Token以及Token的存储

最新推荐文章于 2024-04-03 10:37:51 发布
最新推荐文章于 2024-04-03 10:37:51 发布
阅读量5k 收藏 19
点赞数 1
分类专栏: 前端 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CatCherry/article/details/130521437
版权

什么是token

客户端发送HTTP请求携带的“令牌”,用来鉴权、身份验证(服务器可以知道是谁在请求)

token传输中放在哪里

1、放在url里:

叫“bearer token”票据携带者,简单,不需要前端存储,但是不安全,只适用于一些临时登录的场景。

2、放在hearder的cookie中:

cookie 的维护严重依赖浏览器行为。内存小,限制 4KB。

  • cookie 是怎么种上的?是浏览器看到 response header 中的 set-cookie 然后记录下来的。这个过程无需其他人干预。

  • cookie 是怎么管理有效期的?是浏览器看到 set-cookie 里的 age 属性然后管理的。这个过程也无需其他人干预。

  • cookie 是怎么附带在请求上的?是浏览器在发请求的时候自动附加在请求上的。这个过程还是无需其他人干预。

前端构造 ajax 请求的时候虽然可以手动设置 cookie 这个 header,但实际上请求发出去的时候会被浏览器覆盖掉,所以你想干预都干预不了。

甚至对于具有 http-only 属性的 cookie,浏览器全权托管,禁止 js 访问,他们对前端来说就是透明的(transparent)。

其实 cookie 被发明之初并不是用来做认证的,只不过大家一看,好家伙,浏览器这么贴心什么都帮你做好了,这不省事儿嘛,所以大家就把 token 放到 cookie 里了。

没错,使用 cookie 方案最大的好处就是简单,省心,浏览器帮你做完了,但最大的问题就是你得是在浏览器环境里,如果你是在 android、ios 原生应用或者小程序里面,不好意思,有关 cookie 的那一堆破事儿就得你自己打补丁做了。

cookie 方案另外一个问题是,出于安全考虑,浏览器对 cookie 有很多限制,比如同源限制,same-site 限制,跨域限制等等,有时候这些限制会让你很难受,比如明明开发测试环境都是好的,发布到生产环境就坏了,你得去检查这些环境有关 cookie 的限制以及配置是否都是一致的。

cookie方案是后端方案,后端设置响应头的cookie项,浏览器自动实现,前端不用写代码。

什么场景是 cookie 无能为力的呢?禁用 cookie 这种就不提了,有一种常见的支持不了的场景是登录隔离。比如你需要在浏览器中同时登录好多账号进行操作。因为 cookie 是根据域名绑定的,而且同名 cookie 只能保存一个,也就意味着 cookie 里面只能保留一个最新的 token,不同账号的登录状态会相互覆盖。不过有时候这反倒是一个优势。。比如你就是不想让用户多开,那么这种方式可以稍微提高一些用户多开的成本(用不同浏览器或者不同电脑仍然是可以多开的)。

容易收到CSRF攻击:Cross Site Request Forgery,跨站域请求伪造。

3、放在header的自定义字段中:

登录后后端返回token前端存储到localstorage或者sessionstorage中,在发送ajax请求时在header中加上。没有跨域限制。

什么场景是 header 无能为力的呢?不受前端代码影响的请求就没辙。比如 img 标签、link 标签、script 标签发出的 GET 请求,这些都是浏览器自己发出去的,无法注入 header 在这上面。再比如当用户在浏览器中输入一个 url 并按下回车的时候,这个 url 实际上是向后端请求了一个 html 文件,而这个请求也是无法注入 header 的。再比如使用原始的 form 表单提交的时候,表单提交的那个 post 请求也是浏览器发出去的,所以也不能注入 header。非 ajax 请求无法使用 header 方案。

当用户访问某个页面的时候:

  • 如果是 cookie 方案,那么在请求 html 的时候,后端就已经可以根据 cookie 验证当前用户是谁,是否需要登录,如果不需要登录就自动跳转到登录页面。

  • 如果是 header 方案,因为 html 请求无法携带 header,只能等 html 返回以后,浏览器解析 js,js 再发出一个 ajax 请求到后端,后端才可以得知当前用户是谁,是否需要登录。如果还未登录,再由前端 js 跳转到登录页面(因为 ajax 请求无法让页面跳转)。会让登录校验过程变得前后端耦合在一起,而且整个流程变得很长,耗时长。

  • 另一个受影响的场景是灰度访问。如果你是需要根据用户的身份信息来决定用户打开的是 A 版本还是 B 版本,那么基于 header 的认证方案就无法对 html 做灰度,也就是说 html 永远只能是一个版本。

4、放在body中:

很少见,基本没人用。

首先 GET 请求是没有 body 的,这意味放在 body 的方式无法支持 GET 请求的认证。

其次 body 通常是用来传输数据的,格式五花八门,有 json、text、form,甚至还可能是二进制,怎么跟数据共存是个蛋疼问题。

总之,通常没人会把 token 放 body 里,除非是有一些非常特殊的情况。

token存储在哪里

如果使用3方案,token需要前端存储在浏览器本地,一般是localStorage和sessionStorage中:

localStorage与sessionStorage

数据大小一般都是:5MB
sessionStorage 和 localStorage 的编程接口是一样的。
sessionStorage 和 locatlStorage 区别在于 数据存在时间范围 和 页面范围。

sessionStorage: 数据只保存到存储它的窗口或标签关闭时,数据在构建它们的窗口或标签内也可见

localStorage: 数据的生命周期比窗口或浏览器的生命周期长,数据可被同源的每个窗口或者标签共享,如果一个浏览器同时打开两个tab,localstorage和cookie是共享的,sessionstorage是不共享的

localStoragese:常用于长期登录(+判断用户是否已登录),适合长期保存在本地的数据。sessionStorage:敏感账号一次性登录。

注意:
localstorage,sessionstorage在浏览器无痕模式下会存在丢失问题
 

 

CatCherry
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
js使用sessionStorage、cookie保存token
qq_34309704的博客
06-04 3万+
  本文是参考别人的博客写的,图片直接用的别人的 1、Tokentoken是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token便应运而生了。 2、使用token的目的:token的目的是为了减轻服务器的压力,减少频繁的查询数据库。 3、在前端请求后台的API接口的时候,为了安全性,一般需要再用...
Token一般存放在哪里
wufaqidong1的博客
08-15 1万+
CSRF:跨站请求伪造,简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如:发邮件、发信息、甚至财产操作如转账和购买商品)。这利用了web中用户身份验证的一个漏洞:简单的身份验证职能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出去的。这些类型的XSS攻击可以得到每个人的Web存储来访问你的网站。支持localStorage的一派则认为:撇开localStorage的各种优点不谈,如果做好适当的XSS防护,收益是远大于风险的。...
前端存放token
热门推荐
gangsijay888的博客
08-23 3万+
1、可以将token存储在 localstorage里面,在一个统一的地方复写请求头,让每次请求都在header中带上这个token, 当token失效的时候,后端肯定会返回401,这个时候在你可以在前端代码中操作返回登陆页面,清除localstorage中的token就好。 2、Storage的localStorage长期有效,sessionStorage关闭浏览器时会自动清除 3、vue存...
uni-app(vue2)将token存储在本地缓存中uni.setStorageSync
最新发布
cuicanxinghui的博客
04-03 195
uni-app(vue2)将获取到的token存储在本地缓存中uni.setStorageSync,以及调用的处理
前端项目中将Token存储在请求头(Authorization)
weixin_45182118的博客
08-23 1万+
1.将数据存储在Vuex中管理 export default new Vuex.Store({ state: { // 存储token Authorization: localStorage.getItem('Authorization') ? localStorage.getItem('Authorization') : '' }, mutations: { // 修改token,并将token存入localStorage changeLogin (st
前端token中4个存储位置的优缺点
王春燕的博客
06-11 5618
一、token是什么 Token:访问资源的凭证。一般用户通过用户名密码登录后,服务端会将登录凭证做数字签名,加密之后的字符串作为Token。并在客户端后面的向服务端的请求中携带,作为凭证。 二、token一般存放在哪里? token 在客户端一般存放于localStorage、cookie、或sessionStorage,vuex中。......
前端面试题:Token一般是存放在哪里? Token放在cookie和放在localStorage、sessionStorage中有什么不同?
qq_46582421的博客
02-09 1万+
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
token 一般存放在哪里,为什么不存放在 cookie 内
subsistent的博客
02-16 2985
token一般放在本地存储中。token存在本身只关心请求的安全性,而不关心token本身的安全,因为token服务器端生成的,可以理解为一种加密技术。但如果存在cookie内的话,浏览器的请求默认会自动在请求头中携带cookie,所以容易受到csrf攻击。
前端 token 应该放在哪里呢?
weixin_46235143的博客
08-15 1792
反正是服务端加密的传过来让前端存着的,通常的存储都可以放,只不过需要防范攻击就是了。
token 应该存在 Cookie、SessionStorage 还是 LocalStorage 中?
生命不息,挖坑不止
06-28 4266
3. LocalStorage:将token存储在localStorage中的优点是,即使在浏览器关闭后,localStorage中的数据仍然存在,因此用户可以保持登录状态。2. SessionStorage:将token存储在sessionStorage中的优点是,它只在当前会话中存在,当用户关闭浏览器后,sessionStorage中的数据将被清除。这种方式的缺点是,如果用户在浏览器中打开新的标签页或窗口,那么新的页面将无法访问sessionStorage中的数据。在Web开发中,安全性是非常重要的。
前端token知识梳理:token如何存储token过期如何处理?如何无感刷新token
余浩的博客
06-28 9371
弄两个token,一个负责鉴权得token:access_token,一个负责刷新得token:refresh_token, 每次请求的时候都带上这两个token,后端拦截器判断,先判断鉴权access_token是否有效和过期,如果有效的话,就允许访问。如果过期了,就判断刷新refresh_token是否有效,如果有效,就返回指定状态码,然后让前端根据这个状态码去吊用刷新token接口。如果刷新token失效了,就提示需要重新登录!...
vue在路由中验证token是否存在的简单实现
10-16
今天小编就为大家分享一篇vue在路由中验证token是否存在的简单实现,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vuex存储token示例
10-16
今天小编就为大家分享一篇vuex存储token示例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
vue生成token并保存到本地存储
12-12
首先回顾一下token: token认证是RESTFUL.api的一个很重要的部分,通过token认证和token设置,后端会有一个接口传给前台: http://localhost/yiiserver/web/index.php/token?client_appid=aaa&client_appkey=bbb 其实就是向用户表里去生成一个token 这里的client_id相当于用户名,client_key相当于密码,这样后台会生成一个client_token,我们需要把这个token保存到客户端中。 前端的资源一般放在另外的服务器中,这样后台需要进行进行跨域操作,在php代码中增加头文件
Golang Cookie和Token的使用
01-20
func GetXXX(ctx *gin.Context){ uri:= http://xxxx.com client := &http.Client{} fmt.Println(uri) req:= GetInfo(uri) resp, err := client.Do(req) if err != nil { fmt.Println(访问接口出错) } body := resp.Body defer body.Close() //将接口传回的数据直接返回给前端 io.Copy(ctx.Writer, body) } func GetInfo(url st
204.获取access_token
01-06
access_token存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需定时刷新,重复获取将导致上次获取的access_token失效。 微信提供一个获取access_token的URL   http请求方式: GET ...
前端面试题:Token一般是存放在哪里 Token放在cookie和放在localStorage、sessionStorage中有什么不同
m0_54854317的博客
03-06 9382
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
Token一般存放在哪里?各有什么不同?
qq_30597401的博客
05-24 3054
Token 其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域 3.拿到之后存储在 localStorage 中,每次调用接口的时候放在 HTTP 请求头的 Authorization 字段里 所以to.
在浏览器中存储token的最佳实践
qq_42880714的博客
12-09 1224
在浏览器中存储token的最佳实践
vue 存储token
05-27
在Vue中存储token通常有两种方式: 1. 使用cookie存储token 可以使用js-cookie库将token存储在cookie中,具体代码如下: ``` import Cookies from 'js-cookie' // 存储token Cookies.set('token', token) // 获取token const token = Cookies.get('token') // 删除token Cookies.remove('token') ``` 2. 使用localStorage存储token 可以使用localStorage将token存储在浏览器本地,具体代码如下: ``` // 存储token localStorage.setItem('token', token) // 获取token const token = localStorage.getItem('token') // 删除token localStorage.removeItem('token') ``` 需要注意的是,使用localStorage存储token可能会被恶意程序获取,因此建议在存储时进行加密处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值