每周积累|token令牌

最新推荐文章于 2023-04-17 21:27:17 发布
最新推荐文章于 2023-04-17 21:27:17 发布
阅读量386 收藏
点赞数
文章标签: python php
原文链接:http://www.cnblogs.com/z45-1/p/10891187.html
版权

一.什么是Token?

Token,就是令牌,最大的特点就是随机性,Token是服务端生成的一串字符串,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,

以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。用来验证用户的身份

二.Token的作用

1.防止提交重复表单

2.提供了身份验证的功能(也可以用来防止CSRF)

三.防止CSRF

主要看一下防止CSRF,以DVWA实验环境为例:

在LOW级别里面是可以看到,没有采用任何的方式验证用户的身份,而且参数还是以GET方式传输的。

<?php 
if( isset( $_GET[ 'Change' ] ) ) { 
    // Get input 
    $pass_new  = $_GET[ 'password_new' ]; 
    $pass_conf = $_GET[ 'password_conf' ]; 
    if( $pass_new == $pass_conf ) { 
        // They do! 
        $pass_new = mysql_real_escape_string( $pass_new ); 
        $pass_new = md5( $pass_new ); 
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; 
        $result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' ); 
        echo "<pre>Password Changed.</pre>"; 
    } 
    else { 
        echo "<pre>Passwords did not match.</pre>"; 
    } 
    mysql_close(); 

?>

 

HiGH里面则添加了user_token,用户每次访问改密页面时,服务器会返回一个随机的token,向服务器发起请求时,需要提交token参数,而服务器在收到请求时,会优先检查token,只有token正确,才会处理客户端的请求。

<?php 
if( isset( $_GET[ 'Change' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 
    $pass_new  = $_GET[ 'password_new' ]; 
    $pass_conf = $_GET[ 'password_conf' ]; 
    if( $pass_new == $pass_conf ) { 
        $pass_new = mysql_real_escape_string( $pass_new ); 
        $pass_new = md5( $pass_new ); 
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';"; 
        $result = mysql_query( $insert ) or die( '<pre>' . mysql_error() . '</pre>' ); 
        echo "<pre>Password Changed.</pre>"; 
    } 
    else { 
        // Issue with passwords matching 
        echo "<pre>Passwords did not match.</pre>"; 
    } 

    mysql_close(); 

generateSessionToken(); 
?> 

 

转载于:https://www.cnblogs.com/z45-1/p/10891187.html

anma5413
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用令牌token,来避免跨站请求伪造(CSRF)攻击
yiyun88的专栏
11-30 1118
在涉及到关键业务操作的web页面,应为当前web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造(CSRF)等攻击。 1、在公共JS中定义一个function 用来生成token ,然后将生成的token赋值给JSP里的隐藏域&lt;input id="tokenV...
axios -- 需要授权的API 提供 token令牌
weixin_44852765的博客
09-26 1486
需要授权的api , 必须在请求头中使用authorization 字段提供的token令牌 后台除了登录接口之外,都需要token权限验证,我们可以通过添加axios请求拦截器来添加token,以保证拥有获取数据的权限 在main.js中添加代码,在将axios挂载到vue原型之前添加下面的代码 注: 记得安装该插件 //请求在到达服务器之前,先会调用use中的这个回调函数来添加请求头信息 ax...
Vue_shop学习24:通过接口获取菜单数据
weixin_47295886的博客
04-17 157
需要授权的 API ,必须在请求头中使用 `Authorization` 字段提供 `token` 令牌 除了登录的其他都需要授权。console.log(config.headers.Authorization) 目前是空的 因为刚登录。axios的interceptors属性,requset请求拦截器(发送请求前做一个预处理,再发送给服务器)通过axios请求拦截器添加token,保证拥有获取数据的权限。
需要授权的 API ,必须在请求头中使用 Authorization 字段提供 token 令牌
wanghuohuo1998的博客
06-21 4992
需要授权的 API ,必须在请求头中使用 添加字段 需要授权的 API ,必须在请求头中使用 Authorization 字段提供 token 令牌 实现方法 通过 axios 请求拦截器添加 token,保证拥有获取数据的权限 // axios请求拦截器 axios.interceptors.request.use(config => { //为请求头对象,添加Token 验证的Authorization 字段 config.headers.Authorization = window.sess
DVWA系列(四)----Command Injection (命令行注入)
fendo
02-10 2万+
一、攻击模块2:Command Injection(命令注入)       命令注入攻击的常见模式为:仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码,而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。        PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeC
JwtToken令牌工具类
最新发布
10-25
JwtToken令牌工具类
创建token令牌的算法示例
12-30
`Token`机制作为一种现代的身份验证方式,被广泛应用,以提高用户认证的安全性和灵活性。本文将深入探讨如何在Java环境中创建和使用`Token`,以及其背后的算法原理。 首先,我们需要理解什么是`Token`。`Token`是一...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
C# Web用户令牌Token)验证是一种常见的方式,用于防止未经授权的HTTP请求,如GET和POST,确保数据的安全传输。本技术介绍将深入探讨如何使用C#实现令牌验证机制,并结合Nginx集群与SSL证书来增强WebAPI的安全性。...
Vue axios获取token临时令牌封装案例
10-14
在本文中,我们将探讨如何在Vue项目中使用axios进行token的获取与管理,特别是在处理临时令牌封装的情况。首先,我们来看一下为什么需要进行这样的封装。 在许多现代Web应用中,特别是涉及到安全性较高的场景,前端...
PHP令牌 Token改进版
10-30
那个版本中,存在一个小问题,因为要做可逆加密,而加密出来的字符是不可显示字符+乱码,所以我用了 base64对其进行了处理,这样一来,就不会有乱码和不可显示字符了。
Token令牌的原理及使用
清颖的博客
06-22 5903
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
token令牌生成工具类
苏笙
06-11 2万+
这里记录一个生成token的方法,token根据userId生成。此工具类包含的主要功能有:    userId隐式传输,保证数据安全;    不对称加密方式,防止数据篡改;import java.io.UnsupportedEncodingException; import java.util.Base64; import java.util.Random; import java.util.r...
Java实现登录token令牌
我是老伯的博客
03-19 1万+
用户信息登录使用token令牌,使得用户有单独得信息
生成随机token的一种方法
彭先森的博客
09-09 1万+
在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌) 一种作用:通过对比客户端和服务器的token,来防止表单重复提交 生成token的代码 public class TokenProccessor { /* *单例设计模式(保证类的对象在内存中只有一个) *1、把类的构造函数私有 *2、自己创建一个类的对象 *3、对外提供一...
token生成算法 java_生成随机token的一种方法
weixin_39937447的博客
02-16 1728
在服务器端生成一个唯一的随机标识号,专业术语称为Token(令牌)一种作用:通过对比客户端和服务器的token,来防止表单重复提交生成token的代码public class TokenProccessor {/**单例设计模式(保证类的对象在内存中只有一个)*1、把类的构造函数私有*2、自己创建一个类的对象*3、对外提供一个公共的方法,返回类的对象*/private TokenProccesso...
令牌简介及原理(Token)
岁月净好
11-29 1万+
令牌(Token)就是系统的临时密钥,相当于账户名和密码,用来决定是否允许这次请求和判断这次请求时属于哪一个用户的.它允许你不提供密码或其他凭证的前提下,访问网络和系统资源.这些令牌将持续存在于系统中,除非系统重新启动.   令牌最大的特点就是随机性,不可预测,一般黑客或软件无法猜测出来,令牌有很多种,比如访问令牌(Access Token)表示访问控制操作主题的系统对象;密保令牌(Security token),又叫作认证令牌或者硬件令牌,是一种计算机身份校验的物理设备,例如U盾;会话令牌(Session
web安全之token
weixin_33739627的博客
07-07 662
参考:http://blog.csdn.net/sum_rain/article/details/37085771   Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过ses...
什么是Token(令牌
热门推荐
阿狸来了,哇咔咔
10-16 5万+
Acess Token 访问资源接口(API)时所需要的资源凭证 简单token 的组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串) 特点: 服务端无状态变化、可扩展性好 支持移动端设备 安全 支持跨域程序调用 token 的身份验证流程 客户端使用用户名和密码进行登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个token 并把这个token
let b = (token == null || token == undefined || token == '') 为什么当token=null是b的结果是false
06-08
在JavaScript中,当使用双等号进行比较时,如果比较的两个值类型不同,JavaScript会尝试将...因此,当token为null时,它会被视为undefined,并且与空字符串进行比较时,结果为false。因此,整个表达式的结果为false。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值