微服务实战(十七)微服务Token的实现: MD5简易Token、Jwt、Jwt结合AES加密

最新推荐文章于 2025-06-08 11:11:46 发布
最新推荐文章于 2025-06-08 11:11:46 发布
阅读量7.6k 收藏 20
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 微服务架构实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011177064/article/details/104822700
本文介绍了微服务架构下三种Token实现方式:自定义MD5 Token、JWT以及JWT结合AES加密。详细阐述了每种方式的数据库设计、接口实现、控制器代码以及验证效果。重点讨论了JWT的直接信息包含特性以及AES加密后的安全性提升。最后提出了优化点,减少外部调用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于Token (令牌)

说起令牌,仿佛回到了封建时代,一掏出令牌,其他人都知道你是什么身份了。

而在web系统中,前后端的业务交互也往往需要附带身份数据,先姑且把这个数据统称为 Token (令牌) 。

面向有状态HTTP请求:

Token实际上是由cookies+session 实现

服务端session存储了每个客户端的状态(比如用户登录后,服务端为这个客户端存储的session中就有了用户标识数据)。

session存储时为每一个客户端分配了sessionId

前端cookies存储了sessionId,保证同一个客户端一段时间内请求后端,使用同一个sessionId

以上实现了后端在一定时间内都"认识“这个客户端

 

面向无状态HTTP请求:

服务端不再存储每个请求客户端的状态,客户端也不再依赖cookies机制

客户端每次请求中自带身份标识

服务端根据客户端请求中的token参数来验证或者提取用户数据

可以有很多种实现,系统中定义一个token,或者使用JWT等

 

微服务架构下token授权与验证流程

我画了个微服务架构下tokenn授权与验证的流程。

其中我这里拟支持3种Token形式:

1、MD5 Token :  属于系统内部自定义一种Token规则,我这里只是简单地将用户的几个字段进行了拼接MD5,用户调用接口登录成功后,就把token生成并颁发给客户端。

验证时需要在数据库中查询token颁发记录,从而获取对应的用户信息

2、Jwt : JSON Web Tokens,一种便于分布式架构中传输Token的一种规范,跟上述的Token串不同的是,它可以直接把用户信息也打包进去。所以这里面常常存的不只是一个令牌,而是直接包含了业务接口所需的用户信息、以及业务数据。Jwt默认不加密,只是进行签名验证,防止篡改,但是里面存放的数据是可见的(通过Base64URL 解码)。

验证时直接从Jwt中提取登录用户信息,不需要查询数据库

3、Jwt+ AES : 是基于第二种方案进行了AES对称加密,这样在传输过程中,里面的数据是不可见的。

验证时进行AES解密出原Jwt,直接从Jwt中提取登录用户信息,不需要查询数据库

 

主要代码

完整代码:https://gitee.com/zhaojunfu2014/springcloud-learn-tokens

项目基于:springboot,mybatis plus

数据库:mysql

目的:实现  流程图的 2,3   6,7  节点 ,接口定义如下:

package com.jfcloud.all.user.service;

import com.jfcloud.all.user.domain.param.GrantParams;

/**
 * 微服务鉴权服务
 * @author zhaojunfu
 *
 */
public interface TokenService {
	
	/**
	 * 认证接口<br>
	 * 认证通过后返回token对象
	 * @param params 参数列表
	 * @return
	 * @throws Exception 
	 */
	Object grant(GrantParams params) throws Exception;
	
	
	/**
	 * 验证token有效性,并提取用户信息
	 * @param token
	 * @return
	 */
	Object validateAndGet(Object token);
}

自定义MD5 Token 实现

数据库表设计

jfcloud_user:用户表,模拟业务系统中需要登录的用户,登录后可用token验证后换取此用户信息

jfcloud_user_token: token表,为用户颁发token的记录

CREATE TABLE `jfcloud_user` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `username` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '用户名',
  `realname` varchar(100) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '昵称',
  `password` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '密码',
  `account` decimal(20,2) DEFAULT NULL COMMENT '账户余额',
  `order_num` bigint(20) DEFAULT NULL COMMENT '下单数量',
  `buy_num` bigint(20) DEFAULT NULL COMMENT '购买产品数',
  `buy_amount` decimal(20,2) DEFAULT NULL COMMENT '购买金额',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `is_delete` int(1) DEFAULT '0' COMMENT '逻辑删除',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;

CREATE TABLE `jfcloud_user_token` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `user_id` bigint(20) DEFAULT NULL COMMENT '用户ID',
  `token` varchar(200) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '用户登录token',
  `status` int(1) DEFAULT '1' COMMENT '状态 0:无效  1:有效',
  `create_time` datetime DEFAULT NULL,
  `update_time` datetime DEFAULT NULL,
  `is_delete` int(1) DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=u
最低0.47元/天 解锁文章

200万优质内容无限畅学
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
重定向和转发,用户登陆操作,MD5介绍,token的作用,接口,Cookie,Session,编辑配置类,数据的自动填充创建时间/修改时间,事务说明,全局异常的处理机制,正则表达式
鬼道迷踪的博客
08-07 967
1.1 转发问题 说明: 用户访问服务器,但是目标服务器无法处理该请求,由服务器内部将请求交给其他服务器处理. 这个过程称之为转发. 1.2 重定向问题 说明: 用户访问服务器,但是目标服务器无法处理该请求,目标服务器返回一个能够处理请求的网址.由用户再次发起请求,访问服务器获取数据. 1.3路由关键字 1. redirect 路由的重定向 需求: 要求用户访问 "/"根目录 要求重定向到 "/user"请求路径中. 2.修改前端服务器端口号 脚手架 参数里修改在任务里 ...
md5生成、解密token
scorhl的博客
10-08 1422
1、定义的携带字符串,导包: import time from django.core import signing import hashlib from django.core.cache import cache from django.conf import settings settings.configure(DEBUG=True) HEADER = {'typ': 'JWP', 'alg': 'default'} KEY = 'CHEN_FENG_YAO' SALT = 'www.lan
Spring Cloud 微服务架构实战指南 -- SpringCLoud概述
最新发布
weixin_74352792的博客
06-08 1183
本文介绍了软件架构从单体架构到微服务架构的演进过程。首先分析了单体架构的优缺点,指出其在高并发和复杂业务场景下的局限性。接着解释了集群和分布式两种优化方向的概念及区别。然后重点阐述了微服务架构的特点,即细粒度服务拆分和专业化分工。文章还比较了分布式与微服务架构的差异,强调微服务是更精细化的分布式实现。最后介绍了SpringCloud作为微服务解决方案,包括其版本命名规则和主要实现方案(Netflix和Alibaba)。整体说明了不同架构的适用场景,强调应根据实际需求选择合适架构。
微服务token设计方案
qq_38377190的博客
08-04 1612
项目初期(项目为微服务)为了快速开发使用了jwt生成token的无状态开发(未进行存储)并为生成的token指定一个过期时间为第二天的04:30,这样只要拿着今天生成的token就都可以用,这样不仅不利于项目自身安全,并且也无法实现以下功能。需求一:是否支持并发登录需求二:超时无操作过期设置需求三:记录在线人数为解决上述问题,微服务下需要管理有状态的token,并进行数据格式管理,实现上述需求。......
JWTTokenMD5
QAQ
05-04 1735
Session、cookie、Token可看:session、cookie、token 详解 一、传统的Token 传统的token(也叫令牌) 传统的Token,例如:用户登录成功生成对应的令牌,key为令牌 value:userid,隐藏了数据真实性 ,同时将该token存放到redis中,返回对应的真实令牌给客户端存放。 客户端每次访问后端请求的时候,会传递该token在请求中,服务器端接收到该token之后,从redis中查询如果存在的情况下,则说明在有效期内,如果在Redis中不存在的情况下,则说
java微服务token处理
lin85253788的博客
12-17 789
init() 会自动执行,获取本地的公钥和私钥,如果没有本地公钥和私钥生成公钥和私钥。
react-jwt-refresh-token:使用 Axios 拦截器构建 React JWT 刷新令牌示例 - React.js 中的刷新令牌,Axios 静默刷新 JWT 令牌示例
08-04
使用 JWT 和 Axios 拦截器示例React刷新令牌 欲知更多详情,请访问: 全栈(JWT 身份验证和授权示例): 这个项目是用引导的。 设置端口 .env PORT=8081 笔记: 打开src/services/api.js并修改config.headers以...
【SpringBoot】45、SpringBoot中整合JWT实现Token验证(注解篇)
Asurplus
02-28 21万+
前言 上篇文章,我们已经在 SpringBoot 中整合了 JWT实现Token 验证,那我们在实际应用中就会发现,如果每个 视图层(controller)都手动验证 token,代码就会显得特别臃肿,本篇文章主要为了解决该问题。 如果对整合 JWT 还不熟悉的朋友,可以先看看我的这篇博客:【SpringBoot】四十四、SpringBoot中整合JWT实现Token验证 自定义注解 1、创建自定义注解 package com.asurplus.common.annotation; import
微服务JWT
热门推荐
hell21的博客
10-02 33万+
JWT 微服务中,如果我们使用session来鉴别用户的身份,session保存在服务器端,那就会有session共享问题,而且对服务端的压力也大。当然,你会说,使用rediss解决session共享问题,这也是可以的。但是,有没有一种不需要自己存放session信息就能实现身份验证的方式呢?JWT(JSON Web Token)就是这种范式实行的,通过这种方式服务端就不需要保存session数据了,只用在客户端保存服务端返回给客户的Token就可以了,扩展行的道提升。 JWT本质上就是一段签名的json格
tokenmd5
weixin_71694051的博客
06-08 306
代表“用户是谁”,用于身份认证和权限校验。
微服务token鉴权设计的4种方式总结
喵小狸的博客
12-18 2934
JWT是一种用于双方之间安全传输信息的简洁的、URL安全的令牌标准
用Java实现AES DES JWT加密
小白龙的博客
12-20 700
aeshttps://www.cnblogs.com/vmax-tam/p/4624032.htmldes,http://blog.csdn.net/qq_18870023/article/details/52180768jwt,http://blog.csdn.net/wangcantian/article/details/74330458
通过路由上的参数生成唯一md5和路由上token做验证
weixin_42333548的博客
07-16 395
路由上的token和本地生成的md5值应该是一模一样才可以正常访问系统,token是和三方或者其他调用折约定好的。,通过路由上的mediaId,X-Test-Timestamp,ui_control 这三个字。为了防止用户通过修改路由上的某一个字段也能正常访问系统的问题,算是安全访问的一个优化。其中token是三方传的,代码内部用md算法来自己生成,规则必须保持一致,参数ru。段生成一个md5值,然后和token要、做一个对比,路由上有很多的参数,同时有一个token字段。前言:有这么一个场景,
md5创建与使用,token创建与使用
Vevina888的博客
09-18 3729
# 密码需要经过md5处理后存储在数据库中 #从前端获取用户输入的密码 password = request.POST.get("password") # 1.创建一个md5对象 MD5 = hashlib.md5() # 2.讲一个二进制数据进行md5处理,生成一个128位的二进制数据 MD5.update(password.encode("u...
数据库拓展---MD5
凯大爷
09-01 282
> MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。MD5由美国密码学家罗纳德·李维斯特(Ronald Linn Rivest)设计,于1992年公开,用以取代MD4算法。这套算法的程序在 RFC 1321 标准中被加以规范。1996年后该算法被证实存在弱点,可以被加以破解,对于需要高度安全性的数据,专家一般建议改用其他算法,如SHA-2。2
Springcloud gateway网关+认证服务+token方式,入口层认证统一微服务鉴权【设计实践】
殷长庆的博客
08-04 9726
分布式项目的单点登录分为认证服务(单点登录服务端)和业务服务(单点登录客户端)两个角色,当访问业务服务时,认证服务客户端SDK校验一下是否有登录token,如果没有登录token,需要携带当前请求链接重定向到认证服务,认证通过后由认证服务重定向业务服务链接,实现单点登录。gateway实现单点登录客户端功能,一般如果前后端项目是分离的,如果请求中没有携带登录token,直接返回需要认证,前后端没有分离的项目,可以做页面重定向操作。本文主要讨论gateway的实现,认证服务需要自行实现。......
MD5加密+Token令牌生成器
404NottFound
08-06 3223
       在程序的登录注册模块,我们往往要对用户的密码进行加密,下面我们写一个MD5加密的程序。  package com.qf.shopping.utils; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import org.springframework.util...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值