Token学习笔记

最新推荐文章于 2024-04-07 12:07:53 发布
最新推荐文章于 2024-04-07 12:07:53 发布
阅读量457 收藏
点赞数
文章标签: 学习笔记 Token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19903753/article/details/100971964
版权

Token

文章目录

Token产生的背景?

在客户端与服务端的交互过程中,客户端频繁地向服务端请求数据,服务端频繁地去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,但是如果总是需要对比用户名和密码,会在一定程度上加大安全问题的隐患,并且频繁的调用数据库,会造成资源的浪费,让程序运行效率变慢,在这样的背景下,Token便应运而生。

Token是什么?

Token在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。在开发中,Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

Token的作用?

  1. 使用Token,我们并不需要频繁调用查询数据库,所以使用Token能减轻服务器的压力;
  2. 使用Token,我们不需要频繁传输用户的账号和密码,所以使用Token在一定程度上可以避免出现一些安全问题;

生成Token的方法有哪些?

  1. 用设备号/设备mac地址作为Token(推荐)

    客户端:客户端在登录的时候获取设备的设备号/mac地址,并将其作为参数传递到服务端。

    服务端:服务端接收到该参数后,便用一个变量来接收同时将其作为Token保存在数据库,并将该Token设置到session中,客户端每次请求的时候都要统一拦截,并将客户端传递的token和服务器端session中的token进行对比,如果相同则放行,不同则拒绝。

    分析:客户端和服务器端就统一了一个唯一的标识Token,而且保证了每一个设备拥有了一个唯一的会话。该方法的缺点是客户端需要带设备号/mac地址作为参数传递,而且服务器端还需要保存;优点是客户端不需重新登录,只要登录一次以后一直可以使用,至于超时的问题是由服务器这边来处理,如何处理?若服务器保存的Token超时后,服务器只需将客户端传递的Token向数据库中查询,同时并赋值给变量Token,如此,Token的超时又重新计时。

  2. 用sessionID值作为Token

    客户端:客户端只需要使用用户名和密码登录即可。

    服务端:服务端收到客户端提交的用户名和密码做判断,如果正确就将本地获取的sessionID作为Token返回给客户端,因为客户端再次请求的时候会带上sessionID,所以客户端以后只需要带上数据请求即可。

    分析:sessionID是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成的sessionID叫做jsessionid,session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionID的方法:随机数+时间+jvmid;;该方法的缺点在于,当session过期后,客户端必须重新登录才能访问数据;优点是不需要存储数据。

  3. 用自己设定的算法去创建Token,比如使用:

    1. 用户名_UUID作为Token;
    2. JWT(json web token)标准去生成Token;
    3. 第三方工具类如:jjwt-0.9.0.jar生成Token;

    客户端:客户端使用用户名和密码登录,根据不同的Token生成算法提供不同的数据信息。

    服务端:服务端收到客户端提交的用户名和密码做判断,如果正确就将客户端提供的信息通过自己设定的算法生成Token。

    分析:由于生成Token的方法不同,获取数据生成Token、验证Token的方式也不同,对于生成Token算法比较复杂的情况,可能会在生成Token的时候消耗很多资源,但是由于算法复杂,Token不容易被破解;不同的算法,需要的数据也不同,这一点也会造成安全性、运行效率的区别。

验证Token的注意事项?

在验证Token的时候我们需要考虑到以下几个方面:

  1. 根据生成Token的算法,去找到验证Token的方法;
  2. 由于存放Token的位置不同,验证的方式会不一样;
  3. 如果用到了Session,需要考虑Session的有效期;
  4. 如果用到了缓存数据库,需要考虑Token的有效期;

使用Token的基本流程

Token的基本流程大概是这样的:

  1. 客户端使用用户名跟密码请求登录;
  2. 服务端收到请求,去验证用户名与密码;
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端;
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里;
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token;
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。
雨声残响丶
关注
同源、跨域、cookie\seesion\token学习笔记
不想当脚本小子的脚本小子
01-22 488
同源:如果两个页面的协议(如https和http),端口(如80和80)和域名都相同,则两个页面具有相同的源。——一种安全机制。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如防止CSRF 如果非同源,就会有三种行为受到限制: 1) Cookie、L
token-JWT学习笔记
程序猿劝退师的博客
12-02 752
目录 1. 常见的认证机制 2.基于 JWT 的 Token 认证机制实现 2.1.什么是 JWT 2.2JWT 组成 头部(Header) 载荷(playload) 签证(signature) 完整jwt 3.Java 的 JJWT 实现 JWT 3.1目录结构 3.2pom.xml文件引入 3.3项目中使用 JWTDemo JwtDemo2 JwtDemo3...
token学习笔记
头发茂密的假程序猿
07-13 278
一、jwt jwt全程Json Web Token,是一个跨域身份验证的解决方案。 二、jwt VS Session 2.1 session验证身份的流程 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将...
token学习
FrancesZiYouZhiRen的博客
12-19 180
类比seesion 流程: 前段登录==(name,password)==>后台校验通过,生成token==>前端存储token在本地===>前端请求api,把token带上一起传给后台===>后台Filter校验token:1.通过--->CRUD操作,返回数据----->展示数据                                     ...
Token笔记
Mr-Jies
05-06 287
Token1.令牌的生成和存储2.使用token获取登录信息3.登录过滤器的Token处理4.注销登录 1.令牌的生成和存储 Redis UUID 实现 @PostMapping("login") public Result login(@RequestParam String userName,@RequestParam String password, HttpServl...
Token验证学习笔记
不正经的大叔
03-08 151
http://blog.csdn.net/romanticRose/article/details/78135261
2022/8/19-学习笔记(五)-token验证
m0_52892440的博客
08-19 1003
一、前端token验证 前后端分离的项目,vue前端实现token验证的大致流程如下: 1.第一次登录,前端调用api,发送用户名和密码 2.后端收到请求,验证用户名密码,成功后返回token. 3.前端拿到token,将token存储到vuex和localStorage里。跳转至对应路由。 4.前端每次跳转路由,判断localStorage中有无token,没有就跳转至登录界面,有跳转至相应界面,此处在路由守卫里设置。 5.每次调用后端接口,在请求头中加token 6.后端判断请求头中是否有token
Pytorch学习笔记——文本预处理
01-06
文本预处理 1、概述 文本数据:有用内容和无用内容 文章:单词、符号、空格、乱码等 思想:我们需要对无用信息进行过滤,而计算机无法直接处理单词等有用信息,我们需要把他们转换成数字。将单词映射到不同的数字,...
Axios学习笔记之使用方法教程
01-19
所以本文将详细介绍关于Axios使用方法的相关内容,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍: Axios Github 功能特性 从浏览器中创建 XMLHttpRequests 从 node.js 创建 http 请求 支持 ...
Token使用笔记
AsteroidQiao的博客
03-24 375
Token使用
token笔 记】
weixin_58212428的博客
07-27 122
token的生成及应用
Token 学习记录
崔二旦
04-10 453
Apache Shiro 学习记录
token学习笔记(JWT、jjwt的使用及案例实现)
Tian208的博客
01-25 5602
1. 首先、了解什么是会话 2. 会话跟踪的主要技术 3. Token 令牌学习 3.1 流程图 3.2 token 3.3 JWT(JSON web Tokens)Json web 令牌(规范) 3.4 JWT结构 3.5 JWT需要的依赖 3.6 JWT的获取与验证流
token学习与使用
weixin_52259848的博客
10-05 4830
Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此**Token返回给客户端**,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
token详解
最新发布
qq_52758588的博客
04-07 4556
token详解
(3)token知识点的简单梳理
weixin_42467515的博客
07-26 441
微信调用token,并存储token方法token解释:公众平台的API调用所需的access_token的使用及生成方式说明: token解释: access_token => 公众号 => 全局唯一票据,唯一性 公众号 => 调用各接口 => 都需要使用access_token => 开发者进行妥善保存 access_token => 存储 => 至少...
Token学习
jokermelove__的博客
04-13 124
服务端:接收到用户名和密码后进行校验,正确就将本地获取的sessionid作为token返回给客户端,客户端以后只需带上请求的数据即可。不需要服务端粗春用户的登录记录,通过客户端存储放在cookie /local Storage(本地存储)用于身份验证,,服务端只需要使用秘钥进行校验即可,不需要查询或者减少查询数据库,因为JWT自包含了用户信息和加密的数据。(这里的session和客户端传来的token的比较是关键)优点是客户端无需重新登录,只要登录一次以后一直可以使用,对于超时的问题由服务端进行处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值