网上的java基础教程曾教会我们,将用户登录信息存在session(服务器端)中,需要验证的时候拿出来作对比以达到身份
验证的效果。但这种方式暴露的问题也是可想而知的:
1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。
2.可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。
3.CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个
域的资源,就可以会出现禁止请求的情况。
4.CSRF(跨站请求伪造):用户在访问网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。
在这些问题中,可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。
而token却能解决在服务端存储信息时的许多问题:
1.用户登录
和往常一样,一个表单,输入用户名、密码然后登录
<form action="servlet/Addcookies" method="post">
<label>账 号:</label><input type="text" name="username" /><br>
<label>密 码:</label><input type="password" name="password" /><br>
<button type="submit">登录</button>
</form>
可以看到,这个表单提交到一个servlet
2.servlet
下面看这个servlet
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws IOException {
request.setCharacterEncoding("utf-8");
response.setContentType("text/html;charset=utf-8");
String username = request.getParameter("username");
String Token = null;
try {
Token = JwtToken.creatToken(username);
} catch (Exception e) {
e.printStackTrace();
}
Cookie cookie = new Cookie("token", Token);
cookie.setPath("/"); // 设置路径使得cookie共享
cookie.setMaxAge();// 设置cookie有效期
response.addCookie(cookie);// 向客户端添加cookie
response.sendRedirect("../index2.jsp");// 请求转发
}
根据表单发来的请求,获取username参数值;
根据username参数值生成Token(具体方法后面讲);
新建一个cookie,key值为token,value值为之前生成的Token;
页面跳转到index2.jsp。
3.index2.jsp
页面没什么,直接看js
//定义一个function,根据name获取该cookie的value值
function getCookie(name){
//获取cookies并分割成数组形式
var strcookie = document.cookie;
var arrcookie = strcookie.split("; ");
//遍历所有cookie,并根据参数返回对应cookie的vaule
for ( var i = ; i < arrcookie.length; i++) {
var arr = arrcookie[i].split("=");
if (arr[] == name){
return encodeURIComponent(arr[]);
}
}
return "找不到指定cookie或cookie过期了";
} var token=getCookie("token");
document.getElementById("go").innerHTML=token;
这样,就将存在cookie里面的token拿到了,之后需要验证用户权限的话,就将这个token作为参数放到请求中;
服务端接收到这个携带token的请求,会对token解析,如果解析成功,就表示权限认证通过。
4.Token的生成与解析
直接看这个工具类
package com.eco.util; import java.util.HashMap;
import java.util.Map; import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT; public class JwtToken {
/* 生成token加密所需的公钥,位于服务端 */
public static String SECRET = "eco"; /*
* 根据用户登录信息(用户名、密码)生成token
*
* @pram name 用户请求提供的某个参数
*/ public static String creatToken(String name) throws Exception {
Map<String, Object> map = new HashMap<String, Object>();
map.put("alg", "HS256");
map.put("typ", "JWT");
String token = JWT.create().withHeader(map).withClaim("name", name)
.sign(Algorithm.HMAC384(SECRET));
return token;
} /*
* 解析用户请求提供的token字符串,返回map
*
* @pram token 用户请求提供的token
*/ public static Map<String, Claim> verifyToken(String token) throws Exception {
JWTVerifier verifier = JWT.require(Algorithm.HMAC384(SECRET)).build();
DecodedJWT jwt = null;
jwt = verifier.verify(token);
return jwt.getClaims();
}
}