1. token 其实就是访问资源的凭证,一般是用户通过用户名和密码登录成功之后,服务器将登录凭证做数字签名,加密之后得到的字符串作为token
2. token用在用户登录城后之后会返回给客户端,
3. token主要存储有:
3.1 存储在localStorage、sessionStorage中,每次调用接口的时候发送给服务端(每次调用接口放在HTTP请求头的Authorization字段里)
优点:可以跨域
缺点:没有任何安全防御,很容易受到xss攻击(简单理解在输入框输入js代码)导致token被盗取,因此要做好xss防御
3.2 存储在cookie中,可以自动发送给服务端
优点:可以指定httponly,来防止xss,也可以指定secure,来保证token只能在HTTPS下传输
缺点:不能跨域,而且不符合Restful最佳实践,易受CSRF攻击(简单来说攻击者盗用已经认证过的用户信息,以用户的名义进行一些操作(发邮件、转账等)CSRF不能拿到用户信息,他只是盗用用户的凭证去进行操作)。
什么是token token用在哪 token放在哪比较好
最新推荐文章于 2024-06-27 12:55:49 发布