网上的java基础教程曾教会我们,将用户登录信息存在session(服务器端)中,需要验证的时候拿出来作对比以达到身份

验证的效果。但这种方式暴露的问题也是可想而知的:

1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。

2.可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。

3.CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个

域的资源,就可以会出现禁止请求的情况。

4.CSRF(跨站请求伪造):用户在访问网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。

在这些问题中,可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。

而token却能解决在服务端存储信息时的许多问题:

1.用户登录

和往常一样,一个表单,输入用户名、密码然后登录

    <form action="servlet/Addcookies" method="post">
<label>账 号:</label><input type="text" name="username" /><br>
<label>密 码:</label><input type="password" name="password" /><br>
<button type="submit">登录</button>
</form>

可以看到,这个表单提交到一个servlet

2.servlet

下面看这个servlet

    public void doGet(HttpServletRequest request, HttpServletResponse response)
throws IOException {
request.setCharacterEncoding("utf-8");
response.setContentType("text/html;charset=utf-8");
String username = request.getParameter("username");
String Token = null;
try {
Token = JwtToken.creatToken(username);
} catch (Exception e) {
e.printStackTrace();
}
Cookie cookie = new Cookie("token", Token);
cookie.setPath("/"); // 设置路径使得cookie共享
cookie.setMaxAge();// 设置cookie有效期
response.addCookie(cookie);// 向客户端添加cookie
response.sendRedirect("../index2.jsp");// 请求转发
}

根据表单发来的请求,获取username参数值;

根据username参数值生成Token(具体方法后面讲);

新建一个cookie,key值为token,value值为之前生成的Token;

页面跳转到index2.jsp。

3.index2.jsp

页面没什么,直接看js

//定义一个function,根据name获取该cookie的value值
function getCookie(name){
//获取cookies并分割成数组形式
var strcookie = document.cookie;
var arrcookie = strcookie.split("; ");
//遍历所有cookie,并根据参数返回对应cookie的vaule
for ( var i = ; i < arrcookie.length; i++) {
var arr = arrcookie[i].split("=");
if (arr[] == name){
return encodeURIComponent(arr[]);
}
}
return "找不到指定cookie或cookie过期了";
} var token=getCookie("token");
document.getElementById("go").innerHTML=token;

这样,就将存在cookie里面的token拿到了,之后需要验证用户权限的话,就将这个token作为参数放到请求中;

服务端接收到这个携带token的请求,会对token解析,如果解析成功,就表示权限认证通过。

4.Token的生成与解析

直接看这个工具类

package com.eco.util;

import java.util.HashMap;
import java.util.Map; import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.interfaces.Claim;
import com.auth0.jwt.interfaces.DecodedJWT; public class JwtToken {
/* 生成token加密所需的公钥,位于服务端 */
public static String SECRET = "eco"; /*
* 根据用户登录信息(用户名、密码)生成token
*
* @pram name 用户请求提供的某个参数
*/ public static String creatToken(String name) throws Exception {
Map<String, Object> map = new HashMap<String, Object>();
map.put("alg", "HS256");
map.put("typ", "JWT");
String token = JWT.create().withHeader(map).withClaim("name", name)
.sign(Algorithm.HMAC384(SECRET));
return token;
} /*
* 解析用户请求提供的token字符串,返回map
*
* @pram token 用户请求提供的token
*/ public static Map<String, Claim> verifyToken(String token) throws Exception {
JWTVerifier verifier = JWT.require(Algorithm.HMAC384(SECRET)).build();
DecodedJWT jwt = null;
jwt = verifier.verify(token);
return jwt.getClaims();
}
}

JWT实现用户权限认证的更多相关文章

  1. 基于SpringSecurity和JWT的用户访问认证和授权

    发布时间:2018-12-03   技术:springsecurity+jwt+java+jpa+mysql+mysql workBench   概述 基于SpringSecurity和JWT的用户访 ...

  2. MongoDB用户权限认证

    关于用户的认证及权限 用户是跟着库创建的,在哪个库创建的什么权限的什么用户,只对此库有相应权限(除超级管理员以外). 官网文档:https://docs.mongodb.com/master/refe ...

  3. SpringBoot系列 - 集成JWT实现接口权限认证

    会飞的污熊 2018-01-22 16173 阅读 spring jwt springboot RESTful API认证方式 一般来讲,对于RESTful API都会有认证(Authenticati ...

  4. SpringBoot集成JWT 实现接口权限认证

    JWT介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的, 特别适用于分布式站点 ...

  5. spring-security用户权限认证框架

    大家知道在spring中有一个基于acegi开发的spring-security的权限管理模块,它是一个轻量级框架. SpringSecurity能以声明的方式来保护Web应用程序的URL访问,只需简 ...

  6. 基于jwt的用户登录认证

    最近在app的开发过程中,做了一个基于token的用户登录认证,使用vue+node+mongoDB进行的开发,前来总结一下. token认证流程: 1:用户输入用户名和密码,进行登录操作,发送登录信 ...

  7. 【laravel54】关于用户权限认证RBAC和无限极分类

    1.权限认证方面: https://packagist.org/packages/spatie/laravel-permission 用户认证 HTTP本身是无状态,通常在系统交互的过程中,使用账号或 ...

  8. 绑定用户id,用户权限认证

    上面这个就是为了把user_id与文章关联起来 文章需要跟用户关联,所以要去文章模型中加以关联 这样就可以直接在模板中进行关联处理 权限认证 首先要创建policy php artisan make: ...

  9. springboot+shrio简易登录登出和用户权限认证。

    源码:https://github.com/huangshengz/myJavaDemo本例子参考:https://www.cnblogs.com/HowieYuan/p/9259638.html 本 ...

随机推荐

  1. C# 运行时序列化

    一. 序列化与反序列的作用 为什么要有序列化呢,考虑下面这种情况,在WINFORM或者更为方便的WPF工程中,当我们进行UI设计时,可以随意的将一个控件剪切/张贴到另外一个地方.操作方便的背后是什么在 ...

  2. 数据结构-自平衡二叉查找树(AVL)详解

    介绍: 在计算机科学中,AVL树是最先发明的自平衡二叉查找树. 在AVL树中任何节点的两个子树的高度最大差别为一,所以它也被称为高度平衡树. 查找.插入和删除在平均和最坏情况下都是O(log n).增 ...

  3. python的read() 、readline()、readlines()、xreadlines()

    先来一个小例子: import sys dir= os.path.dirname(os.path.abspath(__file__)) file_path='%s/test.txt'  % dir f ...

  4. python异常处理和断言

    http://blog.csdn.net/pipisorry/article/details/21841883 关于异常处理有必要么的讨论 最重要的问题是你在开发过程中隐藏了bug,如果当时你没加这个 ...

  5. Android studio使用git-android学习之旅(79)

    首先我参考了hello_my_show和梦痕_sky的博客,表示感谢 android studio对于git的支持是很好的,这节课我们拉讲解怎么使用git可视化工具来clone project和提交修 ...

  6. 13_Android的生命周期

     Activity的生命周期图 2 Android生命周期中涉及到的几个过程 1.启动Activity:系统会先调用onCreate方法,然后调用onStart方法,最后调用onResume,Ac ...

  7. Xcode相关常用快捷键搜集

    command + L:  跳转到指定行     control + i:  格式化代码 command + control + 上/下 在*.h和*.m之间切换. command + control ...

  8. Xp输入法不见了

    早上打开电脑忽然发现以前的输入法(包括搜狗,智能ABC输入法)都不见了,光剩下微软拼音,而且添加输入法的按键是灰色的,不能使用 解决的办法: 打开记事本,输入以下内容:    ___________ ...

  9. Mysql数据库安装和配置

    http://blog.csdn.net/pipisorry/article/details/46773507 Mysql数据库安装和配置.mysql语法.特殊符号及正则表达式的使用.MySQL备份与 ...

  10. mysql进阶(二十)CPU超负荷异常情况

    CPU超负荷异常情况 问题 项目部署阶段,提交订单时总是出现cpu超负荷工作情况,导致机器卡死,订单提交失败.通过任务管理器可见下图所示: 通过任务管理器中进程信息(见下图)进行查看,可见正是由于项目 ...