怎么创建Token认证

# 怎么创建Token认证 在现代Web开发中，Token认证（如JWT）已成为主流的身份验证方式。它比传统的Session机制更轻量、无状态且易于扩展。以下是实现Token认证的核心步骤： --- ## 一、Token认证的核心流程 1. **用户登录** 客户端提交用户名/密码到服务端，服务端验证通过后生成Token（如JWT），包含用户ID、过期时间等数据。 2. **Token返回** 服务端将Token通过响应体（JSON）或Header返回给客户端。 3. **客户端存储** 客户端（Web/App）将Token保存在本地存储（localStorage）或Cookie中。 4. **后续请求验证** 客户端每次请求时携带Token（通常通过`Authorization: Bearer <token>`），服务端解密验证有效性。 --- ## 二、JWT实现示例（Node.js） ### 1. 生成Token ```javascript const jwt = require('jsonwebtoken'); const token = jwt.sign( { userId: 123 }, 'YOUR_SECRET_KEY', { expiresIn: '1h' } ); 

2. 验证中间件

function authenticateToken(req, res, next) { const token = req.headers['authorization']?.split(' ')[1]; if (!token) return res.sendStatus(401); jwt.verify(token, 'YOUR_SECRET_KEY', (err, user) => { if (err) return res.sendStatus(403); req.user = user; next(); }); } 

三、关键注意事项

1. 安全性

   • 必须使用HTTPS传输Token
   • 敏感操作建议二次验证（如短信/邮箱验证码）
   • 密钥长度至少32位

2. 存储方案

   • Web端：优先选HttpOnly Cookie（防XSS）
   • App端：使用安全存储（Keychain/Keystore）

3. 优化策略

   • 设置合理的过期时间（如Access Token 1小时 + Refresh Token 7天）
   • 实现Token自动续期机制

四、扩展方案

• OAuth 2.0：第三方登录（如微信/Google登录）
• 双Token机制：Access Token + Refresh Token组合
• 分布式场景：结合Redis实现Token黑名单

通过以上步骤，即可构建一个安全的Token认证系统。实际开发中还需根据业务需求调整细节，例如添加权限控制（RBAC）等。 “`

（全文约520字）