前端 - token 是什么?为什么每次请求头(HEADS)里要携带它?___请求时,为什么要携带token?

x33g5p2x  于2021-12-12 转载在 其他  
字(3.5k)|赞(0)|评价(0)|浏览(331)

前端 - token 是什么?为什么每次请求头(HEADS)里要携带它?

Token

token 是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token 便应运而生了。

目的

token 的目的是为了减轻服务器的压力,减少频繁的查询数据库。

在前端请求后台的 API 接口的时候,为了安全性,一般需要再用户登录成功之后才能发送其他请求。

因此,在用户登录成功之后,后台会返回一个 token 给前端,这个时候我们就需要把 token 暂时保存在本地,每次发送请求的时候需要在 header 里边带上 token(无需再次带上请求名和密码),这个时候本地的 token 和后台数据库中的 token 进行一个验证,如果两者一致,则请求成功,否则失败。

用什么作为 Token 标识合适

一、使用设备号/设备mac地址作为token(推荐)

客户端:客户端在登录的时候获取设备的设备号串号 / mac 地址,并将其作为参数传递到服务器端。

服务器:服务器接收到该参数之后,使用一个变量接收同时将其作为 token 保存数据库,并将该 token 设置在 session 中,客户端每次请求的时候都要统一拦截,并将客户端传递的 token 和服务器 session 中的 token 对比,如果相同则放下,不同则拒绝。

优点:客户端不需要重新登录,只要登录一次后就能一直使用。

缺点:客户端需要带设备号/mac地址作为参数传递

二、用 session 值作为 token

客户端:客户端只需要携带用户名和密码即可登录。

服务端:客户端接收到用户名和密码后并判断,如果正确就将本地获取 sessionId 作为 token 返回给客户端,客户端以后只需要带上请求数据即可。

请求时,为什么要携带token?

token是什么?

token携带在请求头中,只有登录请求不需要携带token,登录成功后把token返回给前端,以后的请求前端需要携带这个token来才能请求成功!否则请求被拦截……

为什么要用它?

token的目的是减轻服务器压力,减少数据库请求。

如果没有token做一层拦截的,每次请求都会去请求数据库,如果恶意请求,很可能击垮数据库…

如何实现呢?

拦截器:写一个类实现HandlerInterceptor接口,重写preHandle方法,在方法里实现拦截逻辑

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        // 如果是OPTIONS则结束请求
        if (Objects.equals(request.getMethod(), HttpMethod.OPTIONS.name())) {
            response.setStatus(HttpStatus.OK.value());
            return false;
        }
        String token = request.getHeader("token");
        if (!hasText(token)) {
            handleErrorResponse(response, ResponseResultEnum.PARAM_ERROR, "can't getHeader token ");
            return false;
        }
        if (TEST_TOKEN.equals(token)) {
            return true;
        } 
        } catch (JwtException e) {
            log.trace(e.getMessage(), e);
            handleErrorResponse(response, ResponseResultEnum.TOKEN_INVALID);
            return false;
        }
     return true;
    }

这里的拦截,是拦截所有请求,而我们在实际开发中,要有拦截白名单,比如:登录接口

那么如何写拦截白名单呢?

写一个配置类,实现WebMvcConfigurer接口,重写addInterceptors方法

@Configuration
public class WebConfig implements WebMvcConfigurer {
 
    private final TokenInterceptor tokenInterceptor;
 
    public WebConfig(TokenInterceptor tokenInterceptor) {
        this.tokenInterceptor = tokenInterceptor;
    }
 
    /** * 不需拦截-白名单 */
    private static final String[] WHITELIST = {
            // 登录相关
            "/login/verify",
            "/login/sms/**",
            "/heartbeat"
    };
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        List<String> patterns = Arrays.asList(WHITELIST);
        registry.addInterceptor(tokenInterceptor) // 拦截器实例
                .addPathPatterns("/**") // 拦截所有请求
                .excludePathPatterns(patterns); // 排除哪些请求
    }
 
}

small tips:

1.JWT:JSON WEB TOKEN,用于生产token的插件

Jwts.builder()
                .setIssuedAt(new Date())
                .signWith(this.key)
                .claim(Global.USER_CODE, userCode)
                .claim(Global.PHONE, phone)
                .claim(Global.UNION_NUM, unionNum)
                .setExpiration(new Date(System.currentTimeMillis() + this.expiration))
                .setId(UUID.randomUUID().toString())
                .compact();

使用以上,需要导入jar包

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-impl</artifactId>
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-api</artifactId>
            <version>0.11.2</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt-jackson</artifactId>
            <version>0.11.2</version>
            <scope>runtime</scope>
        </dependency>

token设置多久有效期?

根据具体情况来定,失效时间写在生成token的方法里,token的失效时间一般存在缓存或内存中,而不会数据库中

public String generateTokenCache(String userCode, String phone, String unionNum) {
        String token = generateToken(userCode, phone, unionNum);
        String key = String.format(RedisConstants.APP_TOKEN_KEY, userCode);
        redisTemplate.opsForValue().set(key, ShaKit.hashString(token), this.expiration, TimeUnit.MILLISECONDS);
        return token;
}

相关文章