1 Token的含义
Token的引入
:客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token
便应运而生。
Token
是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
使用Token的目的
:为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
Token 的优点
:扩展性更强,更安全,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,意思就是,你拿着这个令牌,才能过一些关卡。
Token使用的场景
:
- 防止表单重复提交
- CSRF攻击(跨站点请求伪造)
- 身份验证(单点登录)
2 如何使用Token?
2.1 方式一:用设备号/设备mac地址作为Token
步骤:
客户端
在登录的时候获取设备的设备号/mac地址,并将其作为参数传递到服务端。服务端
接收到该参数后,便用一个变量来接收同时将其作为Token保存在数据库,并将该Token设置到session中,客户端每次请求的时候都要统一拦截,并将客户端传递的token和服务器端session中的token进行对比,如果相同则放行,不同则拒绝。- 此刻客户端和服务器端就统一了一个唯一的标识Token,而且保证了每一个设备拥有了一个唯一的会话
优点
客户端不需重新登录,只要登录一次以后一直可以使用,若服务器的Token超时,服务器只需将客户端传递的Token向数据库中查询,同时并赋值给变量Token,如此,Token的超时又重新计时。
缺点
:客户端需要带设备号/mac地址作为参数传递,而且服务器端还需要保存
2.2 方式二:用session值作为Token
步骤:
客户端
只需携带用户名和密码登陆即可- 服务器端接收到用户名和密码后并判断,如果正确,就将本地获取sessionID作为Token返回给客户端,客户端以后只需带上请求数据即可。
- 分析:这种方式使用的好处是方便,不用存储数据,但是缺点就是当session过期后,客户端必须重新登录才能进行访问数据。
优点
:方便,不用存储数据
缺点
:当session过期后,客户端必须重新登录才能进行访问数据。
3 基于 Token 的身份验证方法
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程如下
:
- 客户端使用用户名跟密码请求登录
- 服务端收到请求,去验证用户名与密码
- 验证成功后,服务端会签发一个 Token,再把这个 Token发送给客户端
- 客户端收到 Token 以后可以把它存储起来,比如放在Cookie 里或者 Local Storage 里
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
- 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据