Token登陆验证机制的原理及实现
session简介
做过web开发的程序员应该对session都比较熟悉,session是一块保存在服务器端的内存空间,一般用于保存用户的会话信息。
用户通过用户名和密码登陆成功之后,服务器端程序会在服务器端开辟一块session内存空间并将用户的信息存入这块空间,同时服务器会在cookie中写入一个session_id的值,这个值用于标识这个内存空间。
下次用户再来访问的话会带着这个cookie中的session_id,服务器拿着这个id去寻找对应的session,如果session中已经有了这个用户的登陆信息,则说明用户已经登陆过了。
使用session保持会话信息使用起来非常简单,技术也非常成熟。但是也存在下面的几个问题:
- 服务器压力大:通常session是存储在内存中的,每个用户通过认证之后都会将session数据保存在服务器的内存中,而当用户量增大时,服务器的压力增大。
- session共享:现在很多应用都是分布式集群,需要我们做额外的操作进行session共享;
- csrf跨站伪造请求攻击:session机制是基于浏览器端的cookie的,cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。
基于token的认证
基于token的认证机制将认证信息返回给客户端并存储。下次访问其他页面,需要从客户端传递认证信息回服务端。简单的流程如下:
- 客户端使用用户名跟密码请求登录;
- 服务端收到请求,去验证用户名与密码;
- 验证成功后,服务端会签发一个 token,再把这个 token 发送给客户端;
- 客户端收到 token 以后可以把它存储起来,比如放在 cookie 里或者 local storage 里;
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 token;
- 服务端收到请求,然后去验证客户端请求里面带着的 token,如果验证成功,就向客户端返回请求的数据;
基于token的验证机制,有以下的优点:
- 支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的;
- 无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionid在服务端查找对应的session;
- 无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可;
- 更适用于移动端(android,ios,小程序等等),像这种原生平台不支持cookie,比如说微信小程序,每一次请求都是一次会话,当然我们可以每次去手动为他添加cookie,详情请查看博主另一篇博客;
- 避免csrf跨站伪造攻击,还是因为不依赖cookie;
缺点的话一个就是相比较于传统的session登陆机制实现起来略微复杂一点,另外一个比较大的缺点是由于服务器不保存 token,因此无法在使用过程中废止某个 token,或者更改 token 的权限。也就是说,一旦 token 签发了,在到期之前就会始终有效,除非服务器部署额外的逻辑。
退出登陆的话,只要前端清除token信息即可。
基于jwt的token认证实现
jwt(json web token)就是基于token认证的代表,这边就用jwt为列来介绍基于token的认证机制。
需要引入jwt的依赖
<dependency> <groupid>com.auth0</groupid> <artifactid>java-jwt</artifactid> <version>3.8.2</version> </dependency>
生成token和验证token的工具类如下:
public class jwttokenutil { //设置过期时间 private static final long expire_date=30*60*100000; //token秘钥 private static final string token_secret = "zcfasfhuauuhufguguwu2020bqwe"; public static string token (string username,string password){ string token = ""; try { //过期时间 date date = new date(system.currenttimemillis()+expire_date); //秘钥及加密算法 algorithm algorithm = algorithm.hmac256(token_secret); //设置头部信息 map<string,object> header = new hashmap<>(); header.put("typ","jwt"); header.put("alg","hs256"); //携带username,password信息,生成签名 token = jwt.create() .withheader(header) .withclaim("username",username) .withclaim("password",password).withexpiresat(date) .sign(algorithm); }catch (exception e){ e.printstacktrace(); return null; } return token; } public static boolean verify(string token){ /** * @desc 验证token,通过返回true * @params [token]需要校验的串 **/ try { algorithm algorithm = algorithm.hmac256(token_secret); jwtverifier verifier = jwt.require(algorithm).build(); decodedjwt jwt = verifier.verify(token); return true; }catch (exception e){ e.printstacktrace(); return false; } } public static void main(string[] args) { string username ="name1"; string password = "pw1"; //注意,一般不会把密码等私密信息放在payload中,这边只是举个列子 string token = token(username,password); system.out.println(token); boolean b = verify(token); system.out.println(b); } }
执行结果如下:
connected to the target vm, address: '127.0.0.1:11838', transport: 'socket' eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjwyxnzd29yzci6ijeymyisimv4cci6mtu5nzm5nzc0ocwidxnlcm5hbwuioij6agfuz3nhbij9.li5s_nx-ycqtexi9utkip8fpqpqw_ccaws2colzyos0 true
关于decodedjwt
这个类,大家可以重点看下,里面包含了解码后的用户信息。
jwt的使用说明
客户端收到服务器返回的 jwt,可以储存在 cookie 里面,也可以储存在 localstorage。
此后,客户端每次与服务器通信,都要带上这个 jwt。你可以把它放在 cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 http 请求的头信息authorization
字段里面。
authorization: bearer <token>
另一种做法是,跨域的时候,jwt 就放在 post 请求的数据体里面。
jwt 本身包含了认证信息,一旦泄露,任何人都可以获得该令牌的所有权限。为了减少盗用,jwt 的有效期应该设置得比较短。对于一些比较重要的权限,使用时应该再次对用户进行认证。
为了减少盗用,jwt 不应该使用 http 协议明码传输,要使用 https 协议传输。(或者是对jwt在前后端之间进行加密之后在传输)
关于jwt的一个问题
上面生成jwt token的过程关键点就是密钥,假如这个密钥泄露了,那是不是就可以伪造token了。
还有就是生产环境的密钥值,开发的程序员大概率是知道的,怎么防止程序要监守自盗,伪造token值呢?希望有经验的大佬指教下。
//token秘钥 private static final string token_secret = "zcfasfhuauuhufguguwu2020bqwe";
关于上面的问题,@仙湖码农 给出了一个简单易懂的方案~
jwt 来生成token,还有一个玩法,用户登录时,生成token的 secretkey 是一个随机数,也就是说每个用户,每次登录时jwt secretkey 是随机数,并保存到缓存,key是登录账户,(当然了,分布式缓存的话,就用redis,sqlserver缓存等等),总之,客户端访问接口是,header 要带登录账户,和token,服务端拿到登录账号,到缓存去捞相应的secretkey ,然后再进行token校验。可以防伪造token了(这个方案在一定程度上能防止伪造,但是不能防止token泄露被劫持)。
获取refresh token的方法#
参考#
java登录功能实现token生成与验证 https://www.jb51.net/article/230884.htm
php实现jwt的token登录认证 https://www.jb51.net/article/230891.htm
jwt使用详解 https://www.jb51.net/article/230923.htm
以上所述是小编给大家介绍的token登陆验证机制的原理及实现,希望对大家有所帮助。在此也非常感谢大家对网站的支持
下一篇: JS ES新特性 模板字符串
推荐阅读
-
vue+koa2实现session、token登陆状态验证的示例
-
Android面试:Android-Window机制原理之Token验证(为什么Application的Context不能show dialog)
-
token验证机制及实现.md
-
token的作用和实现原理代码及验证token
-
Redis中主键失效的原理及实现机制剖析
-
Token登陆验证机制的原理及实现
-
jwt方式token验证流程及基于java的JJWT的无状态的身份验证实现详解
-
yii2的csrf验证原理分析及token缓存解决方案
-
vue+koa2实现session、token登陆状态验证的示例
-
Yii2框架的csrf验证原理分析及token缓存解决方案