参考博客:https://blog.csdn.net/kkkun_joe/article/details/81878231
与cookie相比较的优势:
1、支持跨域访问,将token置于请求头中,而cookie是不支持跨域访问的;
2、无状态化,服务端无需存储token,只需要验证token信息是否正确即可,而session需要在服务端存储,一般是通过cookie中的sessionID在服务端查找对应的session;
3、无需绑定到一个特殊的身份验证方案(传统的用户名密码登陆),只需要生成的token是符合我们预期设定的即可;
4、更适用于移动端(Android,iOS,小程序等等),像这种原生平台不支持cookie,比如说微信小程序,每一次请求都是一次会话,当然我们可以每次去手动为他添加cookie,详情请查看博主另一篇博客;
5、避免CSRF跨站伪造攻击,还是因为不依赖cookie;
6、非常适用于RESTful API,这样可以轻易与各种后端(java,.net,python......)相结合,去耦合
基于jwt的token认证实现:
1、加入jwt的依赖
<dependency>
<groupId>com.auth0</groupId>
<artifactId>java-jwt</artifactId>
<version>3.3.0</version>
</dependency>2、声明2个变量过期时间和token秘钥(UUID可能会更好,我是自己随便输的),token秘钥用于后面解密
//设置30分钟过期
private static final long EXPIRE_DATE=30*60*1000;
//token秘钥
private static final String TOKEN_SECRET = "EQIUBFKSJBFJH2367816BQWE";3、加密
public static String tokenTest (String username,String password){
String token = "";
try {
//过期时间
Date date = new Date(System.currentTimeMillis()+EXPIRE_DATE);
//秘钥及加密算法
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
//设置头部信息
Map<String,Object> header = new HashMap<>();
header.put("typ","JWT");
header.put("alg","HS256");
//携带username,password信息,生成签名
token = JWT.create()
.withHeader(header)
.withClaim("username",username)
.withClaim("password",password).withExpiresAt(date)
.sign(algorithm);
}catch (Exception e){
e.printStackTrace();
return null;
}
return token;
}4、解密。该方法的参数token是加密方法的返回值
public static boolean verify(String token){
/**
* @desc 验证token,通过返回true
* @create 2019/1/18/018 9:39
* @params [token]需要校验的串
**/
try {
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT jwt = verifier.verify(token);
return true;
}catch (Exception e){
e.printStackTrace();
return false;
}
}5、登录接口
@RequestMapping(value = "/logon")
public JsonRESTResult getUserInfo(HttpSession session ,String userName, String password) {
/**
* @author zdj
* @create 2019/1/17/017 9:55
* @params [session, userName, password]
**/
JsonRESTResult jsonRESTResult = new JsonRESTResult();
//使用token工具类生成token串
String token = TokenUtil.tokenTest(userName,password);
//根据用户名密码查找用户
User user = loginService.findUser(userName,password);
if (user !=null){
//将用户对象放到session中
session.setAttribute("USER_INFO",user);
//用户无操作30分钟需重新登录
session.setMaxInactiveInterval(60*30);
Map map = new HashMap<>();
map.put("USERINFO",user);
map.put("SESSIONID",session.getId());
map.put("token",token);
jsonRESTResult.setCode(JsonRESTResultMsg.CODE_800.getCode());
jsonRESTResult.setMsg("登录成功");
jsonRESTResult.setData(map);
return jsonRESTResult;
}else{
jsonRESTResult.setCode(JsonRESTResultMsg.CODE_500.getCode());
jsonRESTResult.setMsg("登录失败,用户名密码错误");
jsonRESTResult.setData(null);
return jsonRESTResult;
}
}6、判断用户是否登录接口
@RequestMapping("/judgeLogin")
public JsonRESTResult judgeLogin(String token,HttpSession session){
JsonRESTResult jsonRESTResult = new JsonRESTResult();
if (TokenUtil.verify(token)){
User user = (User)session.getAttribute("USER_INFO");
jsonRESTResult.setCode(JsonRESTResultMsg.CODE_800.getCode());
jsonRESTResult.setData(user);
jsonRESTResult.setMsg("用户登录成功");
}else {
jsonRESTResult.setCode(JsonRESTResultMsg.CODE_500.getCode());
jsonRESTResult.setMsg("未登录或已过期");
}
return jsonRESTResult;
}7、postman测试
未登录时,判断用户是否登录
登录(SESSIONID与本次博客内容无关)
再次判断登录,将登录生成的token作为参数传递给判断登录接口
如果不是登录生成的指定串,都会登录失败(即解密验证会返回false),这里我删掉一个字母再次判断是否登录
完整工具类
package com.neusiri.util;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.DecodedJWT;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;
/**
* @desc 使用token验证用户是否登录
* @author zdj
* @create 2019/1/18/018 9:41
**/
public class TokenUtil {
//设置30分钟过期
private static final long EXPIRE_DATE=30*60*1000;
//token秘钥
private static final String TOKEN_SECRET = "EQIUBFKSJBFJH2367816BQWE";
// private static String username = "zdj" ;
// private static String password = "123" ;
public static String tokenTest (String username,String password){
String token = "";
try {
//过期时间
Date date = new Date(System.currentTimeMillis()+EXPIRE_DATE);
//秘钥及加密算法
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
//设置头部信息
Map<String,Object> header = new HashMap<>();
header.put("typ","JWT");
header.put("alg","HS256");
//携带username,password信息,生成签名
token = JWT.create()
.withHeader(header)
.withClaim("username",username)
.withClaim("password",password).withExpiresAt(date)
.sign(algorithm);
}catch (Exception e){
e.printStackTrace();
return null;
}
return token;
}
public static boolean verify(String token){
/**
* @desc 验证token,通过返回true
* @create 2019/1/18/018 9:39
* @params [token]需要校验的串
**/
try {
Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);
JWTVerifier verifier = JWT.require(algorithm).build();
DecodedJWT jwt = verifier.verify(token);
return true;
}catch (Exception e){
e.printStackTrace();
return false;
}
}
public static void main(String[] args) {
/**
* @desc token工具类测试
* @create 2019/1/18/018 9:40
* @params [args]
**/
// System.out.println(tokenTest(username,password));
// System.out.println(verify(tokenTest(username,password)));
}
}