php 关于token、签名、加密的一点理解

小咪咪 2022-05-23 07:44 206阅读 0赞

在之前的工作中，总是接触到这些概念，之前都是零散的理解，在此总结下，以方便以后查阅

一、token

在网站、app与服务器交互的过程中，很多时候为了：

1、避免用户多次输入密码

2、实现自动登陆

3、避免在终端直接存储用户的密码

4、标示客户端的请求是否合法

5、其他（暂时没想到）

我们需要引入token机制，基于Token的验证流程一般是这样的：

1.  客户端使用用户名跟密码请求登录
2.  服务端收到请求，去验证用户名与密码
3.  验证成功后，服务端会签发一个 Token，这个Token是与用户名一一对应的，token一般可以存储在缓存或数据库中，以方便后面查询出来进行验证。再把这个 Token 发送给客户端
4.  客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里
5.  客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6.  服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据

Token存在过期时间，在Token生成的时候可以打上一个时间戳，验证token的时候同时验证是否过期，并告知终端。终端接收到token过期的返回后，则要求用户重新输入用户名跟密码，进行登录。

用户的一些操作需要从新请求服务端下发token，如退出、修改密码后重新登录。

二、加密解密

在客户端与服务器进行交互时，必然涉及到交互的报文（或者通俗的讲，请求数据与返回数据），如果不希望报文进行明文传输，则需要进行报文的加密与解密。

所以加密的主要作用就是避免明文传输，就算被截获报文，截获方也不知道报文的具体内容。

我在平时用的比较多的加密算法主要是对称加密中的3DES加密与非对称加密中的RSA。对于这2个加密算法的用法，可自行google。

三、签名

为什么要签名？

1、在客户端与服务器进行交互时，报文虽然加密了，但我们并不能确认这个报文是谁发过来的。例如，与第三方服务器B进行交互时，我方收到了一个已加密的请求，但我方并不能确认是服务器B发送的这个报文，此时我们可以用数字签名的方式来进行验证。作用：认证数据来源

2、如果我方收到一个B服务器签名的请求，那么B服务器也无法否认这个请求，因为带有它的签名，作用：抗否认性。

3、我方收到一个B服务器签名的请求，但我方并不能确认这个请求是否被篡改过（虽然报文加了密，也可能被篡改），此时即可用签名，验证签名中的报文与传过来的报文是否一致。作用：保证了数据的完整性

平时工作中用的最多的签名算法是：RSA。

遵循规则：公钥加密，私钥解密

总结：在实际开发工作中应该 先通过web filter 解密，解密后进行验证签名(返回数据时，过程反过来，先签名再加密)；然后再springmvc的Interceptor 中进行验证token

来源：https://blog.csdn.net/maocai008/article/details/79064542

发表评论取消回复

表情：

评论列表（有 0 条评论，206人围观）

还没有评论，来说两句吧...

相关阅读

相关关于System.nanoTime()的一点理解

在查日志的时候，里边有个时间记得是nanotime，之前看过一次，再看一次，记下来 -------------------- 事情起源最近在研究Java中的Ra

男娘i/ 2023年01月08日 02:30/ 0 赞/ 250 阅读

相关关于des加密的示例

c中常用的是`openssl`的`crypto`库中的方法： openssl中的测试代码：[Link][] static int test_des_cbc(void

分手后的思念是犯贱/ 2022年10月02日 10:45/ 0 赞/ 121 阅读

相关数字签名和数字加密的区别

数字签名主要经过以下几个过程：信息发送者使用一单向散列函数（HASH函数）对信息生成信息摘要；信息发送者使用自己的私钥签名信息摘要；信息发送者把信息本身和已签名的信

谁借莪１个温暖的怀抱￠/ 2022年08月25日 13:58/ 0 赞/ 145 阅读

相关数据加密的一些理解

（一）加密算法分为：（1）对称加密算法： DES算法，3DES算法，TDEA算法，Blowfish算法，RC5算法，IDEA算法，AES算法。（2）非对称加密

青旅半醒/ 2022年07月15日 10:08/ 0 赞/ 175 阅读

相关 php 关于token、签名、加密的一点理解

在之前的工作中，总是接触到这些概念，之前都是零散的理解，在此总结下，以方便以后查阅一、token 在网站、app与服务器交互的过程中，很多时候为了： 1、避免用户多次输

小咪咪/ 2022年05月23日 07:44/ 0 赞/ 207 阅读

相关 spring关于@Service注解的一点理解

关于spring注解的一点理解。 @Service 把类当做容器中的一个组件来使用。当使用@Autowired注解则是实例化构造器。因为在自动注入时，是一个接口类型，

╰半夏微凉°/ 2022年05月21日 09:12/ 0 赞/ 588 阅读

相关 HTTPS加密的简单理解

一、对共钥私钥、数字签名、证书的理解 1.公钥私钥（一般用于确保信息的安全性）非对称加密：加密解密用的不是同一个东西。公钥就像是锁，可以对信息进行加密，加密以

素颜马尾好姑娘i/ 2022年05月20日 10:44/ 0 赞/ 178 阅读

相关关于redis使用的一点理解（一）

redis简介： Redis 是完全开源免费的，遵守BSD协议，是一个高性能的key-value数据库。 Redis 与其他 key - value 缓存产品

Love The Way You Lie/ 2022年03月02日 00:44/ 0 赞/ 213 阅读

相关 session，cookie，token的一点理解

cookie的出现是为了解决http协议的无状态问题，cookie是存储在浏览器中的。用户登录后，将登录信息写入cookie，浏览器每次访问携带，来证明登录的合法性。 co

「爱情、让人受尽委屈。」/ 2021年10月24日 05:46/ 0 赞/ 302 阅读

相关 Java 加盐加密的简单理解

背景对于同一密码，同一加密算法会产生相同的hash值。这样，当用户进行身份验证时，对用户输入的明文密码应用相同的hash加密算法，得出一个hash值，然后使用该hash...

电玩女神/ 2021年05月18日 15:38/ 0 赞/ 1349 阅读