Java实现基于token认证

随着互联网的不断发展，技术的迭代也很是之快。咱们的用户认证也从刚开始的用户名密码转变到基于cookie的session认证，然而到了今天，这种认证已经不能知足与咱们的业务需求了（分布式，微服务）。咱们采用了另一种认证方式：基于token的认证。

1、与cookie相比较的优点：

一、支持跨域访问，将token置于请求头中，而cookie是不支持跨域访问的；

二、无状态化，服务端无需存储token，只须要验证token信息是否正确便可，而session须要在服务端存储，通常是经过cookie中的sessionID在服务端查找对应的session；

三、无需绑定到一个特殊的身份验证方案（传统的用户名密码登录），只须要生成的token是符合咱们预期设定的便可；

四、更适用于移动端（Android，iOS，小程序等等），像这种原平生台不支持cookie，好比说微信小程序，每一次请求都是一次会话，固然咱们能够每次去手动为他添加cookie，详情请查看博主另外一篇博客；

五、避免CSRF跨站伪造攻击，仍是由于不依赖cookie；

六、很是适用于RESTful API,这样能够轻易与各类后端（java，.net，python......）相结合，去耦合

还有一些优点这里就不一一列举了。

2、基于JWT的token认证明现

JWT：JSON  Web  Token，其实token就是一段字符串，由三部分组成：Header，Payload，Signature。详细状况请自行百度，如今，上代码。

一、引入依赖，这里选用java-jwt，选择其余的依赖也能够

 

二、实现签名方法

设置15分钟过时也是出于安全考虑，防止token被窃取，不过通常选择基于token认证，传输方式咱们都应该选择https，这样别人没法抓取到咱们的请求信息。这个私钥是很是重要的，加密解密都须要用到它，要设置的足够复杂而且不能被盗取，我这里选用的是一串uuid，加密方式是HMAC256。

三、认证

我这里演示的仍是以传统的用户名密码验证，验证经过发放token。

四、配置拦截器

 

实现HandleInterceptor，重写preHandle方法，该方法是在每一个请求以前触发执行，从request的头里面取出token，这里咱们统一了存放token的键为accessToken，验证经过，放行，验证不经过，返回认证失败信息。

五、设置拦截器

 这里使用的是Spring的xml配置拦截器，放过认证接口。

六、token解码方法

七、测试

访问携带token，请求成功。

未携带token或者token错误，过时，返回认证失败信息。

八、获取token里携带的信息

咱们能够将一些经常使用的信息放入token中，好比用户登录信息，能够方便咱们的使用

 

至此，一个简单的基于token认证就实现了，下次我将shiro与JWT整合到一块儿。