Java登录功能实现token生成与验证

Java登录功能实现token生成与验证

一、token与cookie相比较的优势

1、支持跨域访问，将token置于请求头中，而cookie是不支持跨域访问的；

2、无状态化，服务端无需存储token，只需要验证token信息是否正确即可，而session需要在服务端存储，一般是通过cookie中的sessionID在服务端查找对应的session；

3、无需绑定到一个特殊的身份验证方案（传统的用户名密码登陆），只需要生成的token是符合我们预期设定的即可；

4、更适用于移动端（android，iOS，小程序等等），像这种原生平台不支持cookie，比如说微信小程序，每一次请求都是一次会话，当然我们可以每次去手动为他添加cookie，详情请查看博主另一篇博客；

5、避免CSRF跨站伪造攻击，还是因为不依赖cookie；

二、基于JWT的token认证实现

JWT：jsON Web Token，其实token就是一段字符串，由三部分组成：Header，Payload，Signature

1、引入依赖

com.auth0

java-jwt

3.8.2

2、设置密钥和生存时间

//设置过期时间

private static final long EXPIRE_DATE=30*60*100000;

//token秘钥

private static final String TOKEN_SECRET = "ZCEQIUBFKSJBFJH2020BQWE";

3、实现签名方法

public static String token (String username,String password){

String token = "";

try {

//过期时间

Date date = new Date(System.currentTimeMillis()+EXPIRE_DATE);

//秘钥及加密算法

Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRiomJAgwET);

//设置头部信息

Map header = new HashMap<>();

header.put("typ","JWT");

header.put("alg","HS256");

//携带username，password信息，生成签名

token = JWT.create()

.withHeader(header)

.withClaim("username",username)

.withClaim("password",password).withExpiresAt(date)

.sign(algorithm);

}catch (Exception e){

e.printStackTrace();

return null;

}

return token;

}

4、验证token

public static boolean verify(String token){

/**

* @desc 验证token，通过返回true

* @create 2019/1/18/018 9:39

* @params [token]需要校验的串

**/

try {

Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);

JWTVerifier verifier = JWT.require(algorithm).build();

DecodedJWT jwt = verifier.verify(token);

return true;

}catch (Exception e){

e.printStackTrace();

return false;

}

}

5、测试

直接用生成的token去验证，成功

public static void main(String[] args) {

String username ="zhangsan";

String password = "123";

String token = token(username,password);

System.out.println(token);

boolean b = verify(token);

System.out.println(b);

}

三、完整的Token工具类代码

package xxx.utils; //你的包

import com.auth0.jwt.JWT;

import com.auth0.jwt.JWTVerifier;

import com.auth0.jwt.algorithms.Algorithm;

import com.auth0.jwt.interfaces.DecodedJWT;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

/**

* @desc 使用token验证用户是否登录

* @author zm

**/

public class TokenUtils {

//设置过期时间

private static final long EXPIRE_DATE=30*60*100000;

//token秘钥

private static final String TOKEN_SECRET = "ZCfasfhuaUUHufguGuwu2020BQWE";

public static String token (String username,String password){

String token = "";

try {

//过期时间

Date date = new Date(System.currentTimeMillis()+EXPIRE_DATE);

//秘钥及加密算法

Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);

//设置头部信息

Map header = new HashMap<>();

header.put("typ","JWT");

header.put("alg","HS256");

//携带username，password信息，生成签名

token = JWT.create()

.withHeader(header)

.withClaim("username",username)

.withClaim("password",password).withExpiresAt(date)

.sign(algorithm);

}catch (Exhttp://ception e){

e.printStackTrace();

return null;

}

return token;

}

public static boolean verify(String token){

/**

* @desc 验证token，通过返回true

* @params [token]需要校验的串

**/

try {

Algorithm algorithm = Algorithm.HMAC256(TOKEN_SECRET);

JWTVerifier verifier = JWT.require(algorithm).build();

DecodedJWT jwt = verifier.verify(token);

return true;

}catch (Exception e){

e.printStackTrace();

return false;

}

}

public static void main(String[] args) {

String username ="zhangsan";

String password = "123";

String token = token(username,password);

System.out.println(token);

boolean b = verify("eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJwYXNzd22yZCI6IjEyMyIsImV4cCI6MTU3ODE5NzQxMywidXNlcm5hbWUiOiJ6aGFuZ3NhbiJ9.IyTZT0tISQQZhGhsNuaqHGV8LD7idjUYjn3MGbulmJg");

System.out.println(b);

}

}

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。