Token令牌传递

最新推荐文章于 2024-01-18 10:06:17 发布
最新推荐文章于 2024-01-18 10:06:17 发布
阅读量3.2k 收藏 7
点赞数 2
分类专栏: JavaWeb 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/countyo/article/details/106111323
版权

我们为什么使用token

随着交互式应用的兴起,我们需要记住用户的信息与数据,但http协议是无状态的,所以传统的解决办法就是基于服务器的验证–session。
为了区分每个用户,服务器为每个客户分配一个会话标识(session id),这个session id将会被保存在服务器上。客户端每次向服务器发请求的时候,都带上这个“会话标识”,服务器就知道这个请求来自于谁。而当用户离开网站后,session会被销毁。
基于服务器验证有许多弊端(如下)
在这里插入图片描述
尤其是在可扩展性方面,因此我们必须找到一种新的方法去解决这个问题。那就是–Token

Token的基本原理

Token是服务端生成的一串字符串,以作为客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token并将它返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
而基于 Token 的身份验证是无状态的,也就是说我们不用将用户信息存在服务器或 Session 中。这很大程度上解决了传统服务器验证方式带来的弊端。没有 session 信息意味着你的程序可以根据需要去增减服务器,不用去担心用户是否登录和已经登录到了哪里。

流程图:

在这里插入图片描述

Token代码实现

(1)登录成功之后,生成一个token令牌
在这里插入图片描述
这样它会随机生成一个字符串,这个字符串是根据电脑的状态而来。所以绝对不会重复。
(2)将token存入Redis数据库
在这里插入图片描述
利用redisTemplate操作数据库,并且使用opsForValue()方法存储字符串和过期时间。在这里插入图片描述
(3)把token返回给前端
(4)前端通过js对象localStorage(永久性存储),将token保存到客户端
在这里插入图片描述
解决跨域问题:(后端允许跨域)
在这里插入图片描述
(5)前端通过Ajax请求,带着token(放入请求头中)访问后端接口
在这里插入图片描述
(6)后端从请求头中提取token,并且判断token是否存在
在这里插入图片描述
在这里插入图片描述
即获取用户信息,并判断用户是否存在。若验证成功,返回数据;验证失败,返回登录页面。
*(7)登录退出功能
后端:
拿到请求头中的令牌,并将它从Redis数据库中删除。
在这里插入图片描述
前端:
清除客户端中的token,并且跳转到登录页面。
在这里插入图片描述

Token的优点

(1)无状态、可扩展

在客户端存储的 token 是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载均衡服务器 能够将用户的请求传递到任何一台服务器上,因为服务器与用户信息没有关联。相反在传统方式中,我们必须将请求发送到一台存储了该用户 session 的服务器上(称为Session亲和性),因此当用户量大时,可能会造成 一些拥堵。使用 token 完美解决了此问题。

(2)安全性

请求中发送 token 而不是 cookie,这能够防止 CSRF(跨站请求伪造) 攻击。即使在客户端使用 cookie 存储 token,cookie 也仅仅是一个存储机制而不是用于认证。另外,由于没有 session,让我们不必再进行基于 session 的操作。

Token 是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过 token revocataion可以使一个特定的 token 或是一组有相同认证的 token 无效。

(3)可扩展性

使用 Tokens 能够与其它应用共享权限。例如,能将一个博客帐号和自己的QQ号关联起来。当通过一个 第三方平台登录QQ时,我们可以将一个博客发到QQ平台中。

使用 token,可以给第三方应用程序提供自定义的权限限制。当用户想让一个第三方应用程序访问它们的数据时,我们可以通过建立自己的API,给出具有特殊权限的tokens。

(4)多平台与跨域

我们已经讨论了CORS (跨域资源共享)。当我们的应用和服务不断扩大的时候,我们可能需要通过多种不同平台或其他应用来接入我们的服务。

可以让我们的API只提供数据,我们也可以从CDN提供服务(Having our API just serve data, we can also make the design choice to serve assets from a CDN.)。 在为我们的应用程序做了如下简单的配置之后,就可以消除 CORS 带来的问题。只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。

      Access-Control-Allow-Origin: *

(5)基于标准

有几种不同方式来创建 token。最常用的标准就是 JSON Web Tokens。很多语言都支持它。

想学java的猫
关注
专栏目录
在JMeter中提取token值并传递给其它接口使用
weixin_44149742的博客
09-08 9384
在使用JMeter对接口进行测试时,会有一些变量值的变化,导致接口无法获取数据,比如token值或者session值,这时可以通过正则表达式提取器来获取接口返回token值,并作为一个参数传递给后面需要token值的接口中。 1、在JMeter中运行录制的接口脚本,并在查看结果树中选择接口,选择Text格式,选择响应数据-Response Body,查看接口的返回数据中是否有token值。 2、当查找到token值后,将该接口返回的数据复制到文本框中备用,注意复制时左侧要选择T...
【王道计算机网络】3.5.1 介质访问控制、令牌传递协议
修行的凡人的博客
01-11 710
基于《王道计算机网络》得出的理论知识精华
token的传参方式
不是秋刀鱼的秋的博客
07-11 5655
token传递方式分为参数传递和请求头(header)中传递两种 客户端发送请求(带有token),后台GateWay担任Security_OAuth2的资源服务器,对请求进行拦截,如下 springSecurityFilterChain 是springSecurity的filter @Bean SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { //认证处理器 ReactiveAuthentica
计算机网络:随机访问介质访问控制之令牌传递协议
timerring的博客
11-12 1675
*可以想象,如果这样的广播信道采用随机介质访问控制,那么发生冲突的概率将会很大,而采用轮询介质访问控制则可以很好地满足各结点间的通信需求。在轮询访问中,用户不能随机地发送信息,而要通过一个集中控制的监控站,以循环方式轮询每个结点,再决定信道的分配。当计算机都不需要发送数据时,令牌就在环形网上游荡,而需要发送数据的计算机只有在拿到该令牌后才能发送数据帧,因此不会发送冲突(因为令牌只有一个)。由于令牌在网环上是按顺序依次传递的,因此对所有入网计算机而言,访问权是公平的。,确保同一时刻只有一个站点独占信道。
前端传递token的方式_前端鉴权知识学习
weixin_39713814的博客
12-28 7715
1、Cookie指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。HTTP是一种无状态传输协议,它不能以状态来区分和管理请求和响应。也就是说,服务器单从网络连接上无从知道客户身份。于是给客户端发布一个通行证—cookie来区分,这就是Cookie的工作原理。服务器通过response的set-cookie告诉客户端去写入cookie,后面的请求都会携...
token 令牌完整介绍及使用
北芒的博客
04-06 6205
介绍 举个例子:比如你想去公园,这个 token 就相当于门票,你只有拿着这个门票才能进去 一般用在前后端分离开发 一个加密以后的字符串,该字符串可以被反编译 反编译就是加完密之后还可以解开 只不过这里的解开需要一把钥匙的(key) 执行流程 当用户登陆完成之后,服务端会生成一个令牌。并将令牌返回给前端 前端得到令牌之后将其保存。 当调用敏感的接口时,需要传递token. 服务端会...
token令牌支付技术1
08-08
Token令牌支付技术是一种提高在线支付安全性的创新方法,它通过替换真实的个人账户号码(PAN)来保护消费者的敏感信息。这种技术在C#等编程语言的环境中也可以实现,尤其是在移动支付场景下,对于数据安全至关重要。...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
C# Web用户令牌Token)验证是一种常见的方式,用于防止未经授权的HTTP请求,如GET和POST,确保数据的安全传输。本技术介绍将深入探讨如何使用C#实现令牌验证机制,并结合Nginx集群与SSL证书来增强WebAPI的安全性。...
TP5.1使用JWT进行Token令牌生成与验证
Sol的博客
08-05 9080
传统互联网项目在实现保持登录状态、退出登录、接口请求等功能时会使用Session,但是众所周知Session数据在产生后会存储与服务器端,所以当用户量达到一定程度会相应影响到服务器的性能,且Session在前后端分离的项目中或是多服务器项目中的支持不是很好。但是Token不会产生这些问题,服务器端对Token只有生成和验证操作,不会存放数据,针对前后端分离的项目,包括手机APP和当前热门的小程序的...
Vue axios获取token临时令牌封装案例
10-14
在本文中,我们将探讨如何在Vue项目中使用axios进行token的获取与管理,特别是在处理临时令牌封装的情况。首先,我们来看一下为什么需要进行这样的封装。 在许多现代Web应用中,特别是涉及到安全性较高的场景,前端...
QoS令牌桶工作原理
数据库天地
09-28 890
QoS的一个重要作用就是对端口流量进行监管,也就是限制端口流量。但QoS是如何做到这点的呢?那就是QoS的令牌桶机制了。下面是在笔者刚刚出版的《Cisco/H3C交换机高级配置与管理技术手册》一书中,经过笔者充分理解后的全面诠释,大家看一下是否可以理解。http://book.360buy.com/10959197.html 6.3.3 QoS令牌桶工作原理 QoS中的流量...
前端请求传输token到后端的两种方式
liuqinhou的博客
07-30 4343
中,每次浏览器会自动帮我们带过去,不需要我们自己设置。,需要我们自己手动设置请求头。中,这样当页面刷新之后保证。
java token接口设计_接口自动化框架(java)--4.接口Token传递
weixin_32865081的博客
02-26 592
这套框架的报告是自己封装的一般token会在登录接口返回结果中呈现,从代码层面获取token的方式有很多种,我是使用jsonpath这个json路径语言去匹配token所在路径的key值 1 package com.qa.tests;234 import com.alibaba.fastjson.JSON;5 import com.qa.base.TestBase;6 import com.qa...
【计算机网络轮询协议与令牌传递协议详解】
最新发布
武帝为此的博客
01-18 1112
轮询协议是一种用于控制多台设备共享网络资源的通信协议。在轮询协议中,有一个主设备(通常是服务器或主机),它按照一定的顺序轮流询问各个从设备(通常是客户端或终端设备)是否有数据要发送或接收。这种协议的工作方式类似于老式的对讲机,只有在主设备询问时,从设备才能发送或接收数据。令牌传递协议是一种用于控制多台设备共享网络资源的通信协议,与轮询协议不同,它采用了一种更灵活的方式来管理设备之间的访问。在令牌传递协议中,有一个特殊的数据包称为令牌Token),只有持有令牌的设备才能发送数据。
小程序服务器token,小程序-登录-token
weixin_42366447的博客
08-05 3109
1.前端调用wx.login()获取code值2.前端通过调用wx.getUserInfo获取iv、rawData、signature、encryptedData等加密数据,传递给后端3.服务器通过code请求api--auth.code2Session,换回session_key和openid示例代码(判断用户的openid是否在数据库中不在就加入成为会员,再给前端发送token(随机字符,也可...
【经典】深入理解令牌JWT之token
CodingLJ
04-06 848
目录 1、什么是JWT 2、JWT能做什么 3、为什么是JWT 基于传统的Session认证 基于JWT的认证 4、JWT的结构是什么 5、使用JWT 总结 1、什么是JWT JWT官网地址:https://jwt.io/introduction/ 官方解释:JWT是Java Web Token的首字母简写,它定义了一个紧凑的,自包含的方式,用于在各方之间以Json对象安全的传输信息。此信息可以验证和信任,因为它是数字签名。jwt可以使用签名算法进行签名...
参数传递Token传递,接口关联等)
测试之路
07-19 3022
部分内容参考https://www.jianshu.com/p/e3a116f7bf6b 前提:参数传递Token传递,接口关联等) 根据上一节提供的接口信息进行模拟测试,其中,需要将登陆之后的token传到头部信息和其他线程组的参数中 1、Jmeter传参方式 1)内置变量 //同线程组 vars :操作 jmeter 变量,它是测试用例与 BeanShell 交互的桥梁,常用方法: vars.get(String key):从jmeter 中获得变量值 vars.put(String ke
令牌的设计与实现
weixin_34247299的博客
03-24 1224
2019独角兽企业重金招聘Python工程师标准>>> ...
token如何使用
cxh20777的专栏
11-29 662
4. 使用Token:之后,每当用户向服务器发送请求时,都会在请求的头部中包含这个Token。服务器会验证这个Token,如果Token有效,服务器就知道这个请求是由哪个用户发送的,并且可以根据用户的权限来处理这个请求。当Token过期后,用户需要重新登录来获取新的Token。有些系统也提供了刷新Token的机制,可以在不需要用户重新登录的情况下获取新的Token。3. 存储Token:用户收到Token后,将其存储在本地,比如在Cookie或者LocalStorage中。这就是Token的基本使用方式。
token令牌生成规则
07-27
令牌生成规则通常是由具体的应用程序或平台决定的。以下是一般情况下常见的 token 生成规则: 1. 随机生成:使用随机算法生成一串随机字符或数字作为令牌。这种方法简单快捷,但可能存在重复或者易于被猜测的风险。 2. 哈希算法:使用哈希算法对特定的数据进行计算,生成唯一的令牌。这种方法可以确保生成的令牌是唯一且不可逆的。 3. UUID:使用通用唯一标识符(Universally Unique Identifier,UUID)生成令牌。UUID 是一个标准的 128 位数字,保证了在全球范围内的唯一性。 4. Json Web Token(JWT):JWT 是一种基于 JSON 的开放标准,用于在网络应用间传递信息。JWT 由三部分组成:头部、载荷和签名。其中载荷部分可以包含自定义的信息,并使用密钥进行签名以确保安全性。 5. OAuth 令牌:OAuth 是一种开放标准,用于授权第三方应用访问受保护资源。OAuth 令牌可以通过授权服务器颁发,包括访问令牌和刷新令牌等。 需要根据具体的应用场景和安全需求选择合适的令牌生成规则。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值