前端安全 -- 关于token

最新推荐文章于 2024-04-21 12:00:00 发布
最新推荐文章于 2024-04-21 12:00:00 发布
阅读量478 收藏 2
点赞数
分类专栏: 前端安全 文章标签: token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dihuiqin/article/details/110655413
版权

关于token

关于token的相关知识还有很多,知识从前端角度去理解一下token,简单记录下,以后有机会学习更多的话再补充

token可以解决哪些问题呢?

  • Token 完全由应用管理,所以它可以避开同源策略
  • Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx)
  • Token 可以是无状态的,可以在多个服务间共享

token原理

1.将荷载payload,以及Header信息进行Base64加密,形成密文payload密文,header密文。
2.将形成的密文用句号链接起来,用服务端秘钥进行HS256加密,生成签名.
3.将前面的两个密文后面用句号链接签名形成最终的token返回给服务端

token实现思路

1.用户登录校验,校验成功后就返回Token给客户端。
2.客户端收到数据后保存在客户端
3.客户端每次访问API是携带Token到服务器端。
4.服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码

使用说明

1,根据上面生成一个由base64编码的token,该token由Header,Payload,Signature组成。
2,token作为用户请求的标识,客户端保存这token的全部信息。服务端只需要保存token的Signature部分。
3,服务端把token的Signature存于redis和服务器的数据库中。
4,客户端请求的数据附带token,服务端拿到token,首先校验token,以防token伪造。校验规则如下:
  4.1,拆分出token的Header,Payload,Signature。
  4.2,校验Signature,通过token的header和payload生成Signature,看看生成的Signature是否和客户端附带上来的Signature一致。如果一致继续请求操作,不一致则打回操作
  4.3,查看Signature是否存在服务器的redis和数据库中。如果不存在则打回请求操作

 

token参考链接:
https://www.cnblogs.com/lufeiludaima/p/pz20190203.html

Knight__D
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用户登录和退出,以及访问请求的token校验
NewBeeMu的博客
11-06 683
用户登录和退出,以及访问请求的token校验
前端项目-ng-token-auth.zip
09-03
**标题解析:** "前端项目-ng-token-auth.zip" 这个标题表明这是一个关于前端开发的项目,具体来说,它使用了“ng-token-auth”技术,这通常是指一个用于AngularJS应用的身份验证解决方案,通过令牌(Token)进行...
java 框架 接口安全性_谈谈API接口安全性设计思路
weixin_36047554的博客
02-17 383
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。时间戳...
token前端保存的安全性思考
JavaMa的博客
12-15 4427
CSRF和XSS CSRF:用户在A网站登录,未退出A网站的前提下访问B网站,B网站向A网站发起请求,此时浏览器会携带用户在A网站的cookie请求A网站,A网站并不知道是用户的操作还是B网站(危险)的操作。 XSS:是向网站 A 注入 JS代码或html脚本等,然后执行 JS 里的代码,篡改网站A的内容或者盗用cookie等。 前端可以把token存储在localstorage或者cookie。 方案:存cookie比较好。 localstorage有xss风险 ,cookie有csrf 和xss风险。
Token详解及安全验证
最新发布
wangluoanquan111的博客
04-21 1277
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成“令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。
前端给后台返回的接口携带token
R_RA222的博客
07-08 9120
后台在接口中添加token验证 前端需要后台返回的所有接口请求都带token,而且这个都会携带一个默认过期时间,如果遇到token过期,就会返回一个错误提示码 如下对token指令进行判断 如果状态码 == 77777 就弹框 “令牌过期” 并直接跳转到登录页 if(res.code == 77777){ this.$message({ message: res.msg, type: 'warning' }); this.$router.push('
JWT生成token返回前端前端请求服务器时携带并通过拦截器方式进行token验证。
m0_55627541的博客
01-04 2125
JWT生成token返回前端前端请求服务器时携带并通过拦截器方式进行token验证。
php token放到head,我觉得把 Token 放在 Header 里更好一些
weixin_35936869的博客
03-16 2089
如教程中 Token 在 Response body 中进行传递,并且把 Token 的替换单独做了一个路由。这种方式我觉得对于客户端来说很不友好。我觉得应该将 Token 放在 Header 中进行传递。在登录状态下,所有接口都把 Token 放在 Response Header 中,客户端请求时也是通过 Request Header 进行传输,当 Token 失效时服务端自动刷新 Token ...
vue-token-auth
03-31
2. **Token Authentication**:Token-based身份验证是一种安全的认证方式,通常使用JWT(JSON Web Tokens)来实现。JWT包含了一个用户的标识信息,服务器在用户登录后会返回一个token,之后每次请求API时,客户端将...
sa-token-dev.zip
01-01
"sa-token-dev.zip" 是一个专门针对Java平台的轻量级权限认证框架,它旨在简化登录认证、权限管理和分布式环境下的会话管理等任务。这个框架的出现,为开发者提供了优雅且高效的解决方案,使得在构建Web应用时,鉴权...
前端项目-satellizer.zip
09-02
Satellizer是一个流行的JavaScript库,专门用于在AngularJS应用中实现基于令牌(Token-based)的身份验证。这个库简化了与OAuth 2.0和JWT(JSON Web Tokens)集成的过程,使得用户认证更加安全和便捷。 描述中提到...
jhipster-token
06-21
8. **单元测试**:为了确保Token功能的正确性,`jhipster-token-master`可能包含相关的单元测试和集成测试,用以验证Token的生成、解析、刷新和验证过程。 9. **RESTful API设计**:项目可能定义了与Token相关的...
前端接口对接--登录接口对接,获取token
weixin_43312391的博客
01-14 3320
1.现在public目录下的global.config.js文件中配置后端地址 后端地址是由后端同事提供的 2.在public-src-api目录下新建login.js文件,将接口请求写入该文件中 相应的代码段,方便复制 import axios from 'axios'; export function login (params) { return axios.post(`${g_config.base_URL}/xxxxxxxx/dologin`, params); } 其中,ba
前端token是什么意思?怎么设置保存?应用场景?实现思路?
m0_61663332的博客
11-09 3463
服务端生成的一串字符串,作为客户端进行请求的一个标识。信息,更新用户登录后的信息收集,封装。返回的状态码,设置拦截器,对失效。信息实现拦截登录,并提示用户。,实现用户退出登录,调用。
如何用后端返回的token进行请求拦截
qq_14926871的博客
11-23 3632
其实很简单,只需要在main.js中加入全局请求配置 Axios.defaults.headers.common['Authorization'] = localStorage.getItem('token') //请求头里加入token 然后添加请求拦截器 // 添加请求拦截器 Axios.interceptors.request.use(config => { // 在发送...
前端和后台交互之token
热门推荐
Fling_Pig的博客
03-04 1万+
说白了,token是用于记录app端登录状态,和session的作用有相同的部分。token通过http请求发送给服务端,服务端判断token是否有效来确定用户的登录状态是否有效。 我是做前端的,看帖子上说有些情况下使用token要比session好,不是很明白。开到的大神,请指教下。。。。
java 接口api设计的注意事项_Java++:安全|API接口安全性设计
weixin_36043142的博客
02-13 180
接口的安全性主要围绕 token、timestamp 和 sign 三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制:用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭...
后端返还给前端token安全校验
05-18
前端在后续的请求中带上该 token,后端会对其进行安全校验,以确保请求是合法的。一般来说,token 的生成和校验需要使用加密算法,比如 JWT(JSON Web Token)。以下是一个简单的 token 校验过程: 1. 后端生成 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值