最近在做項(xiàng)目開(kāi)始，涉及到服務(wù)器與安卓之間的接口開(kāi)發(fā)，在此開(kāi)發(fā)過(guò)程中發(fā)現(xiàn)了安卓與一般瀏覽器不同，安卓在每次發(fā)送請(qǐng)求的時(shí)候并不會(huì)帶上上一次請(qǐng)求的SessionId，導(dǎo)致服務(wù)器每次接收安卓發(fā)送的請(qǐng)求訪問(wèn)時(shí)都新建一個(gè)Session進(jìn)行處理，無(wú)法通過(guò)傳統(tǒng)的綁定Session來(lái)進(jìn)行保持登錄狀態(tài)和通訊狀態(tài)。

基于傳統(tǒng)方法無(wú)法判斷安卓的每次請(qǐng)求訪問(wèn)狀態(tài)，故查詢資料了解到Token，特殊的身份證驗(yàn)證。以下是網(wǎng)上搜尋資料所得，作為學(xué)習(xí)總結(jié)資料。

令牌是一種能夠控制站點(diǎn)占有媒體的特殊幀，以區(qū)別數(shù)據(jù)幀及其他控制幀。token其實(shí)說(shuō)的更通俗點(diǎn)可以叫暗號(hào)，在一些數(shù)據(jù)傳輸之前，要先進(jìn)行暗號(hào)的核對(duì)，不同的暗號(hào)被授權(quán)不同的數(shù)據(jù)操作，下文我們就來(lái)詳細(xì)的介紹一下關(guān)于基于 Token 的身份驗(yàn)證的教程

最近了解下基于 Token 的身份驗(yàn)證，跟大伙分享下。很多大型網(wǎng)站也都在用，比如 Facebook，Twitter，Google+，Github 等等，比起傳統(tǒng)的身份驗(yàn)證方法，Token 擴(kuò)展性更強(qiáng)，也更安全點(diǎn)，非常適合用在 Web 應(yīng)用或者移動(dòng)應(yīng)用上。Token 的中文有人翻譯成 “令牌”，我覺(jué)得挺好，意思就是，你拿著這個(gè)令牌，才能過(guò)一些關(guān)卡。

傳統(tǒng)身份驗(yàn)證的方法

HTTP 是一種沒(méi)有狀態(tài)的協(xié)議，也就是它并不知道是誰(shuí)是訪問(wèn)應(yīng)用。這里我們把用戶看成是客戶端，客戶端使用用戶名還有密碼通過(guò)了身份驗(yàn)證，不過(guò)下回這個(gè)客戶端再發(fā)送請(qǐng)求時(shí)候，還得再驗(yàn)證一下。

解決的方法就是，當(dāng)用戶請(qǐng)求登錄的時(shí)候，如果沒(méi)有問(wèn)題，我們?cè)诜?wù)端生成一條記錄，這個(gè)記錄里可以說(shuō)明一下登錄的用戶是誰(shuí)，然后把這條記錄的 ID 號(hào)發(fā)送給客戶端，客戶端收到以后把這個(gè) ID 號(hào)存儲(chǔ)在 Cookie 里，下次這個(gè)用戶再向服務(wù)端發(fā)送請(qǐng)求的時(shí)候，可以帶著這個(gè) Cookie ，這樣服務(wù)端會(huì)驗(yàn)證一個(gè)這個(gè) Cookie 里的信息，看看能不能在服務(wù)端這里找到對(duì)應(yīng)的記錄，如果可以，說(shuō)明用戶已經(jīng)通過(guò)了身份驗(yàn)證，就把用戶請(qǐng)求的數(shù)據(jù)返回給客戶端。Cookie里面存的是sessionID是session記錄的id.

上面說(shuō)的就是 Session，我們需要在服務(wù)端存儲(chǔ)為登錄的用戶生成的 Session ，這些 Session 可能會(huì)存儲(chǔ)在內(nèi)存，磁盤，或者數(shù)據(jù)庫(kù)里。我們可能需要在服務(wù)端定期的去清理過(guò)期的 Session 。

基于 Token 的身份驗(yàn)證方法

使用基于 Token 的身份驗(yàn)證方法，在服務(wù)端不需要存儲(chǔ)用戶的登錄記錄。大概的流程是這樣的：

客戶端使用用戶名跟密碼請(qǐng)求登錄

服務(wù)端收到請(qǐng)求，去驗(yàn)證用戶名與密碼

驗(yàn)證成功后，服務(wù)端會(huì)簽發(fā)一個(gè) Token，再把這個(gè) Token 發(fā)送給客戶端

客戶端收到 Token 以后可以把它存儲(chǔ)起來(lái)，比如放在 Cookie 里或者 Local Storage 里

客戶端每次向服務(wù)端請(qǐng)求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的 Token

服務(wù)端收到請(qǐng)求，然后去驗(yàn)證客戶端請(qǐng)求里面帶著的 Token，如果驗(yàn)證成功，就向客戶端返回請(qǐng)求的數(shù)據(jù)

JWT

實(shí)施 Token 驗(yàn)證的方法挺多的，還有一些標(biāo)準(zhǔn)方法，比如 JWT，讀作：jot ，表示：JSON Web Tokens 。JWT 標(biāo)準(zhǔn)的 Token 有三個(gè)部分：

header

payload

signature

中間用點(diǎn)分隔開(kāi)，并且都會(huì)使用 Base64 編碼，所以真正的 Token 看起來(lái)像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是兩部分內(nèi)容，一個(gè)是 Token 的類型，另一個(gè)是使用的算法，比如下面類型就是 JWT，使用的算法是 HS256。

{ 'typ': 'JWT', 'alg': 'HS256'}

上面的內(nèi)容要用 Base64 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 里面是 Token 的具體內(nèi)容，這些內(nèi)容里面有一些是標(biāo)準(zhǔn)字段，你也可以添加其它需要的內(nèi)容。

下面是標(biāo)準(zhǔn)字段：

iss：Issuer，發(fā)行者 sub：Subject，主題 aud：Audience，觀眾 exp：Expiration time，過(guò)期時(shí)間 nbf：Not before iat：Issued at，發(fā)行時(shí)間 jti：JWT ID

比如下面這個(gè) Payload ，用到了 iss 發(fā)行人，還有 exp 過(guò)期時(shí)間。另外還有兩個(gè)自定義的字段，一個(gè)是 name ，還有一個(gè)是 admin 。

{ 'iss': 'ninghao.net', 'exp': '1438955445', 'name': 'wanghao', 'admin': true}

使用 Base64 編碼以后就變成了這個(gè)樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最后一部分是 Signature ，這部分內(nèi)容有三個(gè)部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時(shí)候要放進(jìn)去一個(gè) Secret ，這個(gè)相當(dāng)于是一個(gè)密碼，這個(gè)密碼秘密地存儲(chǔ)在服務(wù)端。

header

payload

secret

var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

HMACSHA256(encodedString, ’secret’);

處理完成以后看起來(lái)像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后這個(gè)在服務(wù)端生成并且要發(fā)送給客戶端的 Token 看起來(lái)像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個(gè) Token 以后把它存儲(chǔ)下來(lái)，下回向服務(wù)端發(fā)送請(qǐng)求的時(shí)候就帶著這個(gè) Token 。服務(wù)端收到這個(gè) Token ，然后進(jìn)行驗(yàn)證，通過(guò)以后就會(huì)返回給客戶端想要的資源。

補(bǔ)充知識(shí)：JAVA后端生成Token（令牌）,用于校驗(yàn)客戶端

1.概述：

在web項(xiàng)目中，服務(wù)端和前端經(jīng)常需要交互數(shù)據(jù)，有的時(shí)候由于網(wǎng)絡(luò)相應(yīng)慢，客戶端在提交某些敏感數(shù)據(jù)（比如按照正常的業(yè)務(wù)邏輯，此份數(shù)據(jù)只能保存一份）時(shí)，如果前端多次點(diǎn)擊提交按鈕會(huì)導(dǎo)致提交多份數(shù)據(jù)，這種情況我們是要防止發(fā)生的。

2.解決方法：

①前端處理：在提交之后通過(guò)js立即將按鈕隱藏或者置為不可用。

②后端處理：對(duì)于每次提交到后臺(tái)的數(shù)據(jù)必須校驗(yàn)，也就是通過(guò)前端攜帶的令牌（一串唯一字符串）與后端校驗(yàn)來(lái)判斷當(dāng)前數(shù)據(jù)是否有效。

3.總結(jié)：

第一種方法相對(duì)來(lái)說(shuō)比較簡(jiǎn)單，但是安全系數(shù)不高，第二種方法從根本上解決了問(wèn)題，所以我推薦第二種方法

** * 生成Token的工具類： */package red.hearing.eval.modules.token; import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;import java.util.Random; import sun.misc.BASE64Encoder; /** * 生成Token的工具類 * @author zhous * @since 2018-2-23 13:59:27 * */public class TokenProccessor { private TokenProccessor(){}; private static final TokenProccessor instance = new TokenProccessor(); public static TokenProccessor getInstance() { return instance; } /** * 生成Token * @return */ public String makeToken() { String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + ''; try { MessageDigest md = MessageDigest.getInstance('md5'); byte md5[] = md.digest(token.getBytes()); BASE64Encoder encoder = new BASE64Encoder(); return encoder.encode(md5); } catch (NoSuchAlgorithmException e) { // TODO Auto-generated catch block e.printStackTrace(); } return null; }}

/** * */package red.hearing.eval.modules.token; import javax.servlet.http.HttpServletRequest; import org.apache.commons.lang3.StringUtils; /** * Token的工具類 * @author zhous * @since 2018-2-23 14:01:41 * */public class TokenTools { /** * 生成token放入session * @param request * @param tokenServerkey */ public static void createToken(HttpServletRequest request,String tokenServerkey){ String token = TokenProccessor.getInstance().makeToken(); request.getSession().setAttribute(tokenServerkey, token); } /** * 移除token * @param request * @param tokenServerkey */ public static void removeToken(HttpServletRequest request,String tokenServerkey){ request.getSession().removeAttribute(tokenServerkey); } /** * 判斷請(qǐng)求參數(shù)中的token是否和session中一致 * @param request * @param tokenClientkey * @param tokenServerkey * @return */ public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){ String token_client = request.getParameter(tokenClientkey); if(StringUtils.isEmpty(token_client)){ return false; } String token_server = (String) request.getSession().getAttribute(tokenServerkey); if(StringUtils.isEmpty(token_server)){ return false; } if(!token_server.equals(token_client)){ return false; } return true; } }

以上這篇JAVA中的Token 基于Token的身份驗(yàn)證實(shí)例就是小編分享給大家的全部?jī)?nèi)容了，希望能給大家一個(gè)參考，也希望大家多多支持好吧啦網(wǎng)。