最近在做專案開始，涉及到伺服器與安卓之間的介面開發，在此開發過程中發現了安卓與一般瀏覽器不同，安卓在每次傳送請求的時候並不會帶上上一次請求的SessionId，導致伺服器每次接收安卓傳送的請求訪問時都新建一個Session進行處理，無法通過傳統的繫結Session來進行保持登入狀態和通訊狀態。

基於傳統方法無法判斷安卓的每次請求訪問狀態，故查詢資料瞭解到Token，特殊的身份證驗證。以下是網上搜尋資料所得，作為學習總結資料。

令牌是一種能夠控制站點佔有媒體的特殊幀，以區別資料幀及其他控制幀。token其實說的更通俗點可以叫暗號，在一些資料傳輸之前，要先進行暗號的核對，不同的暗號被授權不同的資料操作，下文我們就來詳細的介紹一下關於基於 Token 的身份驗證的教程

最近了解下基於 Token 的身份驗證，跟大夥分享下。很多大型網站也都在用，比如 Facebook，Twitter，Google+，Github 等等，比起傳統的身份驗證方法，Token 擴充套件性更強，也更安全點，非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”，我覺得挺好，意思就是，你拿著這個令牌，才能過一些關卡。

傳統身份驗證的方法

HTTP 是一種沒有狀態的協議，也就是它並不知道是誰是訪問應用。這裡我們把使用者看成是客戶端，客戶端使用使用者名稱還有密碼通過了身份驗證，不過下回這個客戶端再發送請求時候，還得再驗證一下。

解決的方法就是，當用戶請求登入的時候，如果沒有問題，我們在服務端生成一條記錄，這個記錄裡可以說明一下登入的使用者是誰，然後把這條記錄的 ID 號傳送給客戶端，客戶端收到以後把這個 ID 號儲存在 Cookie 裡，下次這個使用者再向服務端傳送請求的時候，可以帶著這個 Cookie ，這樣服務端會驗證一個這個 Cookie 裡的資訊，看看能不能在服務端這裡找到對應的記錄，如果可以，說明使用者已經通過了身份驗證，就把使用者請求的資料返回給客戶端。Cookie裡面存的是sessionID是session記錄的id.

上面說的就是 Session，我們需要在服務端儲存為登入的使用者生成的 Session ，這些 Session 可能會儲存在記憶體，磁碟，或者資料庫裡。我們可能需要在服務端定期的去清理過期的 Session 。

基於 Token 的身份驗證方法

使用基於 Token 的身份驗證方法，在服務端不需要儲存使用者的登入記錄。大概的流程是這樣的：

客戶端使用使用者名稱跟密碼請求登入

服務端收到請求，去驗證使用者名稱與密碼

驗證成功後，服務端會簽發一個 Token，再把這個 Token 傳送給客戶端

客戶端收到 Token 以後可以把它儲存起來，比如放在 Cookie 裡或者 Local Storage 裡

客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token

服務端收到請求，然後去驗證客戶端請求裡面帶著的 Token，如果驗證成功，就向客戶端返回請求的資料

JWT

實施 Token 驗證的方法挺多的，還有一些標準方法，比如 JWT，讀作：jot ，表示：JSON Web Tokens 。JWT 標準的 Token 有三個部分：

header

payload

signature

中間用點分隔開，並且都會使用 Base64 編碼，所以真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是兩部分內容，一個是 Token 的型別，另一個是使用的演算法，比如下面型別就是 JWT，使用的演算法是 HS256。

{ 
 "typ": "JWT","alg": "HS256"
}

上面的內容要用 Base64 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 裡面是 Token 的具體內容，這些內容裡面有一些是標準欄位，你也可以新增其它需要的內容。

下面是標準欄位：

iss：Issuer，發行者 sub：Subject，主題 aud：Audience，觀眾 exp：Expiration time，過期時間 nbf：Not before iat：Issued at，發行時間 jti：JWT ID

比如下面這個 Payload ，用到了 iss 發行人，還有 exp 過期時間。另外還有兩個自定義的欄位，一個是 name ，還有一個是 admin 。

{
 "iss": "ninghao.net","exp": "1438955445","name": "wanghao","admin": true
}

使用 Base64 編碼以後就變成了這個樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最後一部分是 Signature ，這部分內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密演算法加密一下，加密的時候要放進去一個 Secret ，這個相當於是一個密碼，這個密碼祕密地儲存在服務端。

header

payload

secret

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);

HMACSHA256(encodedString,'secret');

處理完成以後看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最後這個在服務端生成並且要傳送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 以後把它儲存下來，下回向服務端傳送請求的時候就帶著這個 Token 。服務端收到這個 Token ，然後進行驗證，通過以後就會返回給客戶端想要的資源。

補充知識：JAVA後端生成Token（令牌）,用於校驗客戶端

1.概述：

在web專案中，服務端和前端經常需要互動資料，有的時候由於網路相應慢，客戶端在提交某些敏感資料（比如按照正常的業務邏輯，此份資料只能儲存一份）時，如果前端多次點選提交按鈕會導致提交多份資料，這種情況我們是要防止發生的。

2.解決方法：

①前端處理：在提交之後通過js立即將按鈕隱藏或者置為不可用。

②後端處理：對於每次提交到後臺的資料必須校驗，也就是通過前端攜帶的令牌（一串唯一字串）與後端校驗來判斷當前資料是否有效。

3.總結：

第一種方法相對來說比較簡單，但是安全係數不高，第二種方法從根本上解決了問題，所以我推薦第二種方法

**
 * 生成Token的工具類：
 */
package red.hearing.eval.modules.token;
 
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Random;
 
import sun.misc.BASE64Encoder;
 
/**
 * 生成Token的工具類
 * @author zhous
 * @since 2018-2-23 13:59:27
 *
 */
public class TokenProccessor {
   
   private TokenProccessor(){};
   private static final TokenProccessor instance = new TokenProccessor();
   
  public static TokenProccessor getInstance() {
    return instance;
  }
 
  /**
   * 生成Token
   * @return
   */
  public String makeToken() {
    String token = (System.currentTimeMillis() + new Random().nextInt(999999999)) + "";
     try {
      MessageDigest md = MessageDigest.getInstance("md5");
      byte md5[] = md.digest(token.getBytes());
      BASE64Encoder encoder = new BASE64Encoder();
      return encoder.encode(md5);
    } catch (NoSuchAlgorithmException e) {
      // TODO Auto-generated catch block
      e.printStackTrace();
    }
     return null;
  }
}

/**
 *
 */
package red.hearing.eval.modules.token;
 
import javax.servlet.http.HttpServletRequest;
 
import org.apache.commons.lang3.StringUtils;
 
/**
 * Token的工具類
 * @author zhous
 * @since 2018-2-23 14:01:41
 *
 */
public class TokenTools {
   
  /**
   * 生成token放入session
   * @param request
   * @param tokenServerkey
   */
  public static void createToken(HttpServletRequest request,String tokenServerkey){
    String token = TokenProccessor.getInstance().makeToken();
    request.getSession().setAttribute(tokenServerkey,token);
  }
   
  /**
   * 移除token
   * @param request
   * @param tokenServerkey
   */
  public static void removeToken(HttpServletRequest request,String tokenServerkey){
    request.getSession().removeAttribute(tokenServerkey);
  }
   
  /**
   * 判斷請求引數中的token是否和session中一致
   * @param request
   * @param tokenClientkey
   * @param tokenServerkey
   * @return
   */
  public static boolean judgeTokenIsEqual(HttpServletRequest request,String tokenClientkey,String tokenServerkey){
    String token_client = request.getParameter(tokenClientkey);
    if(StringUtils.isEmpty(token_client)){
      return false;
    }
    String token_server = (String) request.getSession().getAttribute(tokenServerkey);
    if(StringUtils.isEmpty(token_server)){
      return false;
    }
     
    if(!token_server.equals(token_client)){
      return false;
    }
     
    return true;
  }
   
}

以上這篇JAVA中的Token 基於Token的身份驗證例項就是小編分享給大家的全部內容了，希望能給大家一個參考，也希望大家多多支援我們。