前端 - token 是什么？为什么每次请求头（HEADS）里要携带它？

Token

token 是客户端频繁向服务器端请求数据，服务器频繁的去数据库查询用户名和密码进行对比，判断用户名和密码正确与否，并作出相应的提示，在这样的背景下，token 便应运而生了。

目的

token 的目的是为了减轻服务器的压力，减少频繁的查询数据库。

在前端请求后台的 API 接口的时候，为了安全性，一般需要再用户登录成功之后才能发送其他请求。

因此，在用户登录成功之后，后台会返回一个 token 给前端，这个时候我们就需要把 token 暂时保存在本地，每次发送请求的时候需要在 header 里边带上 token（无需再次带上请求名和密码），这个时候本地的 token 和后台数据库中的 token 进行一个验证，如果两者一致，则请求成功，否则失败。

用什么作为 Token 标识合适

一、使用设备号/设备mac地址作为token（推荐）

客户端：客户端在登录的时候获取设备的设备号串号 / mac 地址，并将其作为参数传递到服务器端。

服务器：服务器接收到该参数之后，使用一个变量接收同时将其作为 token 保存数据库，并将该 token 设置在 session 中，客户端每次请求的时候都要统一拦截，并将客户端传递的 token 和服务器 session 中的 token 对比，如果相同则放下，不同则拒绝。

优点：客户端不需要重新登录，只要登录一次后就能一直使用。

缺点：客户端需要带设备号/mac地址作为参数传递

二、用 `session` 值作为 `token`

客户端：客户端只需要携带用户名和密码即可登录。

服务端：客户端接收到用户名和密码后并判断，如果正确就将本地获取 sessionId 作为 token 返回给客户端，客户端以后只需要带上请求数据即可。

请求时，为什么要携带token？

token是什么？

token携带在请求头中，只有登录请求不需要携带token，登录成功后把token返回给前端，以后的请求前端需要携带这个token来才能请求成功！否则请求被拦截……

为什么要用它？

token的目的是减轻服务器压力，减少数据库请求。

如果没有token做一层拦截的，每次请求都会去请求数据库，如果恶意请求，很可能击垮数据库…

如何实现呢？

拦截器：写一个类实现HandlerInterceptor接口，重写preHandle方法，在方法里实现拦截逻辑

public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {// 如果是OPTIONS则结束请求if (Objects.equals(request.getMethod(), HttpMethod.OPTIONS.name())) {response.setStatus(HttpStatus.OK.value());return false;}String token = request.getHeader("token");if (!hasText(token)) {handleErrorResponse(response, ResponseResultEnum.PARAM_ERROR, "can't getHeader token ");return false;}if (TEST_TOKEN.equals(token)) {return true;} } catch (JwtException e) {log.trace(e.getMessage(), e);handleErrorResponse(response, ResponseResultEnum.TOKEN_INVALID);return false;}return true;}

这里的拦截，是拦截所有请求，而我们在实际开发中，要有拦截白名单，比如：登录接口

那么如何写拦截白名单呢？

写一个配置类，实现WebMvcConfigurer接口，重写addInterceptors方法

@Configuration
public class WebConfig implements WebMvcConfigurer {private final TokenInterceptor tokenInterceptor;public WebConfig(TokenInterceptor tokenInterceptor) {this.tokenInterceptor = tokenInterceptor;}/*** 不需拦截-白名单*/private static final String[] WHITELIST = {// 登录相关"/login/verify","/login/sms/**","/heartbeat"};@Overridepublic void addInterceptors(InterceptorRegistry registry) {List<String> patterns = Arrays.asList(WHITELIST);registry.addInterceptor(tokenInterceptor) // 拦截器实例.addPathPatterns("/**") // 拦截所有请求.excludePathPatterns(patterns); // 排除哪些请求}}

small tips:

1.JWT：JSON WEB TOKEN，用于生产token的插件

 Jwts.builder().setIssuedAt(new Date()).signWith(this.key).claim(Global.USER_CODE, userCode).claim(Global.PHONE, phone).claim(Global.UNION_NUM, unionNum).setExpiration(new Date(System.currentTimeMillis() + this.expiration)).setId(UUID.randomUUID().toString()).compact();

使用以上，需要导入jar包

        <dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-impl</artifactId><version>0.11.2</version><scope>runtime</scope></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-api</artifactId><version>0.11.2</version></dependency><dependency><groupId>io.jsonwebtoken</groupId><artifactId>jjwt-jackson</artifactId><version>0.11.2</version><scope>runtime</scope></dependency>

token设置多久有效期？

根据具体情况来定，失效时间写在生成token的方法里，token的失效时间一般存在缓存或内存中，而不会数据库中

 public String generateTokenCache(String userCode, String phone, String unionNum) {String token = generateToken(userCode, phone, unionNum);String key = String.format(RedisConstants.APP_TOKEN_KEY, userCode);redisTemplate.opsForValue().set(key, ShaKit.hashString(token), this.expiration, TimeUnit.MILLISECONDS);return token;
}