精华内容
下载资源
问答
  • 什么是token

    千次阅读 2021-01-11 23:30:44
    对于初学者来说,对Token和Session的使用难免会限于困境,开发过程中知道有这个东西,但却不知道为什么要用他?更不知道其原理,今天我就带大家一起分析分析这东西。一、我们先解释一下他的含义:1、Token的引入:...

    对于初学者来说,对Token和Session的使用难免会限于困境,开发过程中知道有这个东西,但却不知道为什么要用他?更不知道其原理,今天我就带大家一起分析分析这东西。

    一、我们先解释一下他的含义:

    1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。

    2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

    3、使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

    了解了Token的意义后,我们就更明确的知道为什么要用他了。

    二、如何使用Token?

    这是本文的重点,在这里我就介绍常用的两种方式。

    1、用设备号/设备mac地址作为Token(推荐)

    客户端:客户端在登录的时候获取设备的设备号/mac地址,并将其作为参数传递到服务端。

    服务端:服务端接收到该参数后,便用一个变量来接收同时将其作为Token保存在数据库,并将该Token设置到session中,客户端每次请求的时候都要统一拦截,并将客户端传递的token和服务器端session中的token进行对比,如果相同则放行,不同则拒绝。

    分析:此

    展开全文
  • 前端保存token

    2021-02-05 13:06:09
    我们可以将JWT保存在cookie中,也可以保存在浏览器的本地存储里,我们保存在浏览器本地存储中浏览器的本地存储提供了sessionStorage 和 localStorage 两种:sessionStorage浏览器关闭即失效localStorage长期有效, ...

    我们可以将JWT保存在cookie中,也可以保存在浏览器的本地存储里,我们保存在浏览器本地存储中

    浏览器的本地存储提供了sessionStorage 和 localStorage 两种:

    sessionStorage 浏览器关闭即失效

    localStorage 长期有效, 永久性存储

    cookie中每条cookie的存储空间为4k),localStorage中一般浏览器支持的是5M大小,这个在不同的浏览器中localStorage会有所不同

    localStorage的优势

    1、localStorage拓展了cookie的4K限制

    2、localStorage会可以将第一次请求的数据直接存储到本地,这个相当于一个5M大小的针对于前端页面的数据库,相比于cookie可以节约带宽,但是这个却是只有在高版本的浏览器中才支持的

    localStorage的局限

    1、浏览器的大小不统一,并且在IE8以上的IE版本才支持localStorage这个属性

    2、目前所有的浏览器中都会把localStorage的值类型限定为string类型,这个在对我们日常比较常见的JSON对象类型需要一些转换

    3、localStorage在浏览器的隐私模式下面是不可读取的

    4、localStorage本质上是对字符串的读取,如果存储内容多的话会消耗内存空间,会导致页面变卡

    5、localStorage不能被爬虫抓取到

    localStorage与sessionStorage的唯一一点区别就是localStorage属于永久性存储,而sessionStorage属于当会话结束的时候,sessionStorage中的键值对会被清空

    使用方法

    sessionStorage.变量名 = 变量值// 保存数据

    sessionStorage.变量名// 读取数据

    sessionStorage.clear()// 清除所有

    sessionStorage保存的数据

    localStorage.变量名 = 变量值// 保存数据

    localStorage.变量名// 读取数据

    localStorage.clear()// 清除所有

    localStorage保存的数据

    展开全文
  • 写这一篇文章的来源是因为某一天的我被面试官提问:让你设计一个登录页面,你会如何设计?我当时的脑子只有???...我还没领悟到面试官想让我回答的是Token。。。。参考链接:https://juejin.i...

    写这一篇文章的来源是因为某一天的我被面试官提问:让你设计一个登录页面,你会如何设计?

    我当时的脑子只有???

    不就是提交账号、密码给后台就搞定了呢?

    不可能那么简单,我弱弱的想,难道要对密码加密??

    之后他继续提问,当你登录成功后,去请求购物车时,后台为什么会返回的是你的购物车,而不是别人的?

    不是匹配用户id吗??我还没领悟到面试官想让我回答的是Token。。。。

    参考链接:https://juejin.im/post/5a6c60166fb9a01caf37a5e5

    什么是Token?

    token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。

    当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。

    简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。

    为什么要用Token?

    Token 完全由应用管理,所以它可以避开同源策略

    Token 可以避免 CSRF 攻击

    Token 可以是无状态的,可以在多个服务间共享

    基于token机制的身份认证

    使用token机制的身份验证方法,在服务器端不需要存储用户的登录记录。大概的流程:

    客户端使用用户名和密码请求登录。

    服务端收到请求,验证用户名和密码。

    验证成功后,服务端会生成一个token,然后把这个token发送给客户端。

    客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。

    客户端每次向服务端发送请求的时候都需要带上服务端发给的token。

    服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据。(如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。)

    Token需要设置有效期吗?

    对于这个问题,我们不妨先看两个例子。一个例子是登录密码,一般要求定期改变密码,以防止泄漏,所以密码是有有效期的;另一个例子是安全证书。SSL 安全证书都有有效期,目的是为了解决吊销的问题。所以无论是从安全的角度考虑,还是从吊销的角度考虑,Token 都需要设有效期。

    那么有效期多长合适呢?

    只能说,根据系统的安全需要,尽可能的短,但也不能短得离谱——想像一下手机的自动熄屏时间,如果设置为 10 秒钟无操作自动熄屏,再次点亮需要输入密码,会不会疯?

    然后新问题产生了,如果用户在正常操作的过程中,Token 过期失效了,要求用户重新登录……用户体验岂不是很糟糕?

    解决Token失效的问题

    一种方案是在服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token 的过期时间——Session 就是采用这种策略来保持用户登录状态的。然而仍然存在这样一个问题,在前后端分离、单页 App 这些情况下,每秒种可能发起很多次请求,每次都去刷新过期时间会产生非常大的代价。如果 Token 的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把 Token 的过期时保存在缓存或者内存中。

    另一种方案,使用 Refresh Token,它可以避免频繁的读写操作。这种方案中,服务端不需要刷新 Token 的过期时间,一旦 Token 过期,就反馈给前端,前端使用 Refresh Token 申请一个全新 Token 继续使用。这种方案中,服务端只需要在客户端请求更新 Token 的时候对 Refresh Token 的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。当然 Refresh Token 也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。

    使用Token和RefreshToken的时序图如下:

    上面的时序图中并未提到 Refresh Token 过期怎么办。不过很显然,Refresh Token 既然已经过期,就该要求用户重新登录了。

    当然还可以把这个机制设计得更复杂一些,比如,Refresh Token 每次使用的时候,都更新它的过期时间,直到与它的创建时间相比,已经超过了非常长的一段时间(比如三个月),这等于是在相当长一段时间内允许 Refresh Token 自动续期。

    到目前为止,Token 都是有状态的,即在服务端需要保存并记录相关属性。那说好的无状态呢,怎么实现?

    无状态Token

    如果我们把所有状态信息都附加在 Token 上,服务器就可以不保存。但是服务端仍然需要认证 Token 有效。不过只要服务端能确认是自己签发的 Token,而且其信息未被改动过,那就可以认为 Token 有效——“签名”可以作此保证。平时常说的签名都存在一方签发,另一方验证的情况,所以要使用非对称加密算法。但是在这里,签发和验证都是同一方,所以对称加密算法就能达到要求,而对称算法比非对称算法要快得多(可达数十倍差距)。更进一步思考,对称加密算法除了加密,还带有还原加密内容的功能,而这一功能在对 Token 签名时并无必要——既然不需要解密,摘要(散列)算法就会更快。可以指定密码的散列算法,自然是 HMAC。

    上面说了这么多,还需要自己去实现吗?不用!JWT 已经定义了详细的规范,而且有各种语言的若干实现。

    不过在使用无状态 Token 的时候在服务端会有一些变化,服务端虽然不保存有效的 Token 了,却需要保存未到期却已注销的 Token。如果一个 Token 未到期就被用户主动注销,那么服务器需要保存这个被注销的 Token,以便下次收到使用这个仍在有效期内的 Token 时判其无效。有没有感到一点沮丧?

    在前端可控的情况下(比如前端和服务端在同一个项目组内),可以协商:前端一但注销成功,就丢掉本地保存(比如保存在内存、LocalStorage 等)的 Token 和 Refresh Token。基于这样的约定,服务器就可以假设收到的 Token 一定是没注销的(因为注销之后前端就不会再使用了)。

    如果前端不可控的情况,仍然可以进行上面的假设,但是这种情况下,需要尽量缩短 Token 的有效期,而且必须在用户主动注销的情况下让 Refresh Token 无效。这个操作存在一定的安全漏洞,因为用户会认为已经注销了,实际上在较短的一段时间内并没有注销。如果应用设计中,这点漏洞并不会造成什么损失,那采用这种策略就是可行的。

    在使用无状态 Token 的时候,有两点需要注意:

    Refresh Token 有效时间较长,所以它应该在服务器端有状态,以增强安全性,确保用户注销时可控

    应该考虑使用二次认证来增强敏感操作的安全性

    到此,关于 Token 的话题似乎差不多了——然而并没有,上面说的只是认证服务和业务服务集成在一起的情况,如果是分

    分离认证服务

    当 Token 无状态之后,单点登录就变得容易了。前端拿到一个有效的 Token,它就可以在任何同一体系的服务上认证通过——只要它们使用同样的密钥和算法来认证 Token 的有效性。就样这样:

    当然,如果 Token 过期了,前端仍然需要去认证服务更新 Token:

    可见,虽然认证和业务分离了,实际即并没产生多大的差异。当然,这是建立在认证服务器信任业务服务器的前提下,因为认证服务器产生 Token 的密钥和业务服务器认证 Token 的密钥和算法相同。换句话说,业务服务器同样可以创建有效的 Token。

    如果业务服务器不能被信任,该怎么办?

    不受信的业务服务器

    遇到不受信的业务服务器时,很容易想到的办法是使用不同的密钥。认证服务器使用密钥1签发,业务服务器使用密钥2验证——这是典型非对称加密签名的应用场景。认证服务器自己使用私钥对 Token 签名,公开公钥。信任这个认证服务器的业务服务器保存公钥,用于验证签名。幸好,JWT 不仅可以使用 HMAC 签名,也可以使用 RSA(一种非对称加密算法)签名。

    不过,当业务服务器已经不受信任的时候,多个业务服务器之间使用相同的 Token 对用户来说是不安全的。因为任何一个服务器拿到 Token 都可以仿冒用户去另一个服务器处理业务……悲剧随时可能发生。

    为了防止这种情况发生,就需要在认证服务器产生 Token 的时候,把使用该 Token 的业务服务器的信息记录在 Token 中,这样当另一个业务服务器拿到这个 Token 的时候,发现它并不是自己应该验证的 Token,就可以直接拒绝。

    现在,认证服务器不信任业务服务器,业务服务器相互也不信任,但前端是信任这些服务器的——如果前端不信任,就不会拿 Token 去请求验证。那么为什么会信任?可能是因为这些是同一家公司或者同一个项目中提供的若干服务构成的服务体系。

    但是,前端信任不代表用户信任。如果 Token 不没有携带用户隐私(比如姓名),那么用户不会关心信任问题。但如果 Token 含有用户隐私的时候,用户得关心信任问题了。这时候认证服务就不得不再啰嗦一些,当用户请求 Token 的时候,问上一句,你真的要授权给某某某业务服务吗?而这个“某某某”,用户怎么知道它是不是真的“某某某”呢?用户当然不知道,甚至认证服务也不知道,因为公钥已经公开了,任何一个业务都可以声明自己是“某某某”。

    为了得到用户的信任,认证服务就不得不帮助用户来鉴别业务服务。所以,认证服器决定不公开公钥,而是要求业务服务先申请注册并通过审核。只有通过审核的业务服务器才能得到认证服务为它创建的,仅供它使用的公钥。如果该业务服务泄漏公钥带来风险,由该业务服务自行承担。现在认证服务可以清楚的告诉用户,“某某某”服务是什么了。如果用户还是不够信任,认证服务甚至可以问,某某某业务服务需要请求 A、B、C 三项个人数据,其中 A 是必须的,不然它不工作,是否允许授权?如果你授权,我就把你授权的几项数据加密放在 Token 中……

    废话了这么多,有没有似曾相识……对了,这类似开放式 API 的认证过程。

    e...看了那么多,我希望下次面试官问我登录页面怎么设计的时候,我可以说一番长篇大论哈哈哈。

    展开全文
  • 什么是tokentoken是由服务器生成的字符串,用作客户端发出请求的token。当第一个会话启动时,服务器生成一个token并将其返回给客户机。将来,客户只需要使用这个token来请求数据,而不需要重新输入用户名和密码。...

    什么是token?token是由服务器生成的字符串,用作客户端发出请求的token。当第一个会话启动时,服务器生成一个token并将其返回给客户机。将来,客户只需要使用这个token来请求数据,而不需要重新输入用户名和密码。

    基于token的身份验证

    基于token的身份验证方法不需要将用户的登录日志存储在服务器上。过程如下:

    客户端将使用用户名和密码请求登录,并要求服务器确认用户名和密码。

    如果检查成功,服务器将发出一个token并将其作为客户端token发送。在接收到token之后,客户机可以将token存储在cookie或本地存储中。每当客户端从服务器请求资源时,客户端必须向服务器发送token。

    服务器接收请求,然后验证在客户端请求中找到的token。如果验证成功,请求的数据将返回给客户。当应用程序登录时,加密的用户名和密码将发送到服务器。检查用户名和密码。例如,如果以任何方式成功,将随机生成一个32位字符串作为token,存储在服务器上,然后返回到应用程序。请求后,在token中,服务器检查token,成功返回所需结果,返回错误消息失败,可以重新登录。服务器上的token设置为过期,并且在每次应用程序请求时都会进行验证。

    象征性优势

    1。无状态、可扩展

    存储在客户端的token是无状态的和可扩展的。如果不存储这种无状态和会话信息,负载均衡器就可以将用户信息从一个服务传输到另一个服务。在会话中存储经过身份验证的用户信息时,用户必须为每个请求向经过身份验证的服务器发送身份验证信息(称为会话关联)。大量用户可能导致拥塞。但是,不要担心使用token来解决这些问题,因为token包含您的凭据。

    2。安全

    通过在请求中发送token而不是cookie,可以避免CSRF(跨站点请求伪造)。即使客户端使用cookie来存储token,cookie也只是一种存储机制,而不是用于身份验证。减少会话,而不在会话中存储信息。token是紧急的,因此用户需要在一段时间后再次进行身份验证。无需等待token自动过期。token具有恢复操作。token终止可以使具有相同身份验证的特定token或token集失效。

    三。可扩展性

    token可用于创建与其他程序共享权限的程序。例如,您可以将非官方社交账户链接到自己的大账户(Fackbook或Twitter)。

    通过此服务登录Twitter(使用此进程缓冲区)时,可以附加此缓冲区并将其发布到Twitter流。此token允许您为第三方应用程序提供可选权限。

    4。跨平台和跨域

    在提前讨论CORS(域之间的资源交换)和扩展应用程序和服务时,涉及到多个设备和应用程序。

    此标准基于这样一个事实,即您可以在创建token时配置一些选项。稍后我们将记录内容,但标准用法反映在JSONWebtoken中。您可以将最近使用的应用程序和文档用作JSONWebtokens。它是一种兼容的语言。这意味着您可以真正地转换它以供以后使用,并成为一种身份验证机制。

    象征性原则

    base64加密1。有效载荷和标题信息、加密文本和加密表单标题文本。

    点形成的两个密文连接到加密密钥服务器,生成hs256的签名。

    三。文本后面的前两个密码是常规签名。最后一个表单返回到服务器token,请注意:

    (1)此用户token到服务器(分为三部分,第一部分是密文加密负载、签名)。服务器将解密解析为第一部分(第一个密文)和base64。你可以知道签名算法。这是hs256的解决方案。

    (2)服务器hs256操作执行签名签名,签名签名是在使用原始密钥将签名返回到密文(加密的标题文本+'+付费密文)之后获得的。如果token合法,则差异意味着原始文本已被修改。

    (3)第2部分(密码有效负载)由base64确定,以确定解密的到期日期以及客户端是否知道授权期间的有效负载。如果token过期,则将此值与当前时间进行比较。

    展开全文
  • 什么是 Refresh Token

    2021-09-18 13:39:32
    什么是 Refresh Token AccessToken 和 IdToken 是 JSON Web Token (opens new window),有效时间通常较短。通常用户在获取资源的时候需要携带 AccessToken,当 AccessToken 过期后,用户需要获取一个新的 ...
  • 浅谈Token理解运用

    2020-12-19 04:43:53
    今天分享一下Token的理解,首先Token的定义是什么?概念Token被翻译成为('令牌','标记')在计算机中的含义也差不错('计算机身份认证安全令牌'),token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号...
  • 对于初学者来说,可能很难会理解Token,经常会在互联网上看到出售各种渠道的token,那么token到底是什么?其原理又是什么?首先和Token相对应的有一个Session, what?怎么又懵逼了?Session又是什么?当我们理解完Session的...
  • token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,一次登录后,服务器生成一个token便将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码...
  • 做Android有些年头了,Framework层三大核心View系统,WmS、AmS最近在研究中...WmS和AmS这两个也需要我们一个小块一个小块来啃,那么今天我们就先来看看WmS中涉及到的一个小小的变量token,这个东西到底是什么?缘起...
  • 任俊利2018-06-0690后it男赞同来自:1、Token合约是什么?Token合约的本质,就是包含了一个对账户地址及其余额的映射的智能合约,可能是代表货币的价值,可能是代表持有人的权益。Token被转账的时候,Token合约自动...
  • 这篇文章写一下前后端分离下的登录解决方案,目前大多数都采用请求头携带 Token 的形式。开写之前先捋一下整理思路:首次登录时,后端服务器判断用户账号密码正确之后,根据用户id、用户名、定义好的秘钥、过期时间...
  • 微信小程序登录换取token的教程来源:中文源码网浏览: 次日期:2018年9月2日【下载文档:微信小程序登录换取token的教程.txt】(友情提示:右键点上行txt文档名->目标另存为)微信小程序登录换取token的教程 前言:...
  • Web项目中经常会用token来进行用户的访问验证,那么在获得token之后,如果有很多地方需要根据token获得对应的用户信息,你会怎么获取? 本文给大家提供N种方式,对照一下,看看你的项目中所使用的方式属于哪个Level...
  • 1 Github操作需使用新的Personal Access Token 今天早上向Github推送代码的时候突然发现不能推送了,出现了以下错误: remote: Password authentication is temporarily disabled as part of a brownout. Please ...
  • I'm learning something about Authorization like Basic, Digest, OAuth2.0, JWTs, and Bearer Token.Now I have a question.You know the JWTs is being used as an Access_Token in the OAuth2.0 standard....
  • 1. 前言在上一篇Spring ...咱们的服务器拿到一个两头授信凭据会再次进行认证,目标是为了获取Token。而这个逻辑由OAuth2LoginAuthenticationProvider负责,通过上一文的剖析后咱们发现获取Token的具体逻辑由OAuth2A...
  • 而如果我们采用token的认证机制,由于服务器端不保存session信息了,它只会生成token,验证token,我们用服务器cpu的计算时间去换取内存的存储空间,而且即使是使用多台服务器集群,只要每台服务器的处理逻辑算法是...
  • 前言:这次主要是介绍些业务逻辑,技术点...所谓落后就要挨打,那么今天就开始学习小程序的一些小知识吧(本文基于十年磨一剑的tp5)目录:微信登录换取token的流程如何将code变成openid和session_key抛出错误异常和...
  • 什么是令牌桶? 令牌桶是一种对流量规格进行评估的技术,它可以看作是一个存放一定数量令牌的容器。一个令牌代表1个字节。 系统按设定的速率向桶中放置令牌,当桶中令牌满时,多出的令牌溢出,桶中令牌的数量不再...
  • 前端 - token 是什么?为什么每次请求头(HEADS)里要携带它? Token token 是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样...
  • 本篇我们将一起探讨如何将 JWT 与 Spring Security 结合起来,在认证成功后不再跳转到指定页面而是直接返回 JWT Token 。本文的DEMO 可通过文末的方式获取2. 流程JWT 适用于前后端分离。我们在登录成功后不在跳转到...
  • BearerToken之JWT的介绍

    2020-12-23 08:23:24
    Authorization: Bearer [BEARER_TOKEN] JWT(JSON WEB TOKEN) 上面介绍的Bearer认证,其核心便是BEARER_TOKEN,而最流行的Token编码方式便是:JSON WEB TOKEN。 Json web token (JWT), 是为了在网络应用环境间传递...
  • 接口测试——带token请求post接口(postman学习) 今天遇到一个接口,是添加备注的,post类型,访问参数中需要带上token才行,我在header 中直接加token参数,接口总返回 403,请登陆 1.考虑yapi接口平台集成的是postman...
  • jupyter notebook 中的token

    2021-01-31 16:12:18
    先写一点乱七八糟的前言吧不知道自己最近到底是在嘛 处理图片的多进程的代码首先是因为访问数据库的原因然后报错,之后调整了之后可以运行完,但是发现遗漏了很多图片,导致现在以为处理完2万张了结果存入数据库的...
  • 而这个逻辑由OAuth2LoginAuthenticationProvider负责,经过上一文的分析后我们发现获取Token的具体逻辑由OAuth2AuthorizationCodeAuthenticationProvider来完成,今天就把它的流程搞清楚,来看看Spring Security ...
  • Android Token的使用学习

    2020-12-22 00:54:02
    学习TokenToken是什么?Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上...
  • //通过token获取用户信息, 比如token和用户信息存储在redis或数据库, 那么便根据token去查询 //这里用map模拟数据库 Map, String> token_value = new HashMap(); token_value.put("6110e95350b2af23be9c70b93d0c118...
  • 百度智能云管理中心网址:... ...获得access token:https://ai.baidu.com/ai-doc/REFERENCE/Ck3dwjhhu,可以参考下面的代码,token可以在使用的时候随时产生,但是一个token有效期是1个月,千万别在代码
  • 一步一步教你基于JWT的Token认证机制实现,以及如何防范XSS攻击、Replay攻击和中间人攻击。文章目录一、几种常用的认证机制1.1 HTTP Basic AuthHTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 27,207
精华内容 10,882
关键字:

token是干啥的