Token
什么是Token
Token:

Token是訪問(wèn)資源接口（API）時(shí)所需要的資源憑證，也成為令牌
傳統(tǒng)的Token

傳統(tǒng)的Token竭讳，例如：用戶登錄成功生成對(duì)應(yīng)的令牌，key：令牌 ，value：userId（用戶信息）
將該token存放到Redis中辕狰，返回對(duì)應(yīng)的Token返回給客戶端。
客戶端每次訪問(wèn)后端請(qǐng)求的時(shí)候控漠，會(huì)傳遞該token在請(qǐng)求中 (可以作為請(qǐng)求頭傳遞蔓倍，或者請(qǐng)求路徑傳遞等)，服務(wù)器端接收到該token之后盐捷，從redis中查詢?nèi)绻嬖诘那闆r下偶翅，則說(shuō)明在有效期內(nèi)，如果在Redis中不存在的情況下碉渡，則說(shuō)明過(guò)期或者token錯(cuò)誤聚谁。
Token實(shí)現(xiàn)認(rèn)證流程
前端點(diǎn)擊登陸，服務(wù)器驗(yàn)證賬號(hào)密碼是否正確
正確后滞诺，服務(wù)器生成令牌（生成令牌的技術(shù)有很多形导，比如UUID等）
將該令牌存到數(shù)據(jù)庫(kù)或redis中，key是uuid（Token）铭段，value是userId
把令牌返給客戶端骤宣，客戶端把令牌存在cookie中。
以后請(qǐng)求的時(shí)候就把Token放在請(qǐng)求頭里帶上
服務(wù)端收到請(qǐng)求后序愚，從redis中驗(yàn)證該Token是否存在
不存在憔披，則說(shuō)明用戶未登錄或登錄過(guò)期
存在獲取value內(nèi)容userId。根據(jù)userId查詢數(shù)據(jù)庫(kù)用戶信息爸吮。
如果數(shù)據(jù)庫(kù)中存在userId用戶芬膝，則說(shuō)明認(rèn)證成功，可以訪問(wèn)資源形娇。
優(yōu)缺點(diǎn)
優(yōu)點(diǎn)

可以隱藏真實(shí)數(shù)據(jù)锰霜，適當(dāng)避免明文傳輸
適用于分布式，解決Session共享問(wèn)題
缺點(diǎn)

依賴Redis或數(shù)據(jù)庫(kù)存儲(chǔ)
如果不使用第三方存儲(chǔ)桐早，那還不如使用Session
JWT
什么是JWT
JWT:

JWT的全稱是JSON WEB Token癣缅，是一種流行的跨域認(rèn)證解決方案。
它將用戶信息加密到Token里哄酝，服務(wù)器不保存任何用戶信息友存。服務(wù)器通過(guò)使用保存的密鑰驗(yàn)證Token的正確性，只要正確即通過(guò)驗(yàn)證陶衅。

JWT組成
JWT分3部分 —— Header屡立、Payload、Signature

（1）Header(頭） 作用：記錄令牌類型搀军、簽名算法等 例如：{“alg":“HS256”,“type”,"JWT}

（2）Payload(有效載荷） 作用：攜帶一些用戶信息 例如{“userId”:“1”,“username”:“mayikt”}

（3）Signature(簽名） 作用：防止Token被篡改膨俐、確保安全性 例如 計(jì)算出來(lái)的簽名勇皇，一個(gè)字符串

Header(頭）

{
Typ=“jwt” —類型為jwt
Alg:“HS256” —加密算法為hs256
}

Payload(有效載荷）

iss: jwt簽發(fā)者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過(guò)期時(shí)間，這個(gè)過(guò)期時(shí)間必須要大于簽發(fā)時(shí)間
nbf: 定義在什么時(shí)間之前焚刺，該jwt都是不可用的.
iat: jwt的簽發(fā)時(shí)間
jti: jwt的唯一身份標(biāo)識(shí)敛摘，主要用來(lái)作為一次性token,從而回避重放攻擊。

Signature(簽名）

這段是簽證信息檩坚，非常非常關(guān)鍵的部分着撩。
這關(guān)乎你的這個(gè) Token 是否安全，是否能被人仿造匾委。
一般是對(duì) header (base64后的) 和 payload (base64后的) 這兩部分的數(shù)據(jù)通過(guò) secret（私鑰）進(jìn)行簽名后的結(jié)果拖叙。
所以這個(gè)簽名算法就非常關(guān)鍵了，常用的有 SHA256 和 HMAC赂乐，個(gè)人更推薦使用 RSA薯鳍。

JWT加密流程
加密流程：

JWT包含三個(gè)部分： Header頭部，Payload負(fù)載和Signature簽名挨措。由三部分生成Token挖滤，三部分之間用“.”號(hào)做分割。 列如 ：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
1
Header 聲明信息浅役。 在Header中通常包含了兩部分：type：代表token的類型斩松，這里使用的是JWT類型。
alg:使用的Hash算法觉既，例如HMAC SHA256或RSA惧盹。{ “alg”: “HS256”, “typ”: “JWT” } 這會(huì)被經(jīng)過(guò)base64Url編碼形成第一部分
Payload Token的第二個(gè)部分是荷載信息，它包含一些聲明Claim(實(shí)體的描述瞪讼，通常是一個(gè)User信息钧椰，還包括一些其他的元數(shù)據(jù))
聲明分三類:
1 ）Reserved Claims，這是一套預(yù)定義的聲明符欠，并不是必須的嫡霞，這是一套易于使用、操作性強(qiáng)的聲明希柿。包括：iss(issuer)诊沪、exp(expiration time)、sub(subject)曾撤、aud(audience)等
2）Plubic Claims,
3）Private Claims娄徊，交換信息的雙方自定義的聲明 { “sub”: “1234567890”, “name”: “John Doe”,“admin”: true } 同樣經(jīng)過(guò)Base64Url編碼后形成第二部分
signature 使用Header中指定的算法將編碼后的Header、編碼后的Payload盾戴、一個(gè)secret進(jìn)行加密。例如使用的是HMAC SHA256算法兵多，大致流程類似于: HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload)尖啡，secret) 這個(gè)signature字段被用來(lái)確認(rèn)JWT信息的發(fā)送者是誰(shuí)橄仆，并保證信息沒(méi)有被修改 。
驗(yàn)證流程：

在頭部信息中聲明加密算法和常量衅斩，然后把Header使用json轉(zhuǎn)化為字符串
在載荷中聲明用戶信息盆顾，同時(shí)還有一些其他的內(nèi)容，再次使用json把在和部分進(jìn)行轉(zhuǎn)化畏梆，轉(zhuǎn)化為字符串
使用在header中聲明的加密算法來(lái)進(jìn)行加密您宪，把第一部分字符串和第二部分的字符串結(jié)合和每個(gè)項(xiàng)目隨機(jī)生成的secret字符串進(jìn)行加密，生成新的字符串奠涌，此字符串是獨(dú)一無(wú)二的
解密的時(shí)候宪巨，只要客戶端帶著jwt來(lái)發(fā)起請(qǐng)求，服務(wù)端就直接使用secret進(jìn)行解密溜畅，解簽證解出第一部分和第二部分捏卓，然后比對(duì)第二部分的信息和客戶端穿過(guò)來(lái)的信息是否一致。如果一致驗(yàn)證成功慈格，否則驗(yàn)證失敗怠晴。
特點(diǎn)：

三部分組成，每一部分都進(jìn)行字符串的轉(zhuǎn)化
解密的時(shí)候沒(méi)有使用數(shù)據(jù)庫(kù)浴捆，僅僅使用的是secret進(jìn)行解密
Jwt使用的secret千萬(wàn)不能丟失
優(yōu)缺點(diǎn)
優(yōu)點(diǎn)

無(wú)需服務(wù)器端存放數(shù)據(jù)蒜田，減輕服務(wù)器端的壓力
占用帶寬比較小、跨語(yǔ)言
token自身包含用戶信息且無(wú)法篡改选泻，在服務(wù)（網(wǎng)關(guān)）中可以自行解析校驗(yàn)出用戶信息冲粤，對(duì)認(rèn)證服務(wù)器（account-svc）壓力小
缺點(diǎn)

建議不要放敏感數(shù)據(jù) userId、手機(jī)號(hào)碼（如果非要放userId滔金，deptId等信息色解，可采用rsa256算法加密）rsa256生成JWT
JWT生成之后無(wú)法修改
無(wú)法吊銷令牌，只能等待令牌自身過(guò)期
Token與JWT的區(qū)別
Token需要查庫(kù)驗(yàn)證Token 是否有效
而JWT不用查庫(kù)餐茵，直接在服務(wù)端進(jìn)行校驗(yàn)科阎。因?yàn)橛脩舻男畔⒓凹用苄畔⒃诘诙糠諴ayload和第三部分簽證中已經(jīng)生成，只要在服務(wù)端進(jìn)行校驗(yàn)就行忿族，并且校驗(yàn)也是JWT自己實(shí)現(xiàn)的锣笨。
常見(jiàn)的加密算法

————————————————

原文鏈接：https://blog.csdn.net/weixin_44147535/article/details/135167800