Token一般存放在哪里?各有什么不同?

最新推荐文章于 2024-06-27 12:55:49 发布
最新推荐文章于 2024-06-27 12:55:49 发布
阅读量3.1k 收藏 4
点赞数 1
分类专栏: 架构 文章标签: 架构
原文链接:https://blog.csdn.net/m0_66051368/article/details/124136769
版权

Token 其实就是访问资源的凭证。
一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符作为token。

它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式:

1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台

2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域

3.拿到之后存储在 localStorage 中,每次调用接口的时候放在 HTTP 请求头的 Authorization 字段里

所以token 在客户端一般存放于 localStorage、cookie 或  sessionStorage 中。

 将token存放在webstroage中,可以通过同域的js来访问。这样会导致很容易受到 XSS攻击,特别是项目中引入很多 第三方js类库的情况下。如果js脚本被盗用,攻击者就 可以轻易访问你的网站,webStroage作为一种储存机制,在传输过程中不会执行任何安全标准。

XSS攻击:cross-site Scripting (跨站脚本攻击) 是一种注入代码攻击。恶意攻击者在目标网站生注入script代码,当访问者浏览网站的时候通过执行注入的script代码达到窃取用户信息,盗用用户身份等。

将token存放在cookie中可以指定httponly,来防止被javascript读取,也可以指定secure ,来保证token只在HTTPS下传输。缺点是不符合Restful 最佳实践,容易受到CSRF攻击。

CSRF跨站点请求伪造(Cross-Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。简单来说就是恶意攻击者盗用已经认证过的用户信息,以用户信息名义进行一些操作(如发邮件、转账、购买商品等等)。由于身份已经认证过,所以目标网站会认为操作都是真正的用户操作的。CSRF并不能拿到用户信息,它只是盗用的用户凭证去进行操作。


————————————————
版权声明:本文为CSDN博主「记忆怪 bug」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_66051368/article/details/124136769

qq_30597401
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue全局配置请求token_详解vue项目中使用token的身份验证的简单实践
weixin_42513944的博客
01-13 2493
工作原理前端页面进行登录操作, 将用户名与密码发给服务器;服务器进行效验, 通过后生成token, 包含信息有密钥, uid, 过期时间, 一些随机算法等 ,然后返回给前端前端将token保存在本地中, 建议使用localstorage进行保存. 下次对服务器发送请求时, 带上本地存储的token服务器端,进行对token的验证, 通过的话, 进行相应的增删改查操作, 并将数据返回给前端为通过则...
SpringBoot下token短信验证登入登出权限操作(token存放redis,ali短信接口)
08-25
// 创建Token,这里假设我们有AuthService String token = authService.createToken(userDetails); // 将Token存入Redis,设置过期时间 redisTemplate.opsForValue().set("token:" + userId, token, ...
前端面试题:Token一般是存放在哪里? Token放在cookie和放在localStorage、sessionStorage中有什么不同?
qq_46582421的博客
02-09 1万+
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
前端面试题-token存放位置
最新发布
m0_62300955的博客
06-27 576
前端面试题:token
token 一般存放在哪里,为什么不存放在 cookie 内
subsistent的博客
02-16 3184
token一般放在本地存储中。token的存在本身只关心请求的安全性,而不关心token本身的安全,因为token是服务器端生成的,可以理解为一种加密技术。但如果存在cookie内的话,浏览器的请求默认会自动在请求头中携带cookie,所以容易受到csrf攻击。
什么是token token用在哪 token放在哪比较好
SSS01233210的博客
01-03 1万+
1. token 其实就是访问资源的凭证,一般是用户通过用户名和密码登录成功之后,服务器将登录凭证做数字签名,加密之后得到的字符串作为token 2. token用在用户登录城后之后会返回给客户端, 3. token主要存储有: 3.1 存储在localStorage、sessionStorage中,每次调用接口的时候发送给服务端(每次调用接口放在HTTP请求头的Authorization字段里) 优点:可以跨域 缺点:没有任何安全防御,很容易受到xss攻击(简单理解在输入框输入js
token一般出现的位置
thislocal的博客
03-23 3898
一、GET方法的URL参数中 http://www.abc.com/token=xxxxxx 二、POST方法,存在于隐藏的表单项中
Android使用token维持登陆状态的方法
01-04
什么是token token(令牌)是一串唯一的字符串,通常由服务端生成,在注册完成时返回给客户端,用来标识此用户,客户端将此字符串存储在本地。在以后的网络请求时,客户端先查询本地的token,如果有则直接使用此令牌...
node.js 微信开发之定时获取access_token
11-21
什么是access_token access_token是公众号的全局唯一票据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需...
Laravel实现ApiToken认证请求
10-16
在Laravel中,所有数据库迁移文件都存放在`database/migrations`目录下。对于本例,打开`2014_10_12_000000_create_users_table.php`文件,并在合适的位置添加一个`api_token`字段,代码如下: ```php $table->...
详解Node.js使用token进行认证的简单示例
01-21
本文只介绍简单的应用,关于json web token的具体介绍以及原理请参考阮一峰老师的JSON Web Token 入门教程。 使用的Node框架是koa2,前端发送ajax请求使用axios 首先创建工程目录: static中存放静态资源,views...
Token一般存放在哪里
热门推荐
wufaqidong1的博客
08-15 1万+
CSRF:跨站请求伪造,简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如:发邮件、发信息、甚至财产操作如转账和购买商品)。这利用了web中用户身份验证的一个漏洞:简单的身份验证职能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出去的。这些类型的XSS攻击可以得到每个人的Web存储来访问你的网站。支持localStorage的一派则认为:撇开localStorage的各种优点不谈,如果做好适当的XSS防护,收益是远大于风险的。...
vue项目token放在哪里_vue开发--生成token并保存到本地存储中
weixin_39717704的博客
12-20 812
首先回顾一下token:token认证是RESTFUL.api的一个很重要的部分,通过token认证和token设置,后端会有一个接口传给前台:http://localhost/yiiserver/web/index.php/token?client_appid=aaa&client_appkey=bbb其实就是向用户表里去生成一个token这里的client_id相当于用户名,clien...
Token以及Token的存储
CatCherry的博客
05-06 5709
客户端发送HTTP请求携带的“令牌”,用来鉴权、身份验证(服务器可以知道是谁在请求)
单点登录token存本地
weixin_44239362的博客
05-14 251
1、认证中心获取token存储在本地 -> 要进入子系统时,使用postmessage向子系统发送token,并存储在子系统的localstorage中。注意:这里使用window.onmessage,用window.addEventListener会导致重复触发。2、子系统的public文件夹下创建settoken.html,用来存储token。// 监听跨域跳转获取新token存入localStorage实现获取访问令牌。// 告诉上层 window,已保存token,可以开始跳转了。
Token的存储方式
qq_44675204的博客
08-11 3953
Token: 访问资源的凭证。一般用户通过用户名密码登录后,服务端会将登录凭证做数字签名,加密之后的字符串作为Token。并在客户端后面的向服务端的请求中携带,作为凭证。 Token在客户端的存储主要有: 1、localStroage、sessionStroage,二者主要区别在于,关闭浏览器sessionStroage会被清除,但localStroage不会。将Token存于Web Stroage会导致容易受到XSS攻击,因为Web Stroage作为一种存储机制,在传输过程中不会执行任何安全标准,所以要
token 应该存在 Cookie、SessionStorage 还是 LocalStorage 中?
生命不息,挖坑不止
06-28 5634
3. LocalStorage:将token存储在localStorage中的优点是,即使在浏览器关闭后,localStorage中的数据仍然存在,因此用户可以保持登录状态。2. SessionStorage:将token存储在sessionStorage中的优点是,它只在当前会话中存在,当用户关闭浏览器后,sessionStorage中的数据将被清除。这种方式的缺点是,如果用户在浏览器中打开新的标签页或窗口,那么新的页面将无法访问sessionStorage中的数据。在Web开发中,安全性是非常重要的。
php7.2前端得到token后怎么保存,前后端分离,前端如何保存登录信息
weixin_34537864的博客
03-27 830
有两种方式,老方式,后台session方式:首次登录把密码用户名传后台。后台先判断是否正确,正确的话后台也会给cookie里写入密码,用户名和 sessionId。以后每请求都会带sessionId,后台就知道这是登录状态。cookie里的用户名,密码的保存时效后台就可以设置,也就是自动登录能保持多久。这种老方式,前端不用干什么工作。新方式,前端token方式:首次登录把密码用户名传后台。后台先判...
java如何将token存放到前端请求头中?
06-13
在Java中,可以使用HttpServletResponse的addHeader()方法将token存放到前端请求头中。以下是一个示例代码: ```java String token = "your_token_value"; response.addHeader("Authorization", "Bearer " + token); ``` 在上述代码中,将token存储在了名为 "Authorization" 的请求头中,值为 "Bearer your_token_value"。前端可以通过获取该请求头来获取token值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值