怎么创建Token认证

# 怎么创建Token认证

在现代Web开发中，Token认证（如JWT）已成为主流的身份验证方式。它比传统的Session机制更轻量、无状态且易于扩展。以下是实现Token认证的核心步骤：

---

## 一、Token认证的核心流程
1. **用户登录**  
   客户端提交用户名/密码到服务端，服务端验证通过后生成Token（如JWT），包含用户ID、过期时间等数据。

2. **Token返回**  
   服务端将Token通过响应体（JSON）或Header返回给客户端。

3. **客户端存储**  
   客户端（Web/App）将Token保存在本地存储（localStorage）或Cookie中。

4. **后续请求验证**  
   客户端每次请求时携带Token（通常通过`Authorization: Bearer <token>`），服务端解密验证有效性。

---

## 二、JWT实现示例（Node.js）

### 1. 生成Token
```javascript
const jwt = require('jsonwebtoken');
const token = jwt.sign(
  { userId: 123 }, 
  'YOUR_SECRET_KEY', 
  { expiresIn: '1h' }
);

2. 验证中间件

function authenticateToken(req, res, next) {
  const token = req.headers['authorization']?.split(' ')[1];
  if (!token) return res.sendStatus(401);

  jwt.verify(token, 'YOUR_SECRET_KEY', (err, user) => {
    if (err) return res.sendStatus(403);
    req.user = user;
    next();
  });
}

三、关键注意事项

1. 安全性

   • 必须使用HTTPS传输Token
   • 敏感操作建议二次验证（如短信/邮箱验证码）
   • 密钥长度至少32位

2. 存储方案

   • Web端：优先选HttpOnly Cookie（防XSS）
   • App端：使用安全存储（Keychain/Keystore）

3. 优化策略

   • 设置合理的过期时间（如Access Token 1小时 + Refresh Token 7天）
   • 实现Token自动续期机制

四、扩展方案

• OAuth 2.0：第三方登录（如微信/Google登录）
• 双Token机制：Access Token + Refresh Token组合
• 分布式场景：结合Redis实现Token黑名单

通过以上步骤，即可构建一个安全的Token认证系统。实际开发中还需根据业务需求调整细节，例如添加权限控制（RBAC）等。 “`

（全文约520字）