Token

JWT (JSON Web Token)

JWT 是一种开放标准（RFC 7519），用于在网络应用环境之间安全地传递声明。它的主要用途是通过数字签名对传输的信息进行验证和加密。JWT 由三部分组成：

• Header（头部）：包含了令牌的类型（通常是 JWT）和所使用的签名算法（例如 HMAC SHA256）。
• Payload（有效负载）：包含了声明，可以是有关用户身份或其他数据。
• Signature（签名）：用来验证消息是否未被篡改，通常是通过私钥加密。

JWT 的一个常见使用场景是，用户通过登录后，服务器生成一个 JWT Token，客户端将此 Token 保存在本地（如浏览器的 LocalStorage 或 Cookie 中）。每次客户端访问受保护的资源时，都会附带这个 Token，服务器验证后才允许访问。

示例：

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;import java.util.Date;public class JWTExample {public static String createJWT(String subject, String secretKey) {return Jwts.builder().setSubject(subject).setIssuedAt(new Date()).setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60))  // 1小时有效期.signWith(SignatureAlgorithm.HS256, secretKey).compact();}public static void main(String[] args) {String token = createJWT("user123", "mySecretKey");System.out.println("Generated JWT Token: " + token);}
}

Session Token

在一些 Web 应用中，登录后服务器会生成一个 Session Token，用来在后续请求中识别用户的会话状态。通常这个 Token 会存储在浏览器的 Cookie 中，并在每次请求时由客户端自动发送到服务器。

OAuth Token

OAuth 是一种授权协议，允许第三方应用程序访问用户的资源，而不需要用户直接提供用户名和密码。OAuth 使用访问 Token 来授权对资源的访问。访问 Token 由授权服务器颁发，通常分为两种类型：

• Access Token（访问令牌）：允许应用访问特定的用户数据。
• Refresh Token（刷新令牌）：用来获取新的 Access Token，通常在 Access Token 过期时使用。

Token 的作用

• 身份验证：Token 可以用来验证用户的身份或应用的合法性。
• 访问控制：通过 Token 可以控制用户是否有权限访问特定的资源。
• 防止伪造请求：在 CSRF 等攻击中，Token 可以防止恶意请求伪造。