加密签名token

㈠ Token是什么

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。token其实说的更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作。

基于Token的身份验证的过程如下:

1、用户通过用户名和密码发送请求。

2、程序验证。

3、程序返回一个签名的token 给客户端。

4、客户端储存token,并且每次用于每次发送请求。

5、服务端验证token并返回数据。

㈡ Spring boot-手把手教你使用Token

JWT由三部分组成，由类型和加密算法的head（头部），包含公共信息和自定义信息的playboard（负载），以及signature（签名）组成。

就是头部信息，这是由base64加密后的密文，base64是一种对称加密算法，解密后的json格式如下。头部信息由type（类型）和 alg（加密算法）组成。类型就是"JWT"，加密算法一般使用 HMAC SHA256加密算法。

0 就是负载信息，加密后的json格式如下。负载信息一般由标准申明，公共声明，私有声明组成。

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间，这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前，该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

公共的声明和私有的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息，因为该部分在客户端可解密。

第三部分签名是由base64加密后的头部信息和负载信息以及secret组成的签名，签名算法是有头部信息定以的加密算法，一般是HMAC SHA256。然后头部，负载，签名三部分组成了token。

pom.xml引入依赖

新增controller，提供token接口

CallbackService 生成token

返回的示例如下

定义自定义注解，在需要token校验的方法上加上即可

新增AuthenticationInterceptor对第三方请求进行拦截，实现HandlerInterceptor接口

注册AuthenticationInterceptor拦截器，对指定请求路径进行拦截

在此文中，我们大致了解了Token的定义，获取，校验等方法。此外，Token 的无状态，可扩展性，多平台跨域等特性，也让Token广泛应用在安全校验领域中。在接下来的几篇文章中，我将介绍如何使用Spring AOP进行加密，解密，验签等操作。

参考:
https://www.jianshu.com/p/576dbf44b2ae

㈢ 什么是签名服务器和APP之间的API接口和数据怎么保证安全

apk签名相当于程序的身份识别代码。
apk签名用于程序编译打包之后，手机在运行程序之前会先去验证程序的签名（可以看作类似于我们电脑上常说的md5）是否合法，只有通过了验证的文件才会被运行，所以签名软件的作用的让文件通过手机的验证为合法，不同的手机、系统是对应不同的签名的。

进行加密通讯防止API外部调用
服务器端与客户端各自会存储一个TOKEN,这个TOKEN我们为了防止反编译是用C语言来写的一个文件并做了加壳和混淆处理。
在客户端访问服务器API任何一个接口的时候，客户端需要带上一个特殊字段，这个字段就是签名signature，签名的生成方式为：
访问的接口名+时间戳+加密TOKEN 进行整体MD5,并且客户端将本地的时间戳作为明文参数提交到服务器
服务器首先会验证这两个参数：验证时间戳，如果时间误差与服务器超过正负一分钟，服务器会拒绝访问(防止被抓包重复请求服务器，正负一分钟是防止时间误差，参数可调整)，
然后服务器会根据请求的API地址和提交过来的时间戳再加上本地存储的token按照MD5重新生成一个签名，并比对签名，签名一致才会通过服务器的验证，进入到下一步的API逻辑