token

Token Auth
使用基于Token的身份验证方法，无需长期保存用户名和密码，服务器端能主动让token失效等诸多好处，对于Web应用和App非常实用，也被很多大型网站采用，如FaceBook、Github、Google等
流程如下：
1、客户端使用用户名和密码请求登录
2、服务端收到请求，去验证用户名与密码
3、验证成功后，服务端签发一个Token，并将该Token返回给客户端 （授权）
4、客户端收到Token以后把它存储起来，如放在Cookie中或存在本地
5、客户端每次向服务端请求资源的时候都需要带着服务端签发的Token
6、服务端收到请求，然后去验证客户端请求里带着的Token（鉴权），如果验证成功，就向客户端返回请求的数据
优点（Token机制相对于Cookie机制的优点）：
1、支持跨域访问：Cookie是不允许跨域（不同域名 主机和端口）访问的，这一点对于Token机制是不存在的，前提是传输的用户认证信息通过HTTP头传输
2、无状态（或称：服务端可扩展行）：Token机制在服务端不需要存储Session信息，因为Token本身就包含了所有登录用户的信息，只需要在客户端的cookie或本地介质存储状态信息
3、更适用CDN（内容分发网络）：可以通过内容分发网络请求服务端所有的资料（如javascript,HTML,图片等），而你的服务端只要提供API即可
4、解耦：不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成，只要在你的API被调用的时候，你可以进行Token生成并调用即可
5、更适用于移动应用：当你的客户端是一个原生平台（iOS,Android,Windows 8等）时，Cookie是不被支持的（你需要通过Cookie容器进行处理），这时采用Token认证机制就会简单很多
6、CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF（跨站请求伪造）的防范
7、性能：一次网络往返时间（通过数据库查询session信息）总比做一次HMACSHA256计算的Token验证和解析要费时得多
8、不需要为登陆页面做特殊处理，如果使用Protractor做功能测试的时候，不再需要为登录页面做特殊处理
9、基于标准化：你的API可以采用标准化的JSON Web Token,这个标准已经存在多个后端库（.NET，Ruby，Java，Python，PHP)和多家公司的支持。
————————————————

 

//登录服务
@GetMapping("/login")
private String login(@RequestParam("id") Integer id) {
//查询用户是否存在
User user = map.get(id);
if (null == user) {
return "该用户不存在,登录失败！";
}
//用户存在 生成token
String token = JwtUtil.createJwt(UUID.randomUUID().toString(), "user", null);
System.out.println(token);
return token;
}
————————————————
版权声明：本文为CSDN博主「Dean_xiu」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/Dean_xiu/article/details/122935091

//修改用户服务
@PutMapping("/update")
private User update(@RequestParam("id") Integer id, @RequestBody User user, HttpServletRequest request) {
//也可以通过request请求的头部，在请求里拿到token
String token = request.getHeader("token");
System.out.println(token );
//模拟修改用户信息
user.setId(id + 2);
return user;
}
————————————————