token理解

最新推荐文章于 2023-12-09 12:15:32 发布

浪流人

最新推荐文章于 2023-12-09 12:15:32 发布

阅读量278

点赞数

分类专栏： WEB 文章标签： java servlet 前端

本文链接：https://blog.csdn.net/RUBGH/article/details/127320585

版权

WEB 专栏收录该内容

22 篇文章 1 订阅

订阅专栏

1：首先，先了解一下request和session的区别
request 指在一次请求的全过程中有效，即从http请求到服务器处理结束，返回响应的整个过程，存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件，以及和当前web组件共享同一用户请求的web组件。如：被请求的jsp页面和该页面用指令包含的页面以及标记包含的其它jsp页面；
Session是用户全局变量，在整个会话期间都有效。只要页面不关闭就一直有效（或者直到用户一直未活动导致会话过期，默认session过期时间为30分钟，或调用HttpSession的invalidate()方法）。存放在HttpSession对象中，同一个http会话中的web组件共享它。
2：token主要有两个作用：①：防止表单重复提交(防止表单重复提交一般还是使用前后端都限制的方式，比如：在前端点击提交之后，将按钮置为灰色，不可再次点击，然后客户端和服务端的token各自独立存储，客户端存储在Cookie或者Form的隐藏域（放在Form隐藏域中的时候，需要每个表单）中，服务端存储在Session（单机系统中可以使用）或者其他缓存系统（分布式系统可以使用）中。)
//在页面初始化的时候调用后端代码像前端返回token
public String initLogin(ModelMap model, HttpSession session, String loginUrl) {

  model.put("extLoginView", clientManager.getExtLoginView());

     // 生成token

  String token = UUID.randomUUID().toString().substring(0,16);

  model.put(LOGIN_TOKEN, token);

//返回地址与方法的  String loginUrl一致，即初始化的时候调用完方法后，又回到初始化页面

return loginUrl;

}

②：用来作身份验证
3：防止表单重复提交，主要的理念是，客户端初始化的时候，一般就是刚刚进入页面的时候就调用后端代码，后端代码生成一个token,返回给客户端，客户端储存token（可以在前台使用Form表单中使用隐藏域来存储这个Token，也可以使用cookie）,然后就将request(请求)中的token与（session）中的token进行比较：

//跳转到添加页面

@RequestMapping("/add.do")

public String add(HttpServletRequestrequest,HttpServletResponse response){

    //生成token

    UUID token=UUID.randomUUID();

    System.out.println("token的值"+token);

    //放入session中

    request.getSession().setAttribute("token",token.toString());

    //放入request作用域中传到前台

    request.setAttribute("token",token);

    return "add";

}

//前台穿过来的token进行比对

@RequestMapping("/addMessage.do")

public synchronized String addMessage(HttpServletRequest request){

    //获取session中的token

    Objecttoken1=request.getSession().getAttribute("token");

    //获取前台穿过来的token

    String token=request.getParameter("token");

    System.out.println("token1的值"+token1);

    if(token1==null){

        System.out.println("提交出错");

    }

    else if(!token1.equals(token)){

        System.out.println("提交出错");

    }else{

        System.out.println("提交成功");

        //移除session 防止重复提交

       request.getSession().removeAttribute("token");

    }     return "";

}

4：使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的：

客户端使用用户名跟密码请求登录
服务端收到请求，去验证用户名与密码
验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端
客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里
客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据

App登录
除了布局之外，登录功能也是项目的一大难点，主要说一下token

第一步：token
在计算机身份认证中是令牌（临时）的意思，在词法分析中是标记的意思。一般作为邀请、登录系统使用。主要作用是确认用户的身份，帮助用户保护个人信息。

使用起来十分简单，只需要在发送登录请求时将后台返回的token令牌保存到本地就可以了

window.sessionStorage.setItem(“token”, data.data.remember_token);

一般使用的sessionStorage，相对于 localStorage来说更加的安全
第二步：token验证
获取token后需要验证在请求拦截中进行本地token的验证，如果存在将其存入到请求头中

axios.interceptors.request.use((config) => {
// token验证请求
if (window.sessionStorage.getItem(‘token’)) {
config.headers.Authorization = ${window.sessionStorage.getItem(‘token’)}
}
return config
})

如果在用户在同一页面存在时间过久没有操作就说明用户离开了，为了防止其他人获取用户信息需要在响应拦截进行验证

axios.interceptors.response.use(config => {
// token验证响应
if (config.data.code == 400) {
window.sessionStorage.removeItem(“token”)
}
return config
})

当用户没有进行登录时需要强制跳转到登录页面进行登录使用路由钩子进行跳转

if ( !window.sessionStorage.getItem(“token”)) {
next(“/Login”)
}