- token为什么要刷新吗?
首先 Basic Auth 是一种最简单的认证方法,但是由于每次请求都带用户名和密码,频繁的传输肯定不安全,所以才有 cookies 和 session 的运用。如果 token 不刷新,那么 token 就相当于上面的用户名 + 密码,只要获取到了,就可以一直盗用,因此 token 设置有效期并能够进行刷新是必要的。
- token有效期多久合适,刷新频率多久合适?
有效期越长,风险性越高,有效性越短,刷新频率越高,刷新就会存在刷新开销,所以这需要综合考虑。而且 web 端应该设置为分钟级和小时级,而移动端应该设置为天级和周级。
- token相对于Cookie+Session的优点,主要有下面两个:
(1)、 CSRF 攻击
这个原理不多做介绍,构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,cookie 中的 session_id是由浏览器自动携带发送到服务端的,借助这个特性,攻击者就可以通过让用户误点攻击链接,达到攻击效果。而 token 是通过客户端本身逻辑作为动态参数加到请求中的,token 也不会轻易泄露出去,因此 token 在 CSRF 防御方面存在天然优势。
(2)、适合移动应用
移动端上不支持 cookie,而 token 只要客户端能够进行存储就能够使用,因此 token 在移动端上也具有优势。
三、解决方案:基于JWT-Auth的token验证体系
JWT 全称 JSON Web Tokens ,是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。它的两大使用场景是:认证和数据交换。
token主要有三种:
- 自定义的 token:开发者根据业务逻辑自定义的 token
- JWT:JSON Web Token,定义在 RFC 7519 中的一种 token 规范
- Oauth2.0:定义在 RFC 6750 中的一种授权规范,但这其实并不是一种 token,只是其中也有用到 token
jwt-auth的用途:
1、一是判断登陆状态(auth),如未登陆则被拦截,然后转交给登陆模块,这需要一个中间件来完成。
2、二是管理登陆,即登陆逻辑login:
- 登陆成功则发送给用户一个授权token
- logout退出登陆,销毁token
- 忘记密码forgetPassword
- 注册signUp等
JWT的使用有两种方式:
- 加到 url 中:
?token=你的token
- 加到 header 中,建议用这种,因为在 https 情况下更安全:
Authorization:Bearer 你的token
JWT在客户端的存储有三种方式:
- LocalStorage
- SessionStorage
- Cookie (缺点:不能设置 HTTPonly,因为没开 HTTPonly,所以要注意防范 XSS 漏洞)
推荐使用第三种,因为第一二种存在跨域读取限制,而 Cookie 可以使用不同的跨域策略
Cookie的跨域策略(继承关系)
子可以读父,但是父不可以读子,兄弟之间不能互相访问。举例如下:
- 子可以读父:a.xxx.com 和 b.xxx.com 可以读 xxx.com 的Cookie
- 父不可以读子:xxx.com 不能读 a.xxx.com 和 b.xxx.com 的Cookie
- 兄弟之间不能互相访问:a.xxx.com 和 b.xxx.com 不能互相读取Cookie
token存到Cookie里,那我不是又变得和cookie+session一样了吗?
其实不然,因为token存到cookie里,只是用到了其存储机制,而没有利用其去鉴权。也就是说我只是简单存一下,并没有期望浏览器带上 token 去鉴权,将 token 加入请求这部分操作还是需要我们手动进行的。
JWT相对于一般token的优点:
(1)、无状态
因为 JWT 的有效期完全与其载荷中编码的过期时间,服务端不维护任何状态,因此 JWT一般情况下是无状态的,无状态最大的优势在于三点:
- 节省服务器的资源:因为服务端无需维护一个状态,因此能够节省服务端原先保存这些状态所花费的资源
- 适合分布式:因为服务端无需维护状态,因此如果服务端是多台服务器组成的分布式集群,那么无需像『有状态』一样互相同步各自的状态。
- 时间换空间:因为 token 的校验时通过签名校验来进行的,签名校验消耗的是 CPU 时间,而『有状态』是需要通过客户端提供的凭据对服务端现有的状态进行一次查询,消耗的是 I/O 和内存、磁盘空间。通常对于一个 Web 服务来说,其属于 I/O 密集型,因此通过时间换空间这一操作,可以提高整体的硬件使用率。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:Android)
推荐学习资料
- 脑图
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
713525882617)]
[外链图片转存中…(img-t7L3WRsM-1713525882618)]
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!