为什么要使用Token

已于 2023-09-11 11:53:11 修改
阅读量465 收藏 1
点赞数
文章标签: java
于 2023-09-09 17:55:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64253261/article/details/132773690
版权

传统的session认证

        我们知道,http协议是一种无状态的协议,这就意味着当用户向我们的应用提供了用户名和密码进行用户认证,那么在下一次登录的时候,用户还要再进行验证,因为根据http协议,浏览器并不知道是谁发出的请求,所以为了能够让浏览器识别出是哪个用户发出的请求,我们需要在服务器端存储一份用户登录的信息,这份信息会在响应时传递给浏览器,告诉其被保存为cookie,以便下次请求时发送给我们的应用,这样浏览器就可以知道是哪个用户登录了。

        但这种基于session的认证使应用难以得到扩展,随着不同客户端用户的增加,独立的服务器无法承载越来越多的用户信息,而这时候基于session认证应用的问题就会暴露出来。

基于session认证应用的问题

Session

每个用户经过我们的应用认证之后,应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言 session 都是保存在内存中, 而随着认证用户的增多,服务端的开销会明显增大。

扩展性

用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF (跨站请求伪造)

因为是基于 cookie 来进行用户识别的, cookie 如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于token的认证

基于token的鉴权机制类似于http协议也是无状态的,它不需要在服务端保留用户的认证信息或者会话信息,这就意味着基于token认证机制的应用无需考虑用户在哪一台服务器登录,这就问应用的扩展提供了便利性。

token的工作流程

1. 用户使用账号和密码发出 post 请求
2. 服务器使用私钥创建一个 jwt
3. 服务器返回这个 jwt 给浏览器
4. 浏览器将该 jwt 串在请求头中向服务器发送请求
5. 服务器验证该 jwt
6. 返回响应的资源给浏览器

使用token的目的:是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

xxyyyyyyyy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
为什么要用token
LANGZI7758521的专栏
07-15 1795
一.Token的来源: 当客户端多次向服务端请求数据时,服务端就需要多次从数据库中查询用户名和密码并进行对比,判断用户名和密码是否正确,并作出相应提示。但这样无疑会增加服务器端的运行压力,是否可以有一种方式只需要验证用户就是之前的用户而不需要每次在客户端请求数据时都需要查询数据库判断用户名和密码是否正确。在这种请求下,引入了token来解决服务器端多次访问数据库问题。 1.什么是TokenToken是服务端端生成的一串字符串,作为客户端进行请求时辨别客户身份的的一个令...
为什么要用Token?(初学者学习用)
m0_67441736的博客
07-01 2091
为什么要用Token
Android面试题-为什么需要token
JAVA技术博客
04-27 2415
Android面试题
为什么需要token的个人理解
liangshui999的博客
11-28 2961
说明:个人理解,未必正确,请勿参考 cookie和session模式存在的问题: 1,session的生命周期比较短,用户隔一段时间就需要重新登陆一次。默认情况下,浏览器关闭之后,cookie中保存的sessionid就会被清除,导致下一次打开浏览器访问后台的时候,又开启新的会话。另外,不关闭浏览器,但是较长时间(比如超过20分钟)不访问后台的话,session也会被销毁。 2,由于移...
token使用
qq_42227041的博客
08-20 250
token是一段随机生成的用来验证用户信息的字符串, 一般用作用户是否登录的验证 在登录后,后端会返回token值,这时候需要将token值存到localStorage里面,如果用的是vue的话最好就存到vuex状态管理里面 localStorage.token = token 之后使用的时候就直接从localstorage里面调用   设置token请求头: 'Authorizat...
Android使用token维持登陆状态的方法
08-31
**什么是token** Token,即令牌,是一种用于身份验证的字符串。在用户成功登录后,服务器会生成一个唯一的token,并将其发送给客户端(通常是Android设备)。这个token包含与用户账户相关的唯一标识,使得服务器...
jQury Ajax使用Token验证身份实例代码
08-29
jQury Ajax 使用 Token 验证身份实例代码 jQury Ajax 使用 Token 验证身份实例代码是指在使用 jQuery 的 Ajax 功能时,如何使用 Token 验证身份,以确保数据的安全性。本文将详细介绍该实例代码的实现细节。 一、...
详解JWT token心得与使用实例
10-16
JWT(JSON Web Token)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个 JSON 对象。这个信息可以被验证和信任,因为它是数字签名的。JWT token 在现代 web 应用...
token在项目中的使用
02-05
首先,让我们理解什么是`token`。在软件工程中,`token`通常指的是在用户成功验证其身份后服务器返回的一个小数据片段,它包含了一个或多个标识用户身份的信息。这个信息可以是用户ID、权限列表等。`token`的主要...
关于Token的简要理解
安小泽的技术世界
09-16 3004
在虚拟机平台上,第一次接触到Token的时候觉得每次都要重新获取Token显得非常麻烦,当我理解到了Token的功用时候,觉得这样的技术是还是非常好的,主要是为了防止跨站请求伪造CSRF攻击。  Token 目前主流的做法是使用Token抵御CSRF攻击。 下面通过分析CSRF 攻击来理解为什么Token能够有效 CSRF攻击要成功的条件在于攻击者能够预测所有的参数从而构造出合法的请求。 所
需要token的原因----
最新发布
kjl536566的博客
12-20 586
因此,在实际应用中,需要采取一些措施来保护JWT的安全性,例如限制JWT的过期时间、使用HTTPS协议传输等。另外,JWT的负载中可以包含一些敏感信息,如用户的身份和权限等,但这些信息不会被篡改,因为JWT的签名保证了其完整性和真实性。综上所述,JWT本身是安全的,但在使用过程中需要注意密钥的安全性、JWT的使用场景和限制,以及采取适当的措施来保护JWT的安全性。在实际应用中,需要注意JWT的安全性,采取一些措施来保护JWT的安全性,例如限制JWT的过期时间、使用HTTPS协议传输等。
什么是tokentoken是用来干嘛的?怎么使用
JiangLu7的博客
06-10 1万+
使用token机制的身份验证方法
10.用户登录——什么是token、生成tokentoken获取用户信息免密登录登录装饰器
m0_63953077的博客
11-10 3556
什么是token、生成tokentoken获取用户信息免密登录登录装饰器
深入理解token的作用
char56789的博客
11-08 2332
概要:Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 为什么要使用token呢? 因为它能有如下的作用: 1.Token 完全由应用管理,所以它可以避开同源策略 2.Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx) 3.Token 可以是无状态的,可以在多个服务间共享 Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求
为什么 APP 要用 token 而不用 session 认证?
乙醚的专栏
02-17 7718
session 和 oauth token 并不矛盾,作为身份认证 token 安全性比session好,因为每个请求都有签名还能防止监听以及重放攻击,而session就必须靠链路层来保障通讯安全了。如上所说,如果你需要实现有状态的会话,仍然可以增加session来在服务器端保存一些状态
浅谈注册登录Token理解
qq_45910045的博客
10-30 1857
文章目录一、为什需要注册登录1.注册登录的重要性2.注册登录的应用场景二、注册登录的注意事项1.用户体验2.后台数据处理3.后台资源分配4.前后端访问量把控三、用户安全性1.后端安全性2.前端防攻击3.防止输入框调用代码四、Token作用1.token作用2.token验证了什么 一、为什需要注册登录 1.注册登录的重要性 注册登录,是一个网站必备的,因为一个网站需要多个或者很多人访问,如果这些人只能看不能进行操作的话,用户体验是极差的,但是每个人都留言的话有需要区分和管理每个人所说的话和留言,以及进行
cookie和session及token,为什么选择使用token?JWT使用
A-Itfuture的博客
09-22 1875
每一次请求都需要token。客户端在第一次访问服务器的时候,服务端会响应一个sessionId,并且将它存入到客户端本地的cookie中,在之后的访问会将cookie中的sessionId放入到请求头中去访问服务器,如果服务器通过这个sessionId没有找到对应的数据,那么服务器会创建一个新的sessionId并且响应给客户端。如果计算后的签名和带来的签名相同, 就知道用户已经登录过了,并且可以直接取到的user id , 如果不相同, 数据部分肯定被人篡改过, 我就告诉发送者: 对不起,没有认证。
Token登录原理分析
githubcurry
08-25 4078
1:首先,先了解一下request和session的区别 request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp页面和该页面用指令包含的页面以及标记包含的其它jsp页面; Session是用户全局变量,在整个会话期间都有.
token的作用及实现原理
热门推荐
我在路上的博客
03-22 27万+
1:首先,先了解一下request和session的区别request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp...
为什么要token持久化
06-13
Token持久化是指将用户在登录成功后获取到的token保存在客户端本地,以便在用户再次访问该系统时可以直接使用已经获取到的token进行身份验证,而不需要再次输入用户名和密码进行认证。这样可以提高用户的使用体验,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值