spring cloud的token认证问题请教

积木工具箱

[Java] 纯文本查看 复制代码

public class TokenUtils {

    public static String token() {
        return generate(UUID.randomUUID().toString());
    }

    private static final char[] hexCode = "9abcdef".toCharArray();

    private static String toHexString(byte[] data) {
        if(data == null) {
            return null;
        }
        StringBuilder r = new StringBuilder(data.length*2);
        for ( byte b : data) {
            r.append(hexCode[(b >> 4) & 0xF]);
            r.append(hexCode[(b & 0xF)]);
        }
        return r.toString();
    }

    private static String generate(String param) {
        try {
            MessageDigest algorithm = MessageDigest.getInstance("MD5");
            algorithm.reset();
            algorithm.update(param.getBytes());
            byte[] messageDigest = algorithm.digest();
            return toHexString(messageDigest);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
}

这是我接手项目之前别人写的 我就郁闷了他这个token不就是随机生成的吗? token不携带任何用户信息 我看其他请求都是带用户的uid 那这个token就没什么意义了么 而且uid可以伪造啊

火凤燎原

不要管token的生成规则。去看下认证那块是怎么回事

坦然

token 分好多种，你说带用户信息应该是JWT吧。这种token，后台把随机生成的token和用户进行绑定就行。 你代码应该没截全，少和用户绑定代码。

积木工具箱

坦然 发表于 2021-3-23 11:22
token 分好多种，你说带用户信息应该是JWT吧。这种token，后台把随机生成的token和用户进行绑定就行。 你代 ...

对 有个绑定 但是他这是spring cloud 他把token和uid存到redis里面了 但是token里面没有用户信息的 其他服务调用的话不是还得去查数据库吗

addqcx

你不要管uid

葬天月痕

积木工具箱 发表于 2021-3-23 11:27
对 有个绑定 但是他这是spring cloud 他把token和uid存到redis里面了 但是token里面没有用户信息的 其他 ...

有可能是你说的这种情况，用到用户数据再去查询