网上的java基础教程曾教会我们,将用户登录信息存在session(服务器端)中,需要验证的时候拿出来作对比以达到身份
验证的效果。但这种方式暴露的问题也是可想而知的:
1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。
2.可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。
3.CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个
域的资源,就可以会出现禁止请求的情况。
4.CSRF(跨站请求伪造):用户在访问网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。
在这些问题中,可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。
而token却能解决在服务端存储信息时的许多问题:
1.用户登录
和往常一样,一个表单,输入用户名、密码然后登录
<form action="servlet/Addcookies" method="post"> <label>账 号:</label><input type="text" name="username" /><br> <label>密 码:</label><input type="password" name="password" /><br> <button type="submit">登录</button> </form>
可以看到,这个表单提交到一个servlet
2.servlet
下面看这个servlet
public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException { request.setCharacterEncoding("utf-8"); response.setContentType("text/html;charset=utf-8"); String username = request.getParameter("username"); String Token = null; try { Token = JwtToken.creatToken(username); } catch (Exception e) { e.printStackTrace(); } Cookie cookie = new Cookie("token", Token); cookie.setPath("/"); // 设置路径使得cookie共享 cookie.setMaxAge(1000);// 设置cookie有效期 response.addCookie(cookie);// 向客户端添加cookie response.sendRedirect("../index2.jsp");// 请求转发 }
根据表单发来的请求,获取username参数值;
根据username参数值生成Token(具体方法后面讲);
新建一个cookie,key值为token,value值为之前生成的Token;
页面跳转到index2.jsp。
3.index2.jsp
页面没什么,直接看js
//定义一个function,根据name获取该cookie的value值 function getCookie(name){ //获取cookies并分割成数组形式 var strcookie = document.cookie; var arrcookie = strcookie.split("; "); //遍历所有cookie,并根据参数返回对应cookie的vaule for ( var i = 0; i < arrcookie.length; i++) { var arr = arrcookie[i].split("="); if (arr[0] == name){ return encodeURIComponent(arr[1]); } } return "找不到指定cookie或cookie过期了"; } var token=getCookie("token"); document.getElementById("go").innerHTML=token;
这样,就将存在cookie里面的token拿到了,之后需要验证用户权限的话,就将这个token作为参数放到请求中;
服务端接收到这个携带token的请求,会对token解析,如果解析成功,就表示权限认证通过。
4.Token的生成与解析
直接看这个工具类
package com.eco.util; import java.util.HashMap; import java.util.Map; import com.auth0.jwt.JWT; import com.auth0.jwt.JWTVerifier; import com.auth0.jwt.algorithms.Algorithm; import com.auth0.jwt.interfaces.Claim; import com.auth0.jwt.interfaces.DecodedJWT; public class JwtToken { /* 生成token加密所需的公钥,位于服务端 */ public static String SECRET = "eco"; /* * 根据用户登录信息(用户名、密码)生成token * * @pram name 用户请求提供的某个参数 */ public static String creatToken(String name) throws Exception { Map<String, Object> map = new HashMap<String, Object>(); map.put("alg", "HS256"); map.put("typ", "JWT"); String token = JWT.create().withHeader(map).withClaim("name", name) .sign(Algorithm.HMAC384(SECRET)); return token; } /* * 解析用户请求提供的token字符串,返回map * * @pram token 用户请求提供的token */ public static Map<String, Claim> verifyToken(String token) throws Exception { JWTVerifier verifier = JWT.require(Algorithm.HMAC384(SECRET)).build(); DecodedJWT jwt = null; jwt = verifier.verify(token); return jwt.getClaims(); } }