我们为什么使用token
随着交互式应用的兴起,我们需要记住用户的信息与数据,但http协议是无状态的,所以传统的解决办法就是基于服务器的验证–session。
为了区分每个用户,服务器为每个客户分配一个会话标识(session id),这个session id将会被保存在服务器上。客户端每次向服务器发请求的时候,都带上这个“会话标识”,服务器就知道这个请求来自于谁。而当用户离开网站后,session会被销毁。
但基于服务器验证有许多弊端(如下):
尤其是在可扩展性方面,因此我们必须找到一种新的方法去解决这个问题。那就是–Token。
Token的基本原理
Token是服务端生成的一串字符串,以作为客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token并将它返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
而基于 Token 的身份验证是无状态的,也就是说我们不用将用户信息存在服务器或 Session 中。这很大程度上解决了传统服务器验证方式带来的弊端。没有 session 信息意味着你的程序可以根据需要去增减服务器,不用去担心用户是否登录和已经登录到了哪里。
流程图:
Token代码实现
(1)登录成功之后,生成一个token令牌
这样它会随机生成一个字符串,这个字符串是根据电脑的状态而来。所以绝对不会重复。
(2)将token存入Redis数据库
利用redisTemplate操作数据库,并且使用opsForValue()方法存储字符串和过期时间。
(3)把token返回给前端
(4)前端通过js对象localStorage(永久性存储),将token保存到客户端
解决跨域问题:(后端允许跨域)
(5)前端通过Ajax请求,带着token(放入请求头中)访问后端接口
(6)后端从请求头中提取token,并且判断token是否存在
即获取用户信息,并判断用户是否存在。若验证成功,返回数据;验证失败,返回登录页面。
*(7)登录退出功能
后端:
拿到请求头中的令牌,并将它从Redis数据库中删除。
前端:
清除客户端中的token,并且跳转到登录页面。
Token的优点
(1)无状态、可扩展
在客户端存储的 token 是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载均衡服务器 能够将用户的请求传递到任何一台服务器上,因为服务器与用户信息没有关联。相反在传统方式中,我们必须将请求发送到一台存储了该用户 session 的服务器上(称为Session亲和性),因此当用户量大时,可能会造成 一些拥堵。使用 token 完美解决了此问题。
(2)安全性
请求中发送 token 而不是 cookie,这能够防止 CSRF(跨站请求伪造) 攻击。即使在客户端使用 cookie 存储 token,cookie 也仅仅是一个存储机制而不是用于认证。另外,由于没有 session,让我们不必再进行基于 session 的操作。
Token 是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过 token revocataion可以使一个特定的 token 或是一组有相同认证的 token 无效。
(3)可扩展性
使用 Tokens 能够与其它应用共享权限。例如,能将一个博客帐号和自己的QQ号关联起来。当通过一个 第三方平台登录QQ时,我们可以将一个博客发到QQ平台中。
使用 token,可以给第三方应用程序提供自定义的权限限制。当用户想让一个第三方应用程序访问它们的数据时,我们可以通过建立自己的API,给出具有特殊权限的tokens。
(4)多平台与跨域
我们已经讨论了CORS (跨域资源共享)。当我们的应用和服务不断扩大的时候,我们可能需要通过多种不同平台或其他应用来接入我们的服务。
可以让我们的API只提供数据,我们也可以从CDN提供服务(Having our API just serve data, we can also make the design choice to serve assets from a CDN.)。 在为我们的应用程序做了如下简单的配置之后,就可以消除 CORS 带来的问题。只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。
Access-Control-Allow-Origin: *
(5)基于标准
有几种不同方式来创建 token。最常用的标准就是 JSON Web Tokens。很多语言都支持它。