token的组成和使用

最新推荐文章于 2025-07-10 11:39:37 发布
最新推荐文章于 2025-07-10 11:39:37 发布
阅读量1.6w 收藏 22
点赞数 15
分类专栏: java语言 文章标签: token 的使用 
本文你能学到什么?

token的组成 
token串的生成流程。 
token在客户端与服务器端的交互流程 
Token的优点和思考 
参考代码:核心代码使用参考,不是全部代码

JWT token的组成

头部(Header),格式如下: 
{ 
“typ”: “JWT”, 
“alg”: “HS256” 
} 
由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符串:

eyJhbGciOiJIUzI1NiJ91

有效载荷(Playload): 
{  
  “iss”: “Online JWT Builder”,  
  “iat”: 1416797419,  
  “exp”: 1448333419,  
      ……. 
  “userid”:10001 
} 
有效载荷中存放了token的签发者(iss)、签发时间(iat)、过期时间(exp)等以及一些我们需要写进token中的信息。有效载荷也使用Base64编码得到如下格式的字符串:

eyJ1c2VyaWQiOjB91

签名(Signature): 
将Header和Playload拼接生成一个字符串str=“eyJhbGciOiJIUzI1NiJ9.eyJ1c2VyaWQiOjB9”,使用HS256算法和我们提供的密钥(secret,服务器自己提供的一个字符串)对str进行加密生成最终的JWT,即我们需要的令牌(token),形如:str.”签名字符串”。

token在服务与客户端的交互流程

1:客户端通过用户名和密码登录 
2:服务器验证用户名和密码,若通过,生成token返回给客户端。 
3:客户端收到token后以后每次请求的时候都带上这个token,相当于一个令牌,表示我有权限访问了 
4:服务器接收(通常在拦截器中实现)到该token,然后验证该token的合法性(为什么能验证下面说)。若该token合法,则通过请求,若token不合法或者过期,返回请求失败。



关于Token的思考

服务如何判断这个token是否合法? 
由上面token的生成可知,token中的签名是由Header和有效载荷通过Base64编码生成再通过加密算法HS256和密钥最终生成签名,这个签名位于JWT的尾部,在服务器端同样对返回过来的JWT的前部分再进行一次签名生成,然后比较这次生成的签名与请求的JWT中的签名是否一致,若一致说明token合法。由于生成签名的密钥是服务器才知道的,所以别人难以伪造。

token中能放敏感信息吗? 
不能,因为有效载荷是经过Base64编码生成的,并不是加密。所以不能存放敏感信息。



Token的优点

(1)相比于session,它无需保存在服务器,不占用服务器内存开销。 
(2)无状态、可拓展性强:比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好就是这个意思。 
(3)由(2)知,这样做可就支持了跨域访问。



Java实例:JWT token使用

部分代码来自互联网,找不到原作者了。。 
编写JWT(Java Web Token)操作类:JavaWebToken



public class JavaWebToken {

    private static Logger log = LoggerFactory.getLogger(JavaWebToken.class);

    //该方法使用HS256算法和Secret:bankgl生成signKey
    private static Key getKeyInstance() {
        //We will sign our JavaWebToken with our ApiKey secret
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary("bankgl");
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        return signingKey;
    }

    //使用HS256签名算法和生成的signingKey最终的Token,claims中是有效载荷
    public static String createJavaWebToken(Map<String, Object> claims) {
        return Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance()).compact();
    }

    //解析Token,同时也能验证Token,当验证失败返回null
    public static Map<String, Object> parserJavaWebToken(String jwt) {
        try {
            Map<String, Object> jwtClaims =
                    Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
            return jwtClaims;
        } catch (Exception e) {
            log.error("json web token verify failed");
            return null;
        }
    }
}123456789101112131415161718192021222324252627282930

编写登录Conreoller,在服务器端给客户返回token.



public LoginStatusMessage checkUserAndPassword(
    @RequestParam(value="username",required=true) String username,
    @RequestParam(value="password",required=true) String password,User user,HttpServletRequest request) throws Exception{
        User u = new User();
        //登录成功
        if((u = userService.checkUsernameAndPassword(user)) != null){
            Map<String,Object> m = new HashMap<String,Object>();
            m.put("userid", user.getUserid());
            String token = JavaWebToken.createJavaWebToken(m);
            System.out.println(token);
            LoginStatusMessage lsm = new LoginStatusMessage();
            lsm.setUser(u);
            lsm.setToken(token);
            return lsm;
        };
        //登录失败,返回Null
        return null;
    }123456789101112131415161718

在拦截器中对请求中的Token验证(部分代码,表示下意思):



String token = request.getParameter("token");
            if(JavaWebToken.parserJavaWebToken(token) != null){
                //表示token合法
                return true;
            }else{
                //token不合法或者过期
                return false;
            }

---------------------

本文来自 bug_lover_liao 的优快云 博客 ,全文地址请点击:https://blog.youkuaiyun.com/csdn_blog_lcl/article/details/73485463?utm_source=copy

 

jwt-token生成示例
架构师必备技能
06-28 6487
jwt-token是前后端分离架构中常用的用户校验方案,session不同,它是无状态的。推荐官网去看看:https://jwt.io/好了,接下来是一些关键代码示例maven依赖&lt;dependency&gt; &lt;groupId&gt;io.jsonwebtoken&lt;/groupId&gt; &lt;artifactId&gt;jjwt&lt;/artifact...
JWT token心得与使用实例
热门推荐
God Liao On The Way
06-20 6万+
本文你能学到什么?token组成 token串的生成流程。 token在客户端与服务器端的交互流程 Token的优点思考 参考代码:核心代码使用参考,不是全部代码JWT token组成头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base64编码可得到如下个格式的字符
LLM 小白必看!AI 大模型里的 token 到底是啥?一文讲透!
2301_81888214的博客
07-10 608
相信你只要了解过大模型,就听过token这个词儿,大家在用ChatGPT的API时,是按token计费的。
jwt token实例操作
weixin_30767835的博客
08-31 1710
最近在做一个app,登录验证是用的jwt的token验证,今天来记录一下...... 我的本次实例操作主要参考了下面资料 https://jwt.io/introduction/ https://blog.youkuaiyun.com/jikeehuang/article/details/51488020 https://www.cnblogs.com/ganchuanpu/archive/2017/...
JWT token
vengu733的博客
11-08 362
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密【可解析的】。官网: https://jwt.io/
JWT Token
weixin_45072119的博客
06-17 2208
JWT是json web token的缩写,它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、Session与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
详解JWT token心得与使用实例
01-21
Token的优点思考 参考代码:核心代码使用参考,不是全部代码 JWT token组成 头部(Header),格式如下: { “typ”: “JWT”, “alg”: “HS256” } 由上可知,该token使用HS256加密算法,将头部使用Base...
一文精通JWT Token、ID Token、Access Token、Refresh Token
FeelTouch Labs
02-21 2149
用于授权访问资源,任何 Bearer 持有者都可以无差别地用它来访问相关的资源,而无需证明持有加密 key。一个 Bearer 代表授权范围、有效期,以及其他授权事项;一个 Bearer 在存储传输过程中应当防止泄露,需实现 Transport Layer Security (TLS);一个 Bearer 有效期不能过长,过期后可用 Refresh Token 申请更新。
thinkphp框架使用JWTtoken的方法详解
01-03
本文实例讲述了thinkphp框架使用JWTtoken的方法。分享给大家供大家参考,具体如下: 简介 一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各...
JWT(JSON Web Token )详解及实例
深圳市多克创新科技有限公司
10-31 6989
JSON Web Token (JWT)详解
JWT(java web Token)
01-22
token 去访问实现了jwt认证的web服务器。 token 可保存自定义信息,如用户基本信息, web服务器用解析token,解决跨域授权的问题
基于JWT 的token 认证机制的实例 全局异常处理
shi860715的博客
08-22 3754
基于JWT 的token 认证机制的实现 文章目录基于JWT 的token 认证机制的实现1 jwt认知1.1 头部(Header)1.2 载荷(playload)1.3 签证(signature)2 JJWET 实现2.1 导入依赖2.2 创建第一个jwt2.2.1 结果2.3 解析第一个jwt2.3.1 结果:2.4 生成工具类3 权限验证实现3.1 拦截器3.2 权限验证3.3 全局异常处...
关于JWT token
qq_36186068的博客
09-19 459
结合https://blog.youkuaiyun.com/qq_37636695/article/details/79265711谈一下如何在java中使用JWT 上述文章说明了在sso简单来说,单点登录SSO(Single SignOn)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录。也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁,例如...
JWT中的Token
m0_64245578的博客
08-18 1170
jwt(json web token的缩写)是一个开放标准(rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以json对象安全地传输信息,此信息可以验证信任,因为它是数字签名的,jwt可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对,进行签名。通俗解释:JWT简称JSON Web Token,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。
JwtToken介绍与使用 超详细保姆级教程 内附详细示例代码
burgerh的博客
11-25 1万+
文章目录一、什么是JWT认证二、JWT认证的特点优点:缺点:三、JWT的组成四、JWT代码展示 一、什么是JWT认证 Json web token (JWT),根据官网的定义,是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可
jwt,token的单点登录系统
Li2992673708的博客
12-24 399
作为⼀个开放的标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方之间以Json对象的形式安全的传递信息。最后,算出签名以后,把Header、Payload、Signature三个部分拼成一个字符串,每个部分之间用点(.)分隔,就可以返回给用户了。时,请求中携带JWT串到服务端,服务端通过签名加密串匹配校验,保证信息未被篡改,校验通过则认为是可靠的请求,将正常返回数据。例如,A网站B网站是同一家公司的关联服务,现在要求,用户只要在其中一个网站登录,再访问另一个网站就无需登录。
jwt token
whf1215847706的专栏
03-04 796
HMAC 算法是不可逆算法,类似 MD5 hash ,但多一个密钥,密钥(即上面的 secret)由服务端持有,客户端把 token 发给服务端后,服务端可以把其中的头部载荷再加上事先共享的 secret 再进行一次 HMAC 加密,得到的结果 token 的第三段进行对比,如果一样则表明数据没有被篡改。这样的话,最终的实现效果是:token 过期 2h 后需要重新登录 ,而不是 token 2h 未使用需要重新登录,导致的结果是,用户是 2 - 3h 未进行请求,需要重新登录。
token组成部分
最新发布
07-11
<think>我们正在讨论token组成部分。根据引用[1]引用[2],token通常由三部分组成:头部(Header)、载荷(Payload)签名(Signature)。下面我将详细解释每个部分。</think>### Token组成部分详解 Token 通常由三部分组成,采用标准化的结构设计以确保安全性可验证性: #### 1. **头部 (Header)** - **作用**:声明 Token 的类型签名算法 - **内容**: - `typ`:Token 类型(如 `JWT`) - `alg`:签名算法(如 `HS256`、`RS256`) - **示例**: ```json { "alg": "HS256", "typ": "JWT" } ``` - **存储形式**:Base64Url 编码[^1] #### 2. **载荷 (Payload)** - **作用**:携带实际业务数据声明 - **内容分类**: - **标准声明**(预定义字段): - `iss`:签发者 - `exp`:过期时间 - `sub`:主题 - `aud`:接收方 - **公共声明**:自定义业务数据(如用户ID、角色权限) - **私有声明**:双方约定的自定义字段 - **示例**: ```json { "sub": "user123", "name": "张三", "role": "admin", "exp": 1735689600 } ``` - **存储形式**:Base64Url 编码[^1][^2] #### 3. **签名 (Signature)** - **作用**:验证 Token 完整性防篡改 - **生成方式**: ```js HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secretKey ) ``` - **验证原理**: - 服务器用相同算法密钥重新计算签名 - 对比计算结果与 Token 中的签名是否一致 - **安全意义**: - 确保头部载荷未被篡改 - 验证 Token 来源真实性[^2] ### Token 完整结构示例 ``` eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. // 头部(Base64编码) eyJzdWIiOiJ1c2VyMTIzIiwibmFtZSI6IuW8oOWbviIsInJvbGUiOiJhZG1pbiJ9. // 载荷(Base64编码) SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c // 签名 ``` ### 各部分的安全意义 1. **头部**:指定算法防止攻击者篡改签名方式[^1] 2. **载荷**:Base64编码可读但不加密,敏感数据需额外加密 3. **签名**: - 对称算法(如 `HS256`):需共享密钥 - 非对称算法(如 `RS256`):私钥签名,公钥验证 - 防止中间人篡改关键字段(如用户权限 `role`)[^2] --- ### 相关问题 1. **JWT 与 OAuth Token 在结构上有何区别?** 2. **如何安全地在 Token 载荷中存储敏感信息?** 3. **签名算法 HS256 RS256 在安全性上有何差异?** 4. **Token 过期机制(exp 字段)如何实现?有哪些最佳实践?** [^1]: Token 一般由三部分组成:头部、载荷部分签名部分。头部包含了 Token 的类型加密算法。 [^2]: 签名是 token 的第三部分,确保 token 在传输过程中没有被篡改。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值