2. 程式人生 > >Token生成規則以及工具

Token生成規則以及工具

阿新 發佈:2019-01-30
Token工具
package com.frank.common.utils;

import com.alibaba.fastjson.JSON;
import com.frank.common.entity.TokenHeader;
import com.frank.common.entity.TokenPlayload;
import com.frank.common.entity.User;

import java.rmi.server.UID;
import java.util.UUID;

/**
 * Description:Token生成工具
 * 第一部分我們稱它為頭部(header),第二部分我們稱其為載荷(payload, 類似於飛機上承載的物品),第三部分是簽證(signature).
 * Auth: Frank
 * Date: 2017-11-02
 * Time: 下午 5:05
 */
 

public class TokenUtil {
    public static final  String TOKEN_AES_KEY = "xiangli8Token";
    public static final  String REFREH_TOKEN_AES_KEY = "xiangli8RefreshToken";
    public static final  String JWT_TYP = "JWT";
    public static final  String JWT_ALG = "AES";
    public static final  String JWT_EXP = "30"
 
;
    public static final  String JWT_ISS = "xiangli8";

    /**
     * 獲得token
     * @param data 自定義資料
     * @param <T> 自定義資料
     * @return
     * @throws Exception
     */
    public static <T> String getToken(T data) throws Exception {
        TokenPlayload<T> userTokenPlayload = new
 
 TokenPlayload<>();
        userTokenPlayload.setExpData(data);
        String jwt = createJWT(userTokenPlayload);
        return jwt;
    }

    /**
     * 生成jwt的header部分內容
     * @return
     * @throws Exception
     */
    private static String tokenHeaderBase64() throws Exception {
        TokenHeader tokenHeader = new TokenHeader();
        tokenHeader.setTyp(JWT_TYP);
        tokenHeader.setAlg(JWT_ALG);

        String headerJson = JSON.toJSONString(tokenHeader);

        String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());

        return headerBase64;
    }

    /**
     * 生成jwt的payload部分內容
     * @param tokenPlayload
     * @param <T>自定義的資料塊
     * @return
     * @throws Exception
     */
    private static <T> String tokenPayloadBase64(TokenPlayload<T> tokenPlayload) throws Exception {
        tokenPlayload.setIss(JWT_ISS);
        tokenPlayload.setExp(JWT_EXP);

        tokenPlayload.setIat(String.valueOf(System.currentTimeMillis()));

        String headerJson =JSON.toJSONString(tokenPlayload);

        String headerBase64 = Base64Util.encryptBASE64(headerJson.getBytes());

        return headerBase64;
    }

    /**
     * 生成JWT
     * @return
     */
    public static <T> String createJWT(TokenPlayload<T> tokenPlayload) throws Exception {
        StringBuilder jwtSb = new StringBuilder();
        StringBuilder headerPlayloadSb = new StringBuilder();

        String tokenHeaderBase64 = tokenHeaderBase64();
        String tokenPayloadBase64 = tokenPayloadBase64(tokenPlayload);

        jwtSb.append(tokenHeaderBase64);
        jwtSb.append(".");
        jwtSb.append(tokenPayloadBase64);
        jwtSb.append(".");

        headerPlayloadSb.append(tokenHeaderBase64);
        headerPlayloadSb.append(tokenPayloadBase64);

        String headerPlayloadSalt = SaltUtil.addSalt(headerPlayloadSb.toString());

        String key = AesUtil.initKey(TOKEN_AES_KEY+tokenPlayload.getIat());

        String  signature = Base64Util.encryptBASE64(AesUtil.encrypt(headerPlayloadSalt.getBytes(),key));

        jwtSb.append(signature);

        return Base64Util.encryptBASE64(jwtSb.toString().getBytes());
    }

    /**
     * 校驗token是否是伺服器生成的,以防token被修改
     * @param jwtBase64
     * @return
     * @throws Exception
     */
    public static <T> boolean verifyJWT(String jwtBase64) throws Exception {
        String jwt = new String (Base64Util.decryptBASE64(jwtBase64));

        if(!jwt.contains(".")){
            return false;
        }

        String[] jwts = jwt.split("\\.");
        if(jwts.length<3){
            return false;
        }

        TokenPlayload tTokenPlayload =  JSON.parseObject(new String(Base64Util.decryptBASE64(jwts[1])),TokenPlayload.class);
        String key = AesUtil.initKey(TOKEN_AES_KEY+tTokenPlayload.getIat());

        //解析出header跟playload
        StringBuilder headerPlayloadSb = new StringBuilder();
        headerPlayloadSb.append(jwts[0]);
        headerPlayloadSb.append(jwts[1]);

        //解析signature
        String  headerPlayloadSalt = new String (AesUtil.decrypt(Base64Util.decryptBASE64(jwts[2]),key));

        return SaltUtil.verifyPwd(headerPlayloadSb.toString(),headerPlayloadSalt);
    }



    public static void main(String[] args) throws Exception {
        String jwt = getToken(new User(1L,"你是逗逼"));
        System.out.println("jwt:"+jwt);
        System.out.println("verifyJWT:"+verifyJWT(jwt));
    }
}
使用說明

1,根據上面生成一個由base64編碼的token,該token由Header,Payload,Signature組成。

2,token作為使用者請求的標識,客戶端儲存這token的全部資訊。服務端只需要儲存token的Signature部分。

3,服務端把token的Signature存於redis和伺服器的資料庫中。

4,客戶端請求的資料附帶token,服務端拿到token,首先校驗token,以防token偽造。校驗規則如下:

4.1,拆分出token的Header,Payload,Signature。
4.2,校驗Signature,通過token的header和payload生成Signature,看看生成的Signature是否和客戶端附帶上來的Signature一致。如果一致繼續請求操作,不一致則打回操作
4.3,檢視Signature是否存在伺服器的redis和資料庫中。如果不存在則打回請求操作

注意:上面涉及的加鹽演算法和Aes加密請看本人寫的其他文章

相關推薦

Token生成規則以及工具

Token工具 package com.frank.common.utils; import com.alibaba.fastjson.JSON; import com.frank.common.entity.TokenHeader; import co

JWT Token生成和解析工具

轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/84031016 關於JWT Token的生成和解析,自己寫了一個工具類僅供大家參考。 首先在pom.xml中匯入jwt的相關jar包: <dependency>

bash的顏色規則以及配置文件

配置文件 應用程序 profile logout 執行文件 bash的顏色顯示規則: ascii編碼對於顏色進行設置; \033:Ctrl鍵 [:控制字符和顏色代碼之間的間隔字符 0m:關閉顏色屬性命令; 1m:加粗顯示文本字符; 4m:為文本字符加下劃線標識; 5m:使文本字符閃爍; 7

Keystone幾種token生成的方式分析

.cn 組裝 cap ack 3-0 con 隨機 tput dom 從Keystone的配置文件中,我們可見,Token的提供者目前支持四種。 Token Provider:UUID, PKI, PKIZ, or Fernet 結合源碼及官方文檔,我們用一個表格來闡述一下

自定義一個校驗器--------------------------完成用戶註冊時候,對username是否符合規則以及時候已經存在於數據庫的校驗

實例 check ajax -- value ava .cn java 數據 實例: <!-- 自定義校驗表單--> $.validator.addMethod( "checkusername", //校驗規則名稱,類似於required

Java二維碼生成與解碼工具Zxing使用

trace character sta 解碼 iter() font 生成 char type 1 package com.csii.zxing.test; 2 3 import java.awt.image.BufferedImage; 4 import j

PHP token驗證規則

知識 key 是否 targe ask ring char rep 判斷 PHP在控制器中怎麽添加token驗證 //獲得token private function getToken(){ $tokenName = C(‘TOKEN_NAME

【RegExp】JavaScript中正則表達式判斷匹配規則以及常用方法

返回 空字符串 tro true 正則表達式 str 本地 大小 表示範圍 字符串是編程時涉及到的最多的一種數據結構,對字符串進行操作的需求幾乎無處不在。 正則表達式是一種用來匹配字符串的強有力的武器。它的設計思想是用一種描述性的語言來給字符串定義一個規則,凡是符合規則的字

Spring Boot配置文件規則以及使用方法官方文檔查找以及Spring項目的官方文檔查找方法

lan 屬於 tps pri ati html 查詢 為什麽 發現 比如要使用Spring Boot實現一個功能,最直接的方式是Google,但是往往搜索出來的都比較亂,關鍵是亂在不同的版本上,比如1.x版本和2.x版本的配置是不一樣的。最明顯區別是在使用Thymeleaf

自定義destoon6.0的地址生成規則

global function continue clu 自己 step link des follow 在使用destoon的過程中需要對地址規則進行重寫,那麽如何實現,destoon的列表的地址規則是定義在/api/url.inc.php,然後又是在include/gl

字典基本規則以及介紹

輸出 字典 介紹 ict pri 通過 動態 div for dict 1.鍵值對 2.字典的value可以是任何值,比如列表,元組,字典等等 3.列表,字典不能作為字典的key,因為列表是動態的 ,可修改,而元組可以 4.字典是無序的,通過多次print確認是否每次輸出的

業務ID 生成規則

數據 是否 hmm AR 最大 庫存 業務 最大值 增長 在實際業務中,是否碰到過這種場景: 我們需要一個單號,要在業務系統裏面保證唯一,保證增長? 在運營過程,需要知道業務單發生的時間,最好不用經過系統查找就知道發生的時間? 在排障過程中,不用再次查找就知道,訂單的一些信

Java動態生成以及動態新增屬性

  有個技術實現需求:動態生成類,其中類中的屬性來自引數物件中的全部屬性以及來自引數物件propertities檔案。   那麼技術實現支援:使用cglib代理。   具體的實現步驟:   1.cglib的jar包(cgl

imeiimsi生成規則

     新增SMI 和 IMSI修改  新增模擬器名修改(MEmu_ 修改成其他的名字,不支援批量修改)   IMSI第十位:7代表是145卡,6代表186卡,3代表156,0代表130,其他的可以自己找 預設的是我自己找的!46001表

4——編碼規則以及vim的使用和虛擬環境

簡介編碼規則     encode(編碼)和decode(解碼)的使用 In [1]: '潭州'.encode(encoding='utf8') Out[1]: b'\xe6\xbd\xad\xe5\xb7\x9e' In [2]: '潭州'.encode(encod

分詞的原理和認識以及工具的使用

    概念:中文分詞(Chinese Word Segmentation) 指的是將一個漢字序列切分成一個個單獨的詞。分詞就是將連續的字序列按照一定的規範重新組合成詞序列的過程。     字元匹配: 正向最大匹配

JAVA——JVM引數設定規則以及引數含義

JVM引數設定規則: -XX:+<option> 啟用option,例如:-XX:+PrintGCDetails啟動列印GC資訊的選項,其中+號表示true,開啟的意思-XX:-<option> 不啟用option,例如:-XX:-PrintGCDetails關閉啟動列印GC資訊的選

今天的工作任務是redis的配置以及工具類的完善

1. 什麼是Redis的AOF? AOF是AppendOnly File的縮寫,是Redis系統提供了一種記錄Redis操作的持久化方案,在AOF生成的檔案中,將忠實記錄發生在Redis的操作,從而達到在Redis伺服器重啟或者當機之後,繼續恢復之前資料狀態的機制。   以

【前端】動態生成HTML以及a標籤不跳轉問題標記

bookmarksResults.innerHTML += '<div class="well">' + '<h3>' + name +

機器人學筆記之——操作臂運動學:座標系的標準命名以及工具的定位

0. 座標系的標準命名 為了規範起見,我們有必要給機器人和工作空間賦予專門的命名和專門的座標系。 0.0 基座標系 {B} 基座標系{B}位於操作臂的基座上,其實它和座標系{0}指的是同一個東西,只不過名稱不同而已。由於它固連於操作臂的靜止部位,所以也稱連桿0 0.1 工作臺