Token传输方式一览:请求头传递Header(Bearer Token、OAuth2.0、OpenID Connect)、URL参数传递、HttpOnly Cookie传输、请求体传递

原创 已于 2025-08-28 14:20:16 修改 · 726 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Token

于 2025-08-28 14:03:44 首次发布

文章目录


在Web开发中, Token的传输方式主要有以下几种,每种方式适用于不同的场景和安全需求。以下是常见的传输方式及其优缺点分析:

1. 请求头传递(Header)

常用方式

- Bearer Token:通过 Authorization 请求头传递,格式为:

Authorization: Bearer <token>

- OAuth 2.0 标准:广泛用于 API 调用,是 RESTful API 的推荐方式。

优点

- 安全性高:请求头通常不会被浏览器缓存或记录在服务器日志中(尤其是 HTTPS 下)。

- 标准化:符合 OAuth 2.0、OpenID Connect 等标准,兼容性好。

- 避免 URL 泄漏:Token 不暴露在 URL 中,减少通过日志或浏览器历史泄露的风险。

缺点

- 手动管理:需要客户端(如前端或移动端)手动添加请求头,对浏览器自动管理的 Cookie 不友好。

- 复杂性:需处理跨域请求(CORS)时的 Header 配置。

适用场景

- API 调用(如前后端分离的 Web 应用、移动应用)。

- 微服务间通信(服务间调用需严格安全控制)。

2. URL 参数传递(Query Parameter)

方式

- 将 Token 作为 URL 的查询参数传递,例如:

GET /api/data?access_token=xxx

优点

- 简单直接:易于实现,适合快速调试或简单场景。

- 兼容性好:所有 HTTP 客户端均支持。

缺点

- 安全性低:Token 可能被记录在浏览器历史、服务器日志或代理缓存中。

- 长度限制:URL 有长度限制,不适合传输较长的 Token。

- 易受 CSRF 攻击:需额外防护(如 SameSite Cookie 或 CSRF Token)。

适用场景

- 临时调试内部工具(非生产环境)。

- 不涉及敏感数据的场景(如公开 API)。

3. Cookie 传输

方式

- 将 Token 存储在 Cookie 中,服务器通过 Set-Cookie 头返回,浏览器自动附加到后续请求的 Cookie 头中。

Set-Cookie: token=xxx; HttpOnly; Secure

优点

- 自动管理:浏览器自动处理 Cookie 的存储和传输,无需客户端手动处理。

- 安全性增强:可设置 HttpOnly(防止 XSS)、Secure(仅 HTTPS 传输)、SameSite(防止 CSRF)等属性。

缺点

- CSRF 风险:需配合 CSRF Token 或 SameSite=Strict/Lax 使用。

- 扩展性差:Cookie 通常绑定到域名,跨域场景需额外配置(如 CORS)。

适用场景

- 传统 Web 应用(如 PHP、Java 服务端渲染页面)。

- 需要浏览器自动管理 Token 的场景(如单页应用 SPAs)。

4. 请求体传递(Request Body)

方式

- 将 Token 放在 HTTP 请求体(Body)中,通常用于 POST 请求:

POST /api/login
{
  "token": "xxx"
}

优点

- 避免 URL 泄漏:Token 不暴露在 URL 中。

- 灵活:可自定义字段名(如 AuthorizationX-Token 等)。

缺点

- 仅限 POST/PUT 等方法:GET 请求无法在 Body 中传递 Token。

- 需手动处理:客户端需显式构造请求体,兼容性不如 Header。

适用场景

- 自定义 API 协议(非标准接口)。

- 特定业务需求(如需在 Body 中携带额外信息)。

5. 其他方式

混合方式

- Header + Cookie:结合两种方式,例如:

  • 使用 Cookie 存储 Refresh Token(长时效),Header 传递 Access Token(短时效)。
  • 刷新 Token 时需验证 Cookie 中的 Refresh Token。

WebSocket

- 在 WebSocket 握手时通过 Header 或 URL 参数传递 Token。

哪种方式最常用?

主流选择

1. 请求头(Bearer Token)

  • 最常用:符合 OAuth 2.0 标准,广泛用于 API 调用和微服务通信。
  • 推荐场景:前后端分离、移动端、微服务架构。

2. Cookie

  • 次常用:适合传统 Web 应用,需注意安全配置(HttpOnly、Secure、SameSite)。
  • 推荐场景:服务端渲染页面、需要浏览器自动管理 Token 的场景。

不推荐的场景

- URL 参数:仅用于非敏感或临时场景。

- 请求体:仅在特殊需求下使用(如自定义协议)。

安全建议

1. 优先使用 HTTPS:无论哪种方式,HTTPS 是基础。

2. 避免 URL 暴露 Token:禁用查询参数传递敏感 Token。

3. 设置 Cookie 属性

  • HttpOnly:防止 XSS。
  • Secure:仅 HTTPS 传输。
  • SameSite=Strict/Lax:防止 CSRF。

4. 定期刷新 Token:短时效 Access Token + 长时效 Refresh Token 机制。

总结对比表

传输方式安全性自动管理适用场景常用程度
请求头(Bearer)✅ 高❌ 否API 调用、微服务⭐⭐⭐⭐⭐
Cookie✅ 中✅ 是传统 Web 应用、SPAs⭐⭐⭐⭐
URL 参数❌ 低✅ 是临时调试、非敏感场景
请求体✅ 中❌ 否自定义 API 协议
混合方式✅ 高部分需要刷新 Token 的场景⭐⭐⭐

根据具体场景和安全需求选择合适的传输方式,通常 请求头(Bearer Token) 是最安全且广泛采用的方案。

【Postman】获取tokenheader中添加token发送请求
随便写写
05-13 1万+
目录0.说明1.创建测试环境2.创建两个接口3.接口1:登录获取token3.1接口参数3.2.1 注意事项:因为jeecg的请求方式和普通的post请求有些不同,所以使用下图2传参方式3.2.2 注意事项:获取验证码ID,登录页面F12,可查看:3.2.3 注意事项:将获取到的token保存到测试环境,这个是写在postman的代码4.接口2:发送请求携带token4.1接口参数 0.说明 项目为jeecg boot项目,项目官网http://www.jeecg.com/, 此博客为将jeecg的接口使
登录机制彻底讲透:Cookie、Session、Token、JWT、OAuth2OAuth2.1、Refresh Token、黑名单、SSO 完整指南
最新发布
一起修行,不孤单。这里有编程语言、开发工具、学习方法论和踩坑笔记。用简单的话说复杂的事,陪你从小白到进阶。周更干货,欢迎一起成长!
11-19 815
HTTP 是无状态的,所以需要身份凭证。Cookie 自动携带,Session 存在服务器。Session 适合传统 Web,不适合微服务。Token 自己传,跨域友好,可用于 APP。JWT 是最流行 Token,无状态,可扩展。JWT 缺陷:无法主动失效 → 需要 Refresh Token / 黑名单。JWT 是最佳选择。网关统一验证 JWT。OAuth2 是授权框架,不是认证协议。SSO 通常基于 OAuth2/OIDC + JWT。
Token令牌传递
flower killer
05-14 3599
我们为什么使用token 随着交互式应用的兴起,我们需要记住用户的信息与数据,但http协议是无状态的,所以传统的解决办法就是基于服务器的验证–session。 为了区分每个用户,服务器为每个客户分配一个会话标识(session id),这个session id将会被保存在服务器上。客户端每次向服务器发请求的时候,都带上这个“会话标识”,服务器就知道这个请求来自于谁。而当用户离开网站后,session会被销毁。 但基于服务器验证有许多弊端(如下): 尤其是在可扩展性方面,因此我们必须找到一种新的方法去解决
Python接口自动化之使用token传入到header消息头中
2401_83396023的博客
03-21 1084
python里面有个全局变量global,但这个只是针对于在同一个.py里才有效,跨脚本就不起作用了。2.token传入到unittest的Setup函数中。3.最后将token传入到header中。1.获取token需要调通登录接口。1、json解析提取。2、正则提取json。
python接口自动化之使用token传入到header消息头中
软件测试技术交流分享
03-14 1853
(1)创建登录请求获取token
Vue实现loading加载动画
沃德天,倪维胜么,捺莫帅?
10-07 2446
Vue实现loading加载动画 1.在main.js里引入axios import axios from "@/http/index.js" 2. 在vuex中设置状态 state: { isLoading: false }, 3.配置拦截器 import axios from 'axios' import store from '@/store'//vuex的路径 var instance =axios.create({ baseURL:'', timeout:
OAuth 2.0 协议实现方案
weixin_49199313的博客
07-05 1165
​​安全授权​分离认证与授权避免密码共享细粒度权限控制​​标准化协议​RFC 6749 标准定义多种授权模式广泛生态系统支持​​可扩展性​PKCE 增强安全性OpenID Connect 身份层设备流支持​​最佳实践​JWT 自包含令牌令牌轮转与撤销安全头防护​​实施建议​优先使用授权码模式 + PKCE实现令牌自省和撤销端点使用非对称加密签名令牌定期轮换签名密钥监控异常令牌使用。
应用的认证和授权(基本认证、session-cookie认证、token认证及OAuth2.0授权)
you are sherlocked by me!
04-13 2055
前后端常见鉴权方式: 基于cookie认证: HTTP Basic Authentication基本认证 session认证 token(令牌)认证 JWT(JSON Web Token)
登录机制五兄弟关系大揭秘:Cookie、Session、Token、JWT、OAuth2实战指南
我爱娃哈哈的专栏
11-01 790
掌握登录认证机制,核心不是记住所有技术细节,而是理解每种机制的适用场景和优缺点:适用于传统Web应用,简单可靠Token/JWT:适用于分布式和微服务架构,无状态扩展性好OAuth2:适用于第三方登录和授权场景,标准化安全好的认证系统不是一次到位的,而是在实践中不断优化的。从满足基本需求开始,根据实际情况逐步完善,最终你也能构建出安全可靠的认证体系!认证机制只是系统安全的一部分,后续我们还会分享更多安全和优化的实战技巧,记得关注我们的公众号"服务端技术精选"!觉得这篇文章对你有帮助吗?
OAuth 2.0 前端测试模板项目
这一点在实际开发中极为关键——许多开发者容易混淆 OAuthOpenID Connect,而本项目通过纯粹的 OAuth 实现有助于厘清这一概念边界。 “Web安全”强调了在整个授权流程中对敏感信息(如授权码、访问令牌)的保护...
前端获取存储的本地token传输给后端
little_orange_0的博客
06-17 1976
局部headers获取token传递给后端
请求头token
freedms的博客
04-17 2993
请求头token
token传参方式
不是秋刀鱼的秋的博客
07-11 6000
token传递方式分为参数传递请求头header)中传递两种 客户端发送请求(带有token),后台GateWay担任Security_OAuth2的资源服务器,对请求进行拦截,如下 springSecurityFilterChain 是springSecurity的filter @Bean SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { //认证处理器 ReactiveAuthentica
设置token请求头
m0_68935893的博客
10-18 512
【代码】设置token请求头
Jmeter参数传递方式(token传递,接口关联等)
weixin_42781971的博客
07-30 6156
Jmeter的参数传递从线程组的维度分为线程组内和多个线程组之间的传递,因为每个线程组之间是独立运行的,所以多个线程组之间传递需要用到beashell后置处理器将提取的参数设置为全局变量。
请求头添加token
热门推荐
siyuechangmeng的博客
04-13 2万+
1. 在登录成功的then中,后端会返回token,此时将token设置到用户信息中存储 localDataUser.set({ token: xxx }); 2. 在请求拦截器中,设置token请求头 service.interceptors.request.use((config) => { const userData = localDataUser.get(); config.headers.token = userData.token; }) 3. 也可以
请求头token的配置
m0_51502610的博客
03-27 520
2.如果token在SessionStoragee。1.如果token在LocalStorage。前端已经解决,后端最好配置全局跨域。首先要引入vue-cookie
前端项目中将Token存储在请求头(Authorization)
weixin_45182118的博客
08-23 1万+
1.将数据存储在Vuex中管理 export default new Vuex.Store({ state: { // 存储token Authorization: localStorage.getItem('Authorization') ? localStorage.getItem('Authorization') : '' }, mutations: { // 修改token,并将token存入localStorage changeLogin (st
请求头中携带token
xiaoxiao1777的博客
05-12 1万+
规则:除过登录接口,其余接口都要携带token 哪里携带呢? 需要授权的API,必须在请求头中使用Authorization字段获取token值 如何在请求头中携带呢? 使用axios的请求拦截器 axios.interception.request.user(config => { config.headers.Authorization = window.sessionStorage.getItem('token') return config }) ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dontla

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值