Token一般存放在哪里?各有什么不同?

最新推荐文章于 2024-05-21 18:11:13 发布
最新推荐文章于 2024-05-21 18:11:13 发布
阅读量8.6k 收藏 12
点赞数 3
分类专栏: html 文章标签: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66051368/article/details/124136769
版权

Token 其实就是访问资源的凭证。

一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符作为token。

它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式:

1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台

2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域

3.拿到之后存储在 localStorage 中,每次调用接口的时候放在 HTTP 请求头的 Authorization 字段里

所以token 在客户端一般存放于 localStorage、cookie 或  sessionStorage 中。

  •  将token存放在webstroage中,可以通过同域的js来访问。这样会导致很容易受到 XSS攻击,特别是项目中引入很多 第三方js类库的情况下。如果js脚本被盗用,攻击者就 可以轻易访问你的网站,webStroage作为一种储存机制,在传输过程中不会执行任何安全标准。

XSS攻击:cross-site Scripting (跨站脚本攻击) 是一种注入代码攻击。恶意攻击者在目标网站生注入script代码,当访问者浏览网站的时候通过执行注入的script代码达到窃取用户信息,盗用用户身份等。

  • 将token存放在cookie中可以指定httponly,来防止被javascript读取,也可以指定secure ,来保证token只在HTTPS下传输。缺点是不符合Restful 最佳实践,容易受到CSRF攻击。

CSRF跨站点请求伪造(Cross-Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。简单来说就是恶意攻击者盗用已经认证过的用户信息,以用户信息名义进行一些操作(如发邮件、转账、购买商品等等)。由于身份已经认证过,所以目标网站会认为操作都是真正的用户操作的。CSRF并不能拿到用户信息,它只是盗用的用户凭证去进行操作。

记忆怪 bug
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解Node.js使用token进行认证的简单示例
01-21
本文只介绍简单的应用,关于json web token的具体介绍以及原理请参考阮一峰老师的JSON Web Token 入门教程。 使用的Node框架是koa2,前端发送ajax请求使用axios 首先创建工程目录: static中存放静态资源,views...
安全验证中token如何放在请求头中传输的解决方法
热门推荐
micc_web的博客
05-17 3万+
废话: 最近做一款app要用到token安全验证,后台们商量了一下用jwt.token。需要我这名前端配合在请求头里自定义一个字段来传输token值,并且接收响应头里的自定义字段token值。然后问题就来了。在自定义请求头字段后接口就跑不通了。在网上查阅一番后发现是因为跨域的问题。 问题所在:在网上扒了半天博客,发现问题出在后端,没错这是一个后端问题。因为跨域,后台就不会接收一切非官方的请求头...
token 应该存在 Cookie、SessionStorage 还是 LocalStorage 中?
生命不息,挖坑不止
06-28 4325
3. LocalStorage:将token存储在localStorage中的优点是,即使在浏览器关闭后,localStorage中的数据仍然存在,因此用户可以保持登录状态。2. SessionStorage:将token存储在sessionStorage中的优点是,它只在当前会话中存在,当用户关闭浏览器后,sessionStorage中的数据将被清除。这种方式的缺点是,如果用户在浏览器中打开新的标签页或窗口,那么新的页面将无法访问sessionStorage中的数据。在Web开发中,安全性是非常重要的。
前端面试题:Token一般是存放在哪里? Token放在cookie和放在localStorage、sessionStorage中有什么不同?
qq_46582421的博客
02-09 1万+
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
Token一般存放在哪里
wufaqidong1的博客
08-15 1万+
CSRF:跨站请求伪造,简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如:发邮件、发信息、甚至财产操作如转账和购买商品)。这利用了web中用户身份验证的一个漏洞:简单的身份验证职能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出去的。这些类型的XSS攻击可以得到每个人的Web存储来访问你的网站。支持localStorage的一派则认为:撇开localStorage的各种优点不谈,如果做好适当的XSS防护,收益是远大于风险的。...
token 一般存放在哪里,为什么不存放在 cookie 内
subsistent的博客
02-16 3003
token一般放在本地存储中。token存在本身只关心请求的安全性,而不关心token本身的安全,因为token是服务器端生成的,可以理解为一种加密技术。但如果存在cookie内的话,浏览器的请求默认会自动在请求头中携带cookie,所以容易受到csrf攻击。
什么是token token用在哪 token放在哪比较好
SSS01233210的博客
01-03 1万+
1. token 其实就是访问资源的凭证,一般是用户通过用户名和密码登录成功之后,服务器将登录凭证做数字签名,加密之后得到的字符串作为token 2. token用在用户登录城后之后会返回给客户端, 3. token主要存储有: 3.1 存储在localStorage、sessionStorage中,每次调用接口的时候发送给服务端(每次调用接口放在HTTP请求头的Authorization字段里) 优点:可以跨域 缺点:没有任何安全防御,很容易受到xss攻击(简单理解在输入框输入js
SpringBoot下token短信验证登入登出权限操作(token存放redis,ali短信接口)
08-25
主要介绍了SpringBoot下token短信验证登入登出权限操作(token存放redis,ali短信接口),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Android使用token维持登陆状态的方法
01-04
什么是token token(令牌)是一串唯一的字符串,通常由服务端生成,在注册完成时返回给客户端,用来标识此用户,客户端将此字符串存储在本地。在以后的网络请求时,客户端先查询本地的token,如果有则直接使用此令牌...
node.js 微信开发之定时获取access_token
11-21
什么是access_token access_token是公众号的全局唯一票据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需...
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
token一般出现的位置
thislocal的博客
03-23 3796
一、GET方法的URL参数中 http://www.abc.com/token=xxxxxx 二、POST方法,存在于隐藏的表单项中
Token以及Token的存储
CatCherry的博客
05-06 5050
客户端发送HTTP请求携带的“令牌”,用来鉴权、身份验证(服务器可以知道是谁在请求)
vue项目token放在哪里_vue项目实现登录携带token
weixin_42098892的博客
01-12 334
登录export default {data () {return {loginForm: {username: '',password: '' }};},methods: {...mapMutations(['changeLogin']),login () {let _this =this;/////判读账号密码是否输入,没有则alert 出来if(this.loginForm.use...
原生html table固定表头,后台返回一个数组对象有多个值,根据表头需要的字段显
weixin_39277183的博客
05-16 167
这段代码首先定义了一个表格,并在JavaScript中获取了它的元素。然后,它遍历了一个示例数据数组,为每个对象创建一个表格行,并且只根据表头需要的字段(id、name、age)插入数据。这样,即使数组中的对象有多个值,表格也只会显示所需的字段。原生html要实现固定表头并根据需要显示的字段渲染后端返回的数组对象,就需要使用JavaScript来渲染DOM。
前端基础入门三大核心之HTML篇 —— 深入解析从URL请求到页面加载的艺术
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-21 516
前端技术的博大精深,远不止于此。从HTML的简单解析到复杂的SPA应用,每一步都蕴含着开发者对极致体验的追求。本文旨在为你铺就一条坚实的基础之路,鼓励你不断深入学习,探索新技术,实践新理念。前端的世界日新月异,保持好奇心,勇于实践,你将在这条道路上走得更远。最后,我们期待你在评论区分享你的学习心得、实战经验或是对未来前端发展的独到见解,让我们一起推动Web技术的车轮滚滚向前。欢迎来到我的博客,很高兴能够在这里和您见面!
前端基础入门三大核心之HTML篇:构建网页世界的基石与HTML5的魔力
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-18 756
HTML是一种标记语言,它使用一系列标签来描述网页内容的结构和表现形式。这些标签告诉浏览器如何处理和显示文本、图片、视频等网页元素。从最基础的段落、标题到复杂的表格、表单,HTML都能轻松应对。
第八篇 Asciidoc 输出 All In One HTML 解决图片无法显示问题
RockTec的专栏
05-15 304
小明使用 Asciidoc 来记笔记,他将笔记输出为 HTML 文件。小丽向小明借笔记。小明将 Asciidoc 笔记输出为 HTML文件,并拷贝给了小丽。但是,小丽发现,图片都显示不出来了。小丽:小明,你给我的笔记,图片都显示不出来啊。小明:是我给你的那个 HTML 文件吗?小丽:是的。小明:哦,我忘记拷贝 HTML 文件依赖的图片了。等我重新整理一下,再发给你。说完,小明犯了难,因为这些 HTML 文件涉及多个本地的图片,要把它们都挑选出来,还真是麻烦。
java如何将token存放到前端请求头中?
06-13
在Java中,可以使用HttpServletResponse的addHeader()方法将token存放到前端请求头中。以下是一个示例代码: ```java String token = "your_token_value"; response.addHeader("Authorization", "Bearer " + token); ``` 在上述代码中,将token存储在了名为 "Authorization" 的请求头中,值为 "Bearer your_token_value"。前端可以通过获取该请求头来获取token值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

记忆怪 bug

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值