Java生成及校验token的实践
作者:夏诗曼CharmaineXia
What is token?
token是令牌的意思,作用就像“通关令牌”一样,持有token的请求会被“放行”,不持有token的请求可以被拦截(可以设置白名单使不被拦截,例如登陆请求)。
token是由服务端创建的一串字符串,登陆成功后发送给前端存储在浏览器或本地中,以后每次发送请求都携带上。
1. 使用拦截器在请求发出前在请求头中添加上 token。
2. 将 token 存储在浏览器的 cookies 中,符合一些条件每次请求都会自动带上 token。
Token安全问题
- 在存储的时候把token进行对称加密存储,用时解开。
- 将请求URL、时间戳、token三者进行合并加盐签名,服务端校验有效性。
- 这两种办法的出发点都是:窃取你存储的数据较为容易,而反汇编你的程序hack你的加密解密和签名算法是比较难的。然而其实说难也不难,所以终究是防君子不防小人的做法。话说加密存储一个你要是被人扒开客户端看也不会被喷明文存储……
- 方法1它拿到存储的密文解不开、方法2它不知道你的签名算法和盐,两者可以结合食用。
- 但是如果token被人拷走,他自然也能植入到自己的手机里面,那到时候他的手机也可以以你的身份来用着,这你就瞎了。
- 于是可以提供一个让用户可以主动expire一个过去的token类似的机制,在被盗的时候能远程止损。
- 在网络层面上token明文传输的话会非常的危险,所以建议一定要使用HTTPS,并且把token放在post body里
Why do we use token?
在前后端分离的web项目中,HTTP是无状态协议,即使使用账号密码登陆,后端仍然无法分辨是谁发出的请求,要么后端不需要确认请求者的身份,要么每次请求都携带身份信息供后端确认。
显然第一种方法对软件的安全会造成极大的威胁,那么第二种方法就被改善成了token,token就是加密了的用户身份信息。
token组成(Composition of token)
以jwt(java web token)为例,下图介绍了详细介绍了token的组成。
校验token(Verify token)
这里只说最基础的校验。
token的加密一般是可逆的,后端接收到token中,还可以根据加密的算法再进行解密,以获取荷载中的用户信息,因此荷载中不能放置密码等信息。
第三部分由于加入了自己制定的秘钥(秘钥一般保存在后端代码中),解密成功后会与前两部分和保存的秘钥进行对比,对比成功了才算token验证通过。经过这样的双重保障,这三部分每一部分被篡改都会被发现。
校验流程:
实操:
生成token(Generate token)
以生成jwt为例子,代码如下:
<!-- 引入jwt -->
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.8.2</version>
</dependency>校验token(Verificationtoken)
@Slf4j
public class JwtUtil {
/**
* 使用固定的解密秘钥
*/
private static final String SECRET = TOKEN_SECRET;
/**
* @version: V1.0
* @description: 生成token并验证token并解密token中的信息
* @param: userInfo 用户手机号和用户Id
* @return: java.lang.String 返回token
**/
public static String getToken(UserInfoEntity userInfo) {
try{
//用秘钥生成签名
Algorithm algorithm = Algorithm.HMAC256(SECRET);
//默认头部+载荷(手机号/id)+签名=jwt
String jwtToken= JWT.create()
.withClaim("userPhone", userInfo.getUserPhone())
.withClaim("userId", userInfo.getUserId())
.sign(algorithm);
log.info("用户{}的token生成成功:{}",userInfo.getUserId(),jwtToken);
return jwtToken;
}catch (Exception e){
log.error("用户{}的token生成异常:{}",userInfo.getUserId(),e);
return null;
}
}
/**
* @version: V1.0
* @description: 校验token是否正确
* @param: token
* @param: userPhone
* @return: UserInfoEntity token中的用户信息(姓名/id)
**/
public static UserInfoEntity verify(String token) {
try {
// 根据用户信息userInfo生成JWT效验器
Algorithm algorithm = Algorithm.HMAC256(SECRET);
JWTVerifier verifier = JWT.require(algorithm)
.build();
// 效验TOKEN
verifier.verify(token);
log.info("token:{}校验成功成功",token);
//返回token内容
return getTokenInfo(token);
} catch (Exception exception) {
log.error("token校验异常:{}",exception);
return null;
}
}
/**
* @version: V1.0
* @Title: getUsername
* @description: 从Token中解密获得Token中的用户信息
* @param: token
* @return: UserInfoEntity token中的用户信息(姓名/id)
**/
private static UserInfoEntity getTokenInfo(String token) {
try {
DecodedJWT jwt = JWT.decode(token);
UserInfoEntity userInfo=new UserInfoEntity();
userInfo.setUserPhone(jwt.getClaim("userPhone").asString());
userInfo.setUserId(jwt.getClaim("userId").asString());
log.info("用户{}从token获取用户信息成功",userInfo.getUserId());
return userInfo;
} catch (JWTDecodeException e) {
log.error("从token:{}获取用户信息异常:{}",token,e);
return null;
}
}
}
总结:
在实际应用中,还应考虑安全性措施,如使用安全的随机数生成器生成密钥、定期更换密钥、使用 HTTPS 等。
Token 的生成和校验机制为应用程序提供了一种安全的身份验证和授权方式,可以用于用户认证、API 访问控制等场景。正确实现和使用 Token 机制可以提高应用程序的安全性和用户体验。
到此这篇关于Java生成及校验token的实践的文章就介绍到这了,更多相关Java生成及校验token内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!