Token的应用场景

最新推荐文章于 2024-07-15 22:27:18 发布
最新推荐文章于 2024-07-15 22:27:18 发布
阅读量416 收藏 3
点赞数 5
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/e5bb96/article/details/139987202
版权

JWT

  • JWT由三部分组成:头部(Header)、有效载荷(Payload)和签名(Signature)
  • 头部通常指定了Token的类型和使用的哈希算法;有效载荷包含了一系列的声明,例如用户的ID、Token的发行者和过期时间;签名用于验证消息的完整性和确保Token没有被篡改
  • JWT通常用作访问Token,用户登录后会收到一个JWT,之后每次请求需要访问受保护的资源时都需要携带该JWT
  • 优点: 由于Token自包含(即包含了所有用户状态信息),这减少了服务器查数据库的需要
  • 缺点: 存储在客户端,如果Token被截获将会暴露所有用户信息

Token一旦被发出就无法在服务器端废除它(即除非过期,否则一直有效)

双token机制

  • 适用场景:用户登录权限
  • 用户首次成功登录后,服务端生成两个令牌:access_token 和 refresh_token。
    refresh_token 拥有比 access_token 更长的有效期,用于在 access_token 过期时进行刷新
  • 服务端将两个令牌返回给用户,用户将它们储存起来以便之后使用
  • 用户在之后的每个请求中将 access_token 放入请求的授权头(Authorization header),以便服务端验证用户的身份及有效性
  • 如果服务端检测到 access_token 已失效,它会返回相关的错误响应(如HTTP 401状态码)
  • App在接收到令牌失效的响应后,不会直接通知用户,而是自动使用储存的 refresh_token 向服务端发起请求,请求新的 access_token
  • 服务端接收 refresh_token,验证其有效性,然后生成新的 access_token(和可选的 refresh_token),并将它们返回给用户
    • 这一步骤中,服务端可能只返回新的 access_token,或同时返回新的 access_token 和 refresh_token,具体取决于安全策略和令牌的生命周期管理
  • 用户使用新的 access_token 继续他们的请求,而服务端继续验证新令牌的有效性

主从token机制

  • 适用场景:支付/转账场景
  • 当用户1首次请求支付订单时,服务端为该次交易生成一个唯一的主令牌(master_token)
  • 服务端将生成的master_token返回给用户1,用户1需要保存这个令牌以完成接下来的支付过程
  • 当用户2请求支付订单,且此时用户1的master_token已经过期时,服务端会生成一个新的master_token,已过期的master_token不会被立即废弃,而是作为备用令牌(backup_token)被存储起来
  • 服务端将新生成的master_token返回给用户2,用户2同样需要将此令牌保存以用于支付
  • 用户1使用其保存的(现在已过期的)master_token尝试进行支付,服务端检测到该令牌无效后,会尝试验证之前存储为backup_token的过期令牌,如果backup_token有效,服务端允许支付动作完成
  • 用户2使用其有效的master_token进行支付,服务端校验成功后允许支付动作完成
  • 当用户3请求支付订单时,与用户2被发放的master_token也已经过期,服务端重复前面的过程:生成新的master_token,且旧的master_token转变为backup_token
细水长流永不粹
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
token刷新token刷新token刷新
04-09
在IT行业中,Token是一种常见的身份验证机制,广泛应用于Web应用、API接口以及移动应用等场景。"Token刷新"是这个话题的核心,它涉及到用户身份验证的持续性和安全性。以下是关于Token刷新的详细知识: 首先,我们...
基于acess_token和refresh_token实现token续签
03-19
在这个场景下,“基于acess_token和refresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
token应用场景
Rad的博客
07-20 7132
1.基于Token的身份验证 之前Web就是文档的浏览,不需要记录谁浏览了什么文档,随着交互式Web应用的兴起,像电子商城等网站,就需要知道那些人登录了系统。由于http是无状态的话,所以我们需要一个东西来记录。 我们目前使用的是三种: (1)session:在服务器端记录,每一个产生一个session id。session的中文翻译是“话”,当用户打开某个...
Cookie、Session、Token概念和应用场景
qq19970496的博客
11-26 669
目录Cookie场景话状态由客户端维护步骤:Cookie缺点Session场景话状态由服务端控制步骤:Session缺点Token场景:跨平台应用(单点登录)步骤:总结 HTTP协议是一种无状态协议。然而当用户访问服务器资源时,都需要判断你是谁,你有没有操作权限。这就需要一种话状态维护机制。这时就设计了一套cookie、session、token用于状态维护。 Cookie 场景话状...
token的作用和使用场景
太阳在坠落 海浪在发愁
11-05 1222
token的作用和使用场景 1.为什么需要token? 因为http协议是无状态的,因此它无法判断用户的登录状态。token的出现可以解决这个问题。 2.通用的两种身份验证方式 一般判断用户的身份有两种通用的方式,一种是 cookie+session的模式 (用户用账号和密码登录成功以后,后端php,java等,就返回给我们一个 sessionId的值,存在数据库redis里面, 然后再通过一些 set-cookie响应头 发送给前端, 浏览器就自动将这个值保存在用户电脑上面,称为cookie; 然后我
token的常见应用场景
fableboy的学习点滴
01-21 4630
token常常用在各种应用中,如下场景:      1,用户输入密码和帐号后,系统进行验证后,生成一个session,分配一个sessionid给使用者,后续服务使用者就无需每次都输入密码和验证密码了,只需把对应的帐户和sessionid带上即可,后端只需进行高效的sessionid的有效性校验即可。解决了关键接口或者敏感接口的多次调用,并且对sessionid的有效期等可以进行管理。
token是什么?(概念+应用场景+优缺点)
小草莓的博客
03-27 2251
总的来说,Token 作为一种身份验证和授权机制,具有便捷、安全等优点,但也需要注意安全性和管理问题。
普通令牌token和jwt令牌token区别以及使用场景
西京刀客
08-26 8505
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
Token, AppId的使用方式使用场景
BLOCKGOLD.E的博客
05-17 217
这样服务方,一可以确定第三方得到了用户对此次服务的授权(根据用户授权凭据),二可以确定第三方的身份是可以信任的(根据身份凭据),所以,最终的结果就是,第三方顺利地从服务方获取到了此次所请求的服务 从上面的流程中可以看出,此时,微信通过appkey去查找对应的appsecret,然后再将ABC参数与查询出来的appsecret做一遍相同的签名算法,如果得到的签名串一致,则认为是授权成功。appkey生成比较简单,一般是用户ID+字符串组成,方法很多,做到唯一性就可以。Oauth2.0认证方法。
token原理和验证方法、场景
weixin_47919447的博客
06-13 978
因为一个生产问题引发我整理了这篇文章,目的是以一种简单的方式让所有的测试从根本上认识token,在以后对token相关的测试场景有一定的敏感度和标准动作指导,规避再犯这类生产问题。
Token的使用介绍
yc26583的博客
11-14 705
token的使用场景一般为第三方授权接口或跨域、跨服务器的请求。token由服务提供方颁发,一般需要有新颁发和续约两个接口,失效时长根据使用场景可以分为10分钟或1小时等多种时效。 1、Token的颁发: **颁发方式:**用户名、密码、时间和序列进行统一认证,认证通过后返回token,其中密码信息为线下沟通,不通过请求传输,密码为校验辅助字符。 **客户端请求数据:**用户名+时间+序列明文+校...
JWT Token生成及验证
07-16
JWT在身份验证和授权场景中广泛应用,尤其是在微服务架构和API安全领域。 ### JWT Token的基本构成 JWT由三部分组成,每部分由点(.)分隔: 1. **头部(Header)**:通常包含令牌的类型(JWT)和使用的签名算法...
jQury Ajax使用Token验证身份实例代码
08-29
jQury Ajax 使用 Token 验证身份实例代码 jQury Ajax 使用 Token 验证身份实例代码是指在使用 jQuery 的 Ajax 功能时,...该实例代码可以帮助我们更好地理解 Token 验证身份的机制,并在实际开发中应用于不同的场景
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 586
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
基于Java技术的校园台球厅人员与设备管理系统
heye0910032的博客
07-12 562
本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。该系统利用MySQL数据库进行数据存储,实现了包括首页、个人中心、用户管理、员账号管理、员充值管理、球桌信息管理、员预约管理、普通预约管理、留言反馈和系统管理等多功能集成。系统设计考虑了用户友好性和操作便捷性,旨在提高校园台球厅人员与设备管理的效率和质量。本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。
Java 中有哪几种基本数据类型?请分别列出它们并简述每种数据类型的特点及其在内存中的占用空间?
最新发布
liangzai215的专栏
07-15 317
Java的世界里,数据是构建应用程序的基石。为了高效地处理这些数据,Java设计了一系列基础数据类型,它们直接映射到计算机硬件上,因此在性能和内存使用上更为高效。我们常说的Java八大基本数据类型,涵盖了整数、浮点数、字符和布尔值,下面我将一一介绍它们的特点以及在内存中的占用空间,并通过简单的代码实例来加深理解。
深入剖析 Java 中 Spring Bean 的生命周期
weixin_42545951的博客
07-12 640
Java 开发中,Spring 框架是广泛使用的企业级应用开发框架。理解 Spring Bean 的生命周期对于开发者来说至关重要,这也是面试中经常被问到的重要知识点。
maven项目容器化运行之1-基于1Panel软件将docker镜像构建能力分享给局域网
qq_37372909的博客
07-15 416
docker核心功能包括镜像的构建和容器的运行,它可以开放端口将镜像构建的能力暴露。docker daeson就是docker的守护进程,开放能力是通过指定docker守护进程监听端口来实现的。后面开发人员就可以通过maven中docker插件来远程调用docker镜像构建能力了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

细水长流永不粹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值