Token的作用及实现原理、Request、Session

最新推荐文章于 2024-04-23 10:39:01 发布
最新推荐文章于 2024-04-23 10:39:01 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 计算机安全、认证授权等 Java Web
原文链接:https://blog.csdn.net/qq_32784541/article/details/79655146
版权

https://blog.csdn.net/qq_32784541/article/details/79655146

request和session的区别
  1. request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp页面和该页面用指令包含的页面以及标记包含的其它jsp页面;
  2. Session是用户全局变量,在整个会话期间都有效。只要页面不关闭就一直有效(或者直到用户一直未活动导致会话过期,默认session过期时间为30分钟,或调用HttpSession的invalidate()方法)。存放在HttpSession对象中 ,同一个http会话中的web组件共享它。
Token的两个作用:防止表达重复提交和身份认证
  1. 防止表单重复提交(防止表单重复提交一般还是使用前后端都限制的方式,
    比如:在前端点击提交之后,将按钮置为灰色,不可再次点击,
    然后客户端和服务端的token各自独立存储,客户端存储在Cookie或者Form的隐藏域(放在Form隐藏域中的时候,需要每个表单)中,服务端存储在Session(单机系统中可以使用)或者其他缓存系统(分布式系统可以使用)中。)
  2. 在页面初始化的时候后端向前端返回Token
public String initLogin(ModelMap model, HttpSession session, String loginUrl) {

      model.put("extLoginView", clientManager.getExtLoginView());

         // 生成token

      String token = UUID.randomUUID().toString().substring(0,16);

      model.put(LOGIN_TOKEN, token);

    //返回地址与方法的  String loginUrl一致,即初始化的时候调用完方法后,又回到初始化页面

	return loginUrl;

}
  1. 如何防止表单重复提交
    防止表单重复提交,主要的理念是,
    客户端初始化的时候,一般就是刚刚进入页面的时候就调用后端代码,后端代码生成一个token,返回给客户端
    客户端储存token(可以在前台使用Form表单中使用隐藏域来存储这个Token,也可以使用cookie),然后就将request(请求)中的token与(session)中的token进行比较:
	//跳转到添加页面
    @RequestMapping("/add.do")
    public String add(HttpServletRequestrequest,HttpServletResponse response){
        //生成token
        UUID token=UUID.randomUUID();
        System.out.println("token的值"+token);
        //放入session中
        request.getSession().setAttribute("token",token.toString());
        //放入request作用域中传到前台
        request.setAttribute("token",token);
        return "add";
    }

    //前台穿过来的token进行比对
    @RequestMapping("/addMessage.do")
    public synchronized String addMessage(HttpServletRequest request){
        //获取session中的token
        Objecttoken1=request.getSession().getAttribute("token");
        //获取前台穿过来的token
        String token=request.getParameter("token");
        System.out.println("token1的值"+token1);
        if(token1==null){
            System.out.println("提交出错");
        }
        else if(!token1.equals(token)){
            System.out.println("提交出错");
        }else{
            System.out.println("提交成功");
            //移除session 防止重复提交
           request.getSession().removeAttribute("token");
        }   
        return "";
    }
  1. 基于 Token 的身份验证方法
  • 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
  • 客户端使用用户名跟密码请求登录
  • 服务端收到请求,去验证用户名与密码
  • 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  • 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  • 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  • 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
  1. ajax中传递token的几种方式
    方法一:放在请求头中
    在这里插入图片描述
$.ajax({
    type: "POST",
    headers: {
        Accept: "application/json; charset=utf-8",
        userToken: "" + userToken
    },
    url: "/index",
    data: JSON.stringify(mytable.params),
    contentType: "application/json",
    dataType: "json",
    success:function(data){
                    
    },error:function(data){
                    
    }
});

方法二:使用beforeSend方法设置请求头

在这里插入图片描述

$.ajax({
    type: "POST",
    url: "/index",
    data: JSON.stringify(mytable.params),
    contentType: "application/json",
    dataType: "json",
    beforeSend: function(request) {                
               request.setRequestHeader("Authorization", token);
    },
    success: function(data) {

    },
    error: function(data) {

    }
});
zehuawong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP token验证生成原理实例分析
10-16
可以将Token保存在服务器的session中,或者在数据库中与用户会话关联。在这个例子中,由于没有显示存储过程,我们假设Token会被存储到某个地方,以便稍后验证。 3. **发送Token**:服务器将生成的Token发送给客户端...
Spring Security OAuth2 源码分析(三) TokenServices
咖啡的博客
03-20 2193
TokenGranter 获取 Token 的最后一步中, 调用了 tokenServices 的 createAccessToken 方法,源码如下: protected OAuth2AccessToken getAccessToken(ClientDetails client, TokenRequest tokenRequest) { return tokenServices.cr...
获取Request Token
lj102800的专栏
10-31 5047
获取Request Token步骤 使用 Oauth-signpost项目 生成 consumer = new CommonsHttpOAuthConsumer(Constants.CONSUMER_KEY, Constants.CONSUMER_SECRET); provider = new CommonsHttpOAuthProvider(Constants.REQUEST_URL,
Cookie、SessionToken 的区别与用途
最新发布
ProgramNovice的博客
04-23 1107
Cookie、SessionToken 的区别与用途
requesttoken鉴权
guiyin1150的博客
10-21 3190
根据接口文档要求,充值需先登录获取token,然后充值时在请求头需加上 token值 import requests # 登录接口 #token放到什么地方 #token可以放到请求体当中?根据接口文档,只是一种协议,开发人员和你之间定义的协议 #cookies 可以放到请求体当中?http协议 url = 'http://120.78.128.25:8766/futureloan/member/login' headers = {"X-Lemonban-Media-Type":"lemonban.v2
2. request 模块:token 应用-概述、获取、管理
weixin_30675967的博客
03-31 337
摘要 head(用sessiong管理 头部或cookie,) body url地址里 cookie或其他位置 一、token概述 1、摘自百度介绍 Token, 令牌,代表执行某些操作的权利的对象 访问令牌(Access token)表示访问控制操作主体的系统对象 邀请码,在邀请系统中使用 Token, Petri 网(Petri net)理论中的Token 密保令牌(Se...
day73-02 cookie与session组件 1
xiaoyurainzi的博客
10-21 181
目录1 会话跟踪技术什么是会话跟踪会话路径技术使用Cookie或session完成2 cookie介绍什么是cookiecookie的原理Cookie规范Cookie的覆盖在浏览器中查看cookie3 Django中操作Cookie获取Cookie设置Cookie删除CookieCookie版登录校验4 SessionSession的由来Django中Session相关方法Django中的Session配置CBV中加装饰器 1 会话跟踪技术 什么是会话跟踪 我们需要先了解一下什么是会话!可以把会话理解为客户
接口测试requests库,cookie、token认证
Strive_0902的博客
12-18 1673
接口测试requests库,cookie、token认证
关于处理异步后台调用接口问题及异步调用远程接口无法获取token问题处理
鹏神丶明月天
05-08 1171
其中用到了一个异步线程共享token的工具类,也就是在调用异步方法之前,将获取到的token先塞进当前的线程。同时需要添加一个接口的token拦截器,获取token。这是简单的不涉及异步方法在调用远程接口的实现。便是需要异步执行的具体方法。
node实现基于token的身份验证
08-27
"Node实现基于Token的身份验证" Node.js是目前最流行的服务器端编程语言之一,而身份验证是 Node.js 应用程序中最重要的部分之一。本文将主要介绍 Node.js 实现基于 Token 的身份验证,并对 Token 验证机制进行详细...
PHP实现防止表单重复提交功能【基于token验证】
10-18
$return = $_REQUEST['token'] === $_SESSION['token'] ? true : false; set_token(); // 提交后重新生成token return $return; } // 检查是否已存在token,不存在则生成 if(!isset($_SESSION['token']) || $_...
微信小程序request消息头中添加token(在token自动更新的基础上)
Job_class的博客
04-25 7031
这也是我第一次完完整整的肚子写完一个微信小程序,首先我觉得有必要总结的就是request请求要注意的小坑。一般request都要求携带token,所以先从获取token写起: 获取token:直接上代码 bindGetUserInfo: function (e) { var that=this if (that.data.userName.length == 0 || that.data.userpwd.length == 0) { wx.showToast({ title: '账号或.
Servlet 会话管理详解(HttpSessionToken和Cookie)
swadian2008的博客
03-01 2595
会话(session)是指用户与服务器之间的一种交互模式,也称为服务器端会话(server-side session)或会话状态(session state)。在 Web 开发中,会话可以在用户登录网站时创建,并在用户退出或超时时结束。在会话期间,服务器可以在不同的页面之间共享数据,并跟踪用户的行为。会话的实现通常使用 session ID 来标识一个会话。
java后端配置token
qq_62240380的博客
04-12 1765
/ 1 设置访问源地址 corsConfiguration . addAllowedHeader("*");// 2 设置访问源请求头 corsConfiguration . addAllowedMethod("*");// 3 设置访问源请求方法 source . registerCorsConfiguration("/**" , corsConfiguration);// 4 对接口配置跨域设置 return new CorsFilter(source);} }
获取token的一些方法
qq_35862393的博客
11-05 1万+
1.通过cookie private String getUserCookieToken(HttpServletRequest request) { Cookie[] cookies = request.getCookies(); if (cookies == null || cookies.length == 0) { return ...
SpringSecurity OAuth2 获取Token端点TokenEndpoint、Token授权TokenGranter接口 详解
热门推荐
向心行者
01-09 1万+
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时知道,当授权端点AuthorizationEndpoint生成授权码时,就会重定向到客户端的请求地址,这个时候,客户端就会拿着授权码再来授权服务器换取对应的Token,这篇内容,我们就详细分析如何使用授权码code换取Token的。在前面文章中,我们可以了解到客户端是通过“/oauth/token”来换取token的,该接口对应TokenEndpoint类的postAccessToken()方法,我们这篇文章就围绕
python+request获取登录的token变量
Gina61的博客
01-25 2249
接口测试登录的时候,会返回token之类的身份认证的参数,访问其他接口的时候就需要使用这个token参数,但是token这一类参数不是固定的,所有我们需要动态获取token的值。 首先访问接口获取token的值 把token1设置成为全局参数,使用global 编写需要使用token参数的接口 这就是如何获取动态token参数的值的方法了。 测试的接口代码 接口测试工具推荐使用国产接口测试和接口文档生成工具apipost ...
06_request接口请求处理cookie鉴权token鉴权问题
qq_44867658的博客
07-04 743
cookie token 鉴权处理
登录流程-token、cookie与request.getHeader实现登录
weixin_44610169的博客
11-01 1184
在登录页面,当我们输入用户名与密码后,通过点击登录按钮,我们就会调用按钮绑定的登录方法,我们的登录接口会使用JWT工具返回一个token,我们需要引入js-cookie包,将token设置到cookie中去。
ruoyi thyeleaf token实现
05-16
String sessionToken = (String)request.getSession().getAttribute("token"); if(token == null || !token.equals(sessionToken)){ // Token验证失败 } ``` 这样就可以在Ruoyi和Thymeleaf中实现Token验证了。需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值