请求失败。



关于Token的思考

服务如何判断这个token是否合法? 
由上面token的生成可知,token中的签名是由Header和有效载荷通过Base64编码生成再通过加密算法HS256和密钥最终生成签名,这个签名位于JWT的尾部,在服务器端同样对返回过来的JWT的前部分再进行一次签名生成,然后比较这次生成的签名与请求的JWT中的签名是否一致,若一致说明token合法。由于生成签名的密钥是服务器才知道的,所以别人难以伪造。

token中能放敏感信息吗? 
不能,因为有效载荷是经过Base64编码生成的,并不是加密。所以不能存放敏感信息。



Token的优点

(1)相比于session,它无需保存在服务器,不占用服务器内存开销。 
(2)无状态、可拓展性强:比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好就是这个意思。 
(3)由(2)知,这样做可就支持了跨域访问。



Java实例:JWT token使用

部分代码来自互联网,找不到原作者了。。 
编写JWT(Java Web Token)操作类:JavaWebToken



public class JavaWebToken {

    private static Logger log = LoggerFactory.getLogger(JavaWebToken.class);

    //该方法使用HS256算法和Secret:bankgl生成signKey
    private static Key getKeyInstance() {
        //We will sign our JavaWebToken with our ApiKey secret
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("bankgl");
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        return signingKey;
    }

    //使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
    public static String createJavaWebToken(Map<String, Object> claims) {
        return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact();
    }

    //解析Token,同时也能验证Token,当验证失败返回null
    public static Map<String, Object> parserJavaWebToken(String jwt) {
        try {
            Map<String, Object> jwtClaims =
                    Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
            return jwtClaims;
        } catch (Exception e) {
            log.error("json web token verify failed");
            return null;
        }
    }
}123456789101112131415161718192021222324252627282930

编写登录Conreoller,在服务器端给客户返回token.



public LoginStatusMessage checkUserAndPassword(
    @RequestParam(value="username",required=true) String username,
    @RequestParam(value="password",required=true) String password,User user,HttpServletRequest request) throws Exception{
        User u = new User();
        //登录成功
        if((u = userService.checkUsernameAndPassword(user)) != null){
            Map<String,Object> m = new HashMap<String,Object>();
            m.put("userid", user.getUserid());
            String token = JavaWebToken.createJavaWebToken(m);
            System.out.println(token);
            LoginStatusMessage lsm = new LoginStatusMessage();
            lsm.setUser(u);
            lsm.setToken(token);
            return lsm;
        };
        //登录失败,返回Null
        return null;
    }123456789101112131415161718

在拦截器中对请求中的Token验证(部分代码,表示下意思):



String token = request.getParameter("token");
            if(JavaWebToken.parserJavaWebToken(token) != null){
                //表示token合法
                return true;
            }else{
                //token不合法或者过期
                return false;
            }

---------------------

本文来自 bug_lover_liao 的优快云 博客 ,全文地址请点击:https://blog.youkuaiyun.com/csdn_blog_lcl/article/details/73485463?utm_source=copy

 

Json Web Token(jwt)
liangshitian的博客
09-28 2182
1、什么是jwt 目前流行的跨域认证解决方案,一种基于JSON的、用于在网络上声明某种主张的令牌(token),通过后台是否识别此令牌来保证安全性, 负载中携带了用户的一些信息,减少数据库查询量(官网: https://jwt.io/)。 2、jwt原理 jwt = 头部(header)+载荷(payload)+签证(signature) 1)header: JWT的header声明了2部分信息,类型加密算法, { 'typ':'JWT', 'alg':'HS256' } 将其ba
“编程中的token是什么意思?详细解释及示例代码“
ZujbMl的博客
09-25 1065
在编程领域中,token是指一个程序中最小的语法单元,它代表着代码中的一个词法元素。编程语言会将源代码分解成一个个的token,然后通过对这些token的分析组合来构建语法结构。在大多数编程语言中,token可以分为多个类型,包括标识符(identifiers)、关键字(keywords)、运算符(operators)、分隔符(delimiters)字面量(literals)等。下面我们将对每种类型进行详细说明。通过对token的概念示例代码的学习,您可以更好地理解编程语言的基本元素语法结构。
jwt-token生成示例
架构师必备技能
06-28 6488
jwt-token是前后端分离架构中常用的用户校验方案,session不同,它是无状态的。推荐官网去看看:https://jwt.io/好了,接下来是一些关键代码示例maven依赖&lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifact...
JWT中的Token
m0_64245578的博客
08-18 1187
jwt(json web token的缩写)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以json对象安全地传输信息,此信息可以验证信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对,进行签名。通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。
一文读懂大模型(LLM)的 TokenToken 究竟是什么?一文看懂!
最新发布
weixin_72959097的博客
07-11 1060
在大模型(LLM)的世界里,token 是一个基础且重要的概念。接下来,让我们一文读懂大模型中的 token 究竟是什么。
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
【JWT Token
小呆鸟blog
06-09 981
在项目期间,注册用户在下次登录的时候,经常需要重新输入用户名密码比较麻烦,于是引入jwt Token。因为http协议本身是一种无状态的协议,而这就导致用户每次请求时,都需要携带用户名密码来进行用户认证,因为根据http协议,我们不清楚是哪个用户发的请求。我们可以在服务器当中,存一份用户登录的信息,这份登录信息会在响应的时候发送给应用,这样应用就能知道识别是哪个用户请求的。这是传统的通常session保存在内存当中,这就意味着每次用户认证,都要请求这台服务器,服务器的开销比较大,这在分布式应用上,限制了
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、Session与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
详解JWT token心得与使用实例
01-21
Token的优点思考 参考代码:核心代码使用参考,不是全部代码 JWT token组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base...
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 2178
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JWT+Token
weixin_67201964的博客
02-29 583
瑞吉外卖的加强版苍穹外卖 初学在瑞吉外卖的基础上使用了JWT+Token实现登录功能 并且用的是手写mapper方法锻炼sql基础能力
JWT令牌
qiumin的博客
07-14 3515
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
【Apifox】token使用方式脚本示例
wqda125的博客
05-11 3813
前言,关于token使用,仅做了简单的demo测试token效果。顾名思义,因为只有登录之后才有token的信息,所以在调用其他接口前需要拥有token才能访问。操作步骤1)添加环境变量、全局参数这里拿测试环境举例,在右上角环境中配置详细信息:测试环境填写变量名以及本地值{{token}}再在全局参数添加参数名默认值(这样就不用每个接口都写一遍token了)2)在登录接口运行中添加后置操作选择提取变量,将token填入,并且根据登录接口返回的数据结构获取对应的token
JWT生成的token——中间部分Payload的坑
weixin_29634843的博客
11-13 9779
JWT进行token认证应该都用过,标准的加密(Base64 编码)后的token是这样的三段式的: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwiaWQiOiIxMjM0NTY3ODkwIiwiZXhwIjoxNjA1MDAxNzQyLCJpYXQiOjE2MDQ5OTQ1NDIsImp0aSI6IjU5YjI2NDEzLTE4MjMtNDVlZS1iZTI1LTA5M2ZjMjlhMmYzOCJ9.FMpVjuTUSOY5sbYqbJslJCnIvEx
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点思考 参考代码:核心代码使用参考,不是全部代码JWT token组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
jwt token实例操作
weixin_30767835的博客
08-31 1710
最近在做一个app,登录验证是用的jwt的token验证,今天来记录一下...... 我的本次实例操作主要参考了下面资料 https://jwt.io/introduction/ https://blog.youkuaiyun.com/jikeehuang/article/details/51488020 https://www.cnblogs.com/ganchuanpu/archive/2017/...
JWT token
vengu733的博客
11-08 362
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密【可解析的】。官网: https://jwt.io/
token组成部分
07-11
根据引用[1]引用[2],token通常由三部分组成:头部(Header)、载荷(Payload)签名(Signature)。下面我将详细解释每个部分。</think>### Token组成部分详解 Token 通常由三部分组成,采用标准化的结构设计以...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值