Go最全Node，2024年最新腾讯竟然又偷偷开源了一套Golang原生UI框架

2401_84911026

于 2024-05-16 07:59:06 发布

阅读量1k

点赞数 14

文章标签： go 学习面试

本文链接：https://blog.csdn.net/2401_84911026/article/details/138940937

版权

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

如果希望Token验证成功后服务端能获取或返回该Token对应的用户信息，那么服务端在第一次存储Token时就可以选择将Token与用户信息进行关联存储，比如将Token作为key、用户ID（userId）作为值：

{
	Token:userID
}

这个流程与Cookie&Session很是相识，不同的是，它没有引入SessionId的概念，也没有使用cookie，所以相比Cookie&Session而言，传统使用Token验证的方式避免了CSRF攻击问题，但并没有避免存储问题。

JWT的全称为Json Web Token，它和传统使用Token的区别主要体现在服务端是否保存Token。

通过JWT计算生成的Token字符串（我们称其为JWT Token）包含三个部分：

在这里插入图片描述

图片是经过翻译的，部分中文显示不准。

关于JWT Token字符串的更多细节可查阅这篇文章。

通过JWT Token三段式的结构我们可以知道：

JWT可以将用户信息通过服务端的密钥加密到JWT Token字符串中（Payload部分），那么服务端同样也能从JWT Token中解密出用户信息。
后续服务端只需将JWT Token的前两部分（Header与Payload）与服务端保存的密钥进行计算，若计算结果与JWT Token的第三部分（Signature）相同即可验证该JWT Token有效。

通过JWT Token本身就可以进行验证和读取信息的操作，所以服务端就不需要存储Token了，这就解决了传统使用Token验证中的存储问题。

图示：
在这里插入图片描述

客户端登录成功后，由服务端根据自己的密钥和用户信息计算生成Token。
服务端将生成的Token直接返回给前端（一般是将Token添加到请求的响应头response.header上）。
客户端拿到Token后将其存储到本地，一般是存放到LocalStorage中
客户端每次向服务端发送请求时都要带上它存储的这个Token（一般是将Token添加到请求的请求头request.header上，这大多都是通过axios的请求拦截进行实现）。
服务端收到请求后，通过自己的密钥验证客户端请求里携带的Token是否有效，若有效就正常响应请求。

在这里插入图片描述

整个流程中服务端只需要保存一个固定的密钥即可，其它信息全部由客户端进行存储，服务端做的工作只有生成token , 然后验证token。

优点：

缺点：

占带宽大，正常情况下要比 session_id 更大，需要消耗更多流量，挤占更多带宽，JWT中存储的数据越多，消耗的流量也就越多。
无法在服务端注销，那么就很难解决劫持问题，如果token被其他人利用，无法对其进行拦截（这其实和session id被其他人利用是一样）。
性能问题，JWT 的卖点之一就是加密签名，由于这个特性，接收方得以验证 JWT 是否有效且被信任。对于有着严格性能要求的 Web 应用，这并不理想，尤其对于单线程环境。
不能存储敏感信息：由于JWT的Payload是使用base64编码的，并没有加密，因此JWT中不能存储敏感数据。
…

博主的Node.js从入门到精通专栏正在持续更新中，关注博主订阅专栏学习Node不迷路！

如果本篇文章对你有所帮助，还请客官一件四连！❤️

在这里插入图片描述

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上Go语言开发知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

关注