当前位置: 首页 > article >正文

服务器: 这个 token 是我的吗? 我不信

人生有两个悲剧:第一是想得到的得不到,第二是想得到的得到了

其实token的出现是为了解决sessionId存放的问题

sessionId 在分布式系统, 如果你存放在一台机器, 让一台机器服务负责session相关的存放, 存放单点故障的风险, 这是有状态的, 那么如果用token进行改进的话, 就可以做到无状态了, 但是呢?

给了一个token, 可是服务器怎么认这个token是我颁发给服务器的呢?

在安全认证领域, 登录之后通常会给一个token, 方便浏览器记住用户, 数字签名 token, 服务器是怎么认出是他授予的签名, 我介绍一下服务器是如何认出token和jwt是他授予的签名的

在安全认证领域,Token(令牌)是一种常用的认证机制。通常,在用户登录成功后,服务器会生成一个Token并返回给浏览器。浏览器将此Token存储在本地,并在后续请求中将其附加到请求头中。服务器收到请求后,会验证Token的有效性并据此确定用户身份。JSON Web Token(JWT)是一种常用的Token格式。

服务器如何认出Token和JWT是其授予的签名:

  1. 生成Token时,服务器会使用密钥(例如:对称密钥或非对称密钥对)对Token进行加密或签名。在JWT中,这一过程通常使用HS256、RS256等加密算法完成。

  2. 服务器将生成的Token发送给浏览器。浏览器在后续请求中将Token附加到请求头中。通常,这是通过"Authorization"请求头实现的,格式为 “Bearer ”。

  3. 当服务器收到带有Token的请求时,它会对Token进行验证。这一过程包括解密(对称密钥)或验证签名(非对称密钥对),并检查Token中的有效期、颁发者等信息。

  4. 如果验证成功,服务器会根据Token中的载荷(Payload)识别出用户身份,并处理相应的请求。否则,服务器将拒绝该请求,可能返回401未授权或403禁止访问等状态码。

在Java中,我们可以使用诸如"java-jwt"、"jjwt"等库来处理JWT。以下是一个简单的示例,展示了如何使用"java-jwt"库生成和验证JWT:

import com.auth0.jwt.JWT;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;

public class JwtDemo {
    private static final String SECRET_KEY = "my-secret-key";

    public static void main(String[] args) {
        // 生成JWT
        String token = generateJwt("user-id-123");

        // 验证JWT
        try {
            DecodedJWT decodedJwt = verifyJwt(token);
            System.out.println("User ID: " + decodedJwt.getClaim("userId").asString());
        } catch (JWTVerificationException e) {
            System.out.println("Invalid JWT!");
        }
    }

    private static String generateJwt(String userId) {
        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        return JWT.create()
            .withIssuer("auth0")
            .withClaim("userId", userId)
            .sign(algorithm);
    }

    private static DecodedJWT verifyJwt(String token) throws JWTVerificationException {
        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY);
        return JWT.require(algorithm)
            .withIssuer("auth0")
            .build()
            .verify(token);
    }
}

在这个例子中,我们使用HMAC256算法和一个对称密钥生成和验证JWT。当然,实际应用中可以根据需求选择其他算法和密钥类型。总之,服务器通过对Token进行解密或验证签名来识别出Token


http://www.kler.cn/a/6814.html

相关文章:

  • 前端【2】html添加样式、CSS选择器
  • “扣子”开发之四:与千帆AppBuilder比较
  • 【GIS操作】使用ArcGIS Pro进行海图的地理配准(附:墨卡托投影对比解析)
  • linux之进程信号(初识信号,信号的产生)
  • 计算机网络的五层协议
  • 【Linux 36】多路转接 - epoll
  • P5725 【深基4.习8】求三角形
  • 【Python】PyCharm 快捷操作说明(Tip of the Day):Ctrl 键
  • Android应用程序崩溃:影响、原因和解决方案
  • VR全景展示,全景VR如何制作,如何制作高质量VR全景图!
  • 晶振03——晶振烧坏的原因
  • SQL VQ14 统计每天刷题数超过5的user_id以及刷题数
  • mit6.824 lab2c-数据持久化
  • day20—选择题
  • 【设计模式】创建型-抽象工厂模式
  • Vue3中父子表单组件数据同步问题
  • python外篇(魔术方法)
  • 【C语言】一篇带你了解 柔性数组的意义与如何使用
  • 计算机信息安全有哪些SCI期刊推荐? - 易智编译EaseEditing
  • useMemo和useCallback使用场景
  • 软件测试-自动化测试面试基础相关
  • 想成为一名【黑客】,你该如何快速的入门?
  • 项目1新知识
  • SpringBoot简介
  • 【django开发手册】如何使用select_related进行一次连表查询
  • 时间状语前不用介词的几种情况