Token验证流程、代码示例、优缺点和安全策略,一文告诉你。

于 2024-05-29 14:58:13 发布
阅读量1k 收藏 16
点赞数 20
文章标签: 前端 数据库 Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57344393/article/details/139296057
版权

Token和Session都是用于身份验证和授权的机制,而且Token渐渐成为主流,有不少小伙伴对token的认识不全,这里给大家分享下。

一、什么是Token

Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web Token(JWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。

JWT通常由三部分组成,通过句点(.)分隔开来:

1. Header:包含了Token的类型和使用的加密算法等信息。

2. Payload:包含了要传输的信息,例如用户的身份信息、权限等。

3. Signature:使用密钥对Header和Payload进行签名,确保Token在传输过程中没有被篡改。

由于Token包含了用户的身份信息和权限,因此在客户端和服务器之间传输时需要注意安全性,例如使用HTTPS协议进行传输,并且在服务器端对Token进行严格的验证和解密。

二、Token验证流程

Token登录流程通常包括以下步骤:

  1. 用户使用用户名和密码进行登录,系统验证用户身份成功后,生成一个Token并返回给客户端。
  2. 客户端将Token保存在本地,通常是存储在Cookie或LocalStorage中。
  3. 客户端在每次请求时,将Token作为请求头部或请求参数发送给服务器。
  4. 服务器接收到请求后,验证Token的有效性,如果验证通过,则返回请求结果,否则返回错误信息。
  5. 如果Token过期或被篡改,服务器将拒绝请求并要求客户端重新登录。

下面是一个示例代码,演示了Token登录流程的基本实现:

// 客户端登录
function login(username, password) {
  // 发送登录请求
  axios.post('/api/login', { username, password })
    .then(response => {
      // 保存Token到本地
      localStorage.setItem('token', response.data.token);
      // 登录成功后跳转到首页
      window.location.href = '/home';
    })
    .catch(error => {
      console.error(error);
    });
}

// 客户端请求
function request(url, method, data) {
  // 获取Token
  const token = localStorage.getItem('token');
  // 设置请求头部
  const headers = { Authorization: `Bearer ${token}` };
  // 发送请求
  axios({ url, method, data, headers })
    .then(response => {
      console.log(response.data);
    })
    .catch(error => {
      console.error(error);
    });
}

// 服务器端验证Token
function authenticateToken(req, res, next) {
  // 获取请求头部中的Token
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1];
  // 验证Token的有效性
  if (token == null) return res.sendStatus(401);
  jwt.verify(token, process.env.ACCESS_TOKEN_SECRET, (err, user) => {
    if (err) return res.sendStatus(403);
    req.user = user;
    next();
  });
}

在这个示例中,login 函数用于客户端登录,发送用户名和密码到服务器进行验证,如果验证通过,则将服务器返回的Token保存在本地。request 函数用于客户端请求,每次请求时从本地获取Token,并将Token作为请求头部发送到服务器。authenticateToken 函数用于服务器端验证Token的有效性,如果验证通过,则允许请求继续执行,否则返回错误信息。

三、Token验证优缺点

Token作为一种身份验证和授权机制,具有以下优点和缺点:

优点:

1. 无状态性:Token机制使得服务器不需要在内存中保存用户的登录状态,可以轻松地实现分布式和横向扩展。

2. 跨域支持:Token可以在跨域环境下进行传输,使得在不同域名的应用之间进行身份验证和授权变得更加灵活。

3. 安全性:Token可以使用加密算法进行签名,确保在传输过程中不被篡改,同时可以设置过期时间,增加安全性。

4. 可扩展性:Token可以包含任意的信息,例如用户的身份信息、权限、角色等,使得身份验证和授权机制更加灵活。

5. 适用于移动端应用:Token机制适用于移动端应用,可以在移动设备上保存Token并进行安全的传输。

缺点:

1. 需要额外的安全措施:Token需要在客户端和服务器之间进行安全传输,需要使用HTTPS协议等安全措施来保证传输过程中的安全性。

2. 无法立即失效:由于Token是无状态的,一旦生成并发送给客户端,就无法立即失效,除非设置较短的过期时间。

3. 存储在客户端:Token通常存储在客户端(例如Cookie或LocalStorage),存在被窃取的风险,因此需要注意安全性。

4. 需要额外的开发工作:相比于传统的基于Session的身份验证机制,Token需要额外的开发工作来生成、验证和管理Token。

Token作为一种身份验证和授权机制,具有无状态性、跨域支持、安全性等优点,但需要注意安全传输、失效管理和安全存储等方面的问题。在实际应用中,需要根据具体的场景和需求来选择合适的身份验证和授权机制。

四、Token安全策略

Token作为一种身份验证和授权机制,需要注意以下安全问题,并采取相应的解决策略:

1. 窃取问题:Token通常存储在客户端(例如Cookie或LocalStorage),存在被窃取的风险。解决策略是使用HTTPS协议进行传输,同时在客户端存储Token时,可以使用加密算法进行加密,增加安全性。

2. 篡改问题:Token在传输过程中可能会被篡改,破坏身份验证和授权机制。解决策略是使用加密算法对Token进行签名,确保在传输过程中没有被篡改。

3. 过期问题:由于Token是无状态的,一旦生成并发送给客户端,就无法立即失效,除非设置较短的过期时间。解决策略是在Token中设置过期时间,同时可以使用刷新Token的机制,让用户在一定时间内保持登录状态。

4. 重放攻击问题:攻击者可以使用已经过期的Token进行身份验证和授权,从而获取用户的权限。解决策略是使用随机数或时间戳等方式,让每个Token都是唯一的,避免重放攻击。

5. Token泄露问题:如果Token泄露,攻击者可以使用Token进行身份验证和授权,获取用户的权限。解决策略是使用单次Token或短期Token,避免Token长期存在,同时可以设置IP白名单和限制Token的使用次数等措施,增加安全性。

Token作为一种身份验证和授权机制,需要注意安全问题,并采取相应的解决策略,例如使用HTTPS协议进行传输、使用加密算法进行加密、设置过期时间、使用随机数或时间戳等方式避免重放攻击、使用单次Token或短期Token等措施增加安全性。

Hi,我是贝格前端工场,10年前端和UI老司机了,持续为大家分享有价值、有见地的观点、作品、干货,欢迎评论、关注、点赞、有事请私信。

贝格前端工场
关注
  • 20
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[JAVA]Token机制及管理类代码实例
身披白袍的博客
03-11 1442
Token是一种分布在客户端的无状态用户登陆证明;包含token的运转机制及管理代码(JAVA)
Jwt(Json web token)——使用token的权限验证方法 & 用户+角色+权限表设计 & SpringBoot项目应用
Arya的博客,专注后端领域
08-08 1485
1.认证鉴权服务,注册中心,认证中心,鉴权中心; 2.用户,角色,权限表设计,数据库视图的使用; 3.项目中的应用,使用自定义注解+拦截器; 4.枚举类型的json化, @JsonFormat(shape = JsonFormat.Shape.OBJECT) @Getter
Token详解及安全验证
qq_53058639的博客
03-08 1529
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
token生成示例
程序员的日常
02-08 225
代码token生成示例
webapi token验证例子
06-05
webapi token验证例子
jjwt token 缺点
chuncui2576的博客
07-13 269
JWT缺点 , 之前没有考虑到 一旦拿到token, 可用它访问服务器,直到过期,中间服务器无法控制它,如是它失效(有解决方案: 在 token 中保存信息,可添加额外的验证,如加一个 flag, 把数据库对应的flag失效,来控制token有效性)。 token 的过期时间设置很关键,一般...
基于token身份认证的完整实例
~~~~~~~BUG FLY~~~~~~~~~
08-09 3999
文章目录前言一、基于Token的身份认证工作流程二、实现步骤1.配置过滤请求2.实现过滤器3.登录接口4.登录之后获取用户信息总结 前言 基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息。 一、基于Token的身份认证工作流程 1.用户通过用户名和密码请求访问 2.服务器验证用户,通过校验则向客户端返回一个token 3.客户端存储token,并且在随后的每一次请求中都带着它 4.服务器校验token并返回数据 每一次请求都需要token -Token应该放在请求hea
使用token实现接口权限验证
dhny25701的博客
05-29 1934
在前后端分离的情况下,前端请求接口,容易被劫持,需要对接口实现验证: 方式: a: 接口超时验证 前端传输一个由 时间戳 加密而成的token值 传递给接口判断 (防止同一个接口多次调用) b: 接口权限认证前端传输一个由 服务端生成的token 重新返回接口做认证 【服务端生成的token 也可以是前后端用同一套加密方式生成的密钥做比较】 ...
PHP实现微信公众号验证Token示例代码
10-15
主要介绍了PHP实现微信公众号验证Token示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
thinkphp5框架API token身份验证功能示例
10-16
这确保了Token的唯一性和安全性。例如: ```php function create_token($id, $out_time) { return substr(md5($id . $out_time), 5, 26); } ``` 2. **登录验证**: - 当用户尝试登录时,`checkLogin` 方法会...
JAVA中的Token 基于Token的身份验证实例
08-24
主要介绍了JAVA中的Token 基于Token的身份验证实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
微信公众号服务器配置Token验证示例代码
最新发布
06-30
微信公众号服务器配置Token验证示例代码,管理后台需要接管用户消息的情况,必须进行服务器配置,设置令牌(Token)和消息加解密密钥。
token令牌结合简单例子用法
来一杯Java咖啡
12-03 777
1、token使用所需要的依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> 2、生成token的测试类 publ
java 生成token 实例_Java大白话—–Token入门案例(附demo下载)
weixin_29447313的博客
02-16 1309
Java大白话—–Token入门案例Token入门案例今天为大家介绍一下Token的基本原理(以最直白的方式)两片同样的钥匙这是一家神奇的酒店,所有的客房居然都没有钥匙孔,可是每间房们前都做着一位钥匙匠。这种革命性的酒店安全管理方式是这样的:客人来到大厅,告诉前台他的账号与密码,前台给了他一把钥匙他拿着钥匙来到房门前,钥匙匠询问了他的姓名,随即做出了一把钥匙,再与前台的钥匙进行比对,如果一致,用户...
基于Token的Web安全模块设计
a2632699773的博客
01-15 2853
前言 最近在搞一个Web项目嘛,一开始用了Spring全家桶(SpringBoot + SpringSecurity),然后发现SpringSecurity这个东西太臃肿了(可能是自己还没用透 )。 正好这个时候有一个微信公众号推文让我接触到了Token这种认证模式。了解之后觉得这玩意挺好用呀,于是就开始改动到自己的项目里去,正好赶上在给项目做模块化处理,就直接想着写一个自己的安全模块,然后就有了这篇文章(其实是想梳理一遍 )。 模块介绍 模块 功能 access 访问控制 aut
Jwt(Json web token)——使用token的权限验证方法 &amp; 用户+角色
2401_84267735的博客
04-17 977
PrivsCheck.java文件/*** 定义注解*/
Token设计缺陷测试
酷狗直播-锦凡歆的博客
05-28 715
Token设计缺陷测试 在找回密码功能中,很多网站会向用户邮箱发送找回密码页面链接。用户只需要进入 邮箱,打开找回密码邮件中的链接,就可以进入密码重置页面了。找回密码的链接通常会 加入校验参数来确认链接的有效性,通过校验参数的值与数据库生成的值是否一致来判断 当前找回密码的链接是否有效。 例如,网站给出的找回密码的url如下,单击这个链接将跳转到重置密码页面。 http://www.xxx.c...
springboot基于aop redis token实现token验证和权限验证
woshicainiaogiao的博客
07-29 964
springboot 基于token,拦截器,aop自定义注解,reds来实现登录验证,权限验证
jwt和csrf token的关系和优缺点
06-12
JWT(JSON Web Token)和 CSRF token(Cross-Site Request Forgery token)都是常见的安全机制,但它们的作用有所不同。 - JWT 主要用于认证和授权,它是一种基于 JSON 的开放标准,用于在客户端和服务器之间传递安全声明。JWT 通常包含用户身份信息、访问权限等信息,用于验证用户身份和控制用户权限,从而保证数据的安全性和完整性。 - CSRF token 主要用于防止跨站点请求伪造攻击,它是一种随机生成的 token,用于验证用户提交的请求是否合法。CSRF token 通常存储在用户的会话中,当用户提交表单或发出请求时,服务器会将 token 作为隐藏表单字段或请求头信息返回给客户端,客户端再将其作为表单提交或请求头信息一起发送到服务器端进行验证。 它们的优缺点如下: - JWT 的优点是可以在多个应用程序之间共享,由于 JWT 包含了用户身份信息和访问权限等信息,因此可以减少对服务器的重复查询和验证,提高应用程序的性能。但是,如果 JWT 被劫持或篡改,那么攻击者就可以冒充用户进行访问,造成安全风险。 - CSRF token 的优点是可以有效防止跨站点请求伪造攻击,保证用户提交的请求都是合法的,从而保护用户的安全。但是,CSRF token 需要将 token 存储在用户的会话中,如果会话被劫持或泄露,那么攻击者就可以使用该 token 进行攻击,造成安全风险。 综上所述,JWT 和 CSRF token 都是常见的安全机制,应用场景不同,具有各自的优缺点。在实际开发中,应根据具体场景选择合适的安全机制,以保证应用程序的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贝格前端工场

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值