关于token，你应该知道的十件事

最新推荐文章于 2024-09-19 20:53:02 发布

星辰_mya

最新推荐文章于 2024-09-19 20:53:02 发布

阅读量3k

点赞数

前言：

看到标题，想起了恋爱这件小事，本来想写“token，这件小事”的，但是尊重原作

转自：http://ju.outofmemory.cn/entry/134189 关于 Token，你应该知道的十件事

正文：

1、token应该被保存起来：放到local/session stograge或cookies

单页应用程序中，有些用户刷新浏览器后会带来token相关的问题，解决方法如标题1，浏览器不支持session storage时转存到cookies，将cookies作为存储机制，不会被web用于用户验证，无XSRF危险

2、token可以有更多的操作方法

token应该有一个有效期，不能无期限吧，什么都是有个时限的，要不然怎么挣钱？开玩笑，cookies也是

cookies可在浏览器关闭后删除session cookies

服务器端检查，或绝对/相对有效期；

cookies可带有有效期地保存起来（浏览器关闭也不删除)

token使用中，过期重获取，使用接口刷新

旧token过期；检查用户是否还存在（怎么瘆得慌）权限是否被取消；得到新token

3、local/session storage不会跨域工作，使用一个标记cookie

如果设置了cookie域名为.yourdomain.com，其可被yourdomain.com和app.yourdomain.com获取，用户登录转到app.yourdomain.com后可从主域名找回这个cookie

存在local/session storage的tokens，不能从不同域名(含子域名)中读取,怎么做？

可以：当用户通过app.yourdomain.com上验证时生成token且作为cookie保存到.yourdomain.com，在yourdomain.com中可检查这个cookie是不是已经存在，存在就转到app.yourdomain.com，此后token对程序子域名及之后流程都有效（直至过期）

但将导致cookie存在如果token被删除或其他意外，用户将不得不重新登录；像前所说：我们不会用这个cookie做为验证方法，只是作为存储机制支持存储信息再不同域名中

4、每个cors请求都会带上预请求preflight request

当content-type：application/json时，authorization header对特定urls的all请求都会带上一个预请求

the options请求不会带authorization header自身，网络架构应支持区别对待option和后来的请求

5、当你需要流传某些东西，请用token去获取一个已经签名的请求

token使用中，请求通过xhr（XMLHttpRequest 好文遗憾现在才读到）完成，不能依赖他，解决方法：想AWS那样通过生成签了名的请求

6、XSS比XSRF更容易防范

XSS跨站脚本攻击：在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中【百科】

原理：攻击者插入一段读用户浏览器cookies并将其传给攻击者的可执行JavaScript脚本，攻击者得到cookies后可冒充用户

防范：写入cookies时，将httpOnly设置为true，客户端JavaScript无法读取cookies值

token也是存在本地session storage 或客户端cookies中，也会受xss攻击，用tokens考虑过期机制

XSRF危害较大：almost web框架内置xss防范机制，但xsrf不是，开发者要留言xsrf