关于token
关于token的相关知识还有很多,知识从前端角度去理解一下token,简单记录下,以后有机会学习更多的话再补充
token可以解决哪些问题呢?
- Token 完全由应用管理,所以它可以避开同源策略
- Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx)
- Token 可以是无状态的,可以在多个服务间共享
token原理
1.将荷载payload,以及Header信息进行Base64加密,形成密文payload密文,header密文。
2.将形成的密文用句号链接起来,用服务端秘钥进行HS256加密,生成签名.
3.将前面的两个密文后面用句号链接签名形成最终的token返回给服务端
token实现思路
1.用户登录校验,校验成功后就返回Token给客户端。
2.客户端收到数据后保存在客户端
3.客户端每次访问API是携带Token到服务器端。
4.服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码
使用说明
1,根据上面生成一个由base64编码的token,该token由Header,Payload,Signature组成。
2,token作为用户请求的标识,客户端保存这token的全部信息。服务端只需要保存token的Signature部分。
3,服务端把token的Signature存于redis和服务器的数据库中。
4,客户端请求的数据附带token,服务端拿到token,首先校验token,以防token伪造。校验规则如下:
4.1,拆分出token的Header,Payload,Signature。
4.2,校验Signature,通过token的header和payload生成Signature,看看生成的Signature是否和客户端附带上来的Signature一致。如果一致继续请求操作,不一致则打回操作
4.3,查看Signature是否存在服务器的redis和数据库中。如果不存在则打回请求操作
token参考链接:
https://www.cnblogs.com/lufeiludaima/p/pz20190203.html