token优势步骤实现

最新推荐文章于 2024-03-27 21:36:26 发布
最新推荐文章于 2024-03-27 21:36:26 发布
阅读量458 收藏 1
点赞数
分类专栏: netWork java 文章标签: session java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37908402/article/details/105048906
版权

Token优势原理步骤与实现

文章目录

token的优势

Token 完全由应用管理,所以它可以避开同源策略(所谓的同源,指的是协议,域名,端口相同)。

Token 可以避免 CSRF 攻击(CSRF利用cookie进行请求伪造,token可以不用到cookie)。

Token 可以是无状态的,可以在多个微服务间共享。

步骤

① 用户首次登录,将输入的账号和密码提交给服务器

② 服务器对账户密码校验,若账号和密码匹配则验证通过,登录成功,并生成一个token值,将其保存到数据库,并返回给客户端

③ 客户端拿到返回的token值将其保存在本地(如cookie/local storage),作为公共参数,以后每次请求服务器时都携带该token(放在响应头里),提交给服务器进行校验

④ 服务器接收到请求后,首先验证是否携带token,若携带则取出请求头里的token值与数据库存储的token进行匹配校验,服务器执行校验后续步骤。

⑤ 注意:用户每进行一次登录,登录成功后服务器都会更新一个token新值返回给客户端

实现

基础的实现,只有为登入与登入的校验,没有其他高级权限。

前端
vue登入成功获取token

登入并将获取的token放在localStorage中

checklogin: function() {
		var _this=this;
		this.postRequest('/login',{
							username:this.ruleForm.name,
							password: this.ruleForm.pass,		
		}).then(function(result) {
			console.log(result.data);
			if(result.data.status==200){			
				_this.$data.loginingname=_this.ruleForm.name;
				window.localStorage.setItem("token", result.data.obj);//保存获取的token
				 console.log(_this.$data.userName+" 登入成功!");
			}
		
		}
		)
	 // this.$router.go(-1);
	}
vue中自定义请求,请求中携带token
export const postRequest = (url, params) => {
  return axios({
    method: 'post',
    url: `${base}${url}`,
    data: params,
    transformRequest: [function (data) {
      let ret = ''
      for (let it in data) {
        ret += encodeURIComponent(it) + '=' + encodeURIComponent(data[it]) + '&'
      }
      return ret
    }],
    headers: {
      'Content-Type': 'application/x-www-form-urlencoded',
	  'token' :  window.localStorage.getItem("token"), //http头部添加 token 从
    }
  });
}
后端登入,获取token并保存再redis中
import ***
import java.util.UUID;
@Controller
@RequestMapping("/*")
public class LoginController {
    private  static  final Logger logger= LoggerFactory.getLogger(LoginController.class);
    @Autowired
    UsersService usersService;
    @Autowired
    RedisTemplate redisTemplate;
    @RequestMapping("/login")
    @ResponseBody
    public RespBean login(@Param("username") String username, @Param("password")String password, HttpServletResponse response){
        Users users=usersService.selectUserByNameAndPass(username,password);
        if(username==null){
            return new RespBean(400,"用户名或密码错误",null);
        }
        else {
            String token=UUID.randomUUID().toString();//根据java自带的UUID获取一个根据计算的字符串
            logger.info("登入成功 token:"+token);
            UserInfo userInfo=usersService.getUserInfoByUserid(users.getId());
            redisTemplate.opsForValue().set(token,userInfo, Duration.ofMinutes(20));//再数据库中保存20分钟
            return new RespBean(200,"登入成功",token);
        }
    }
}
根据token对普通用户认证

使用spring的Aop对相应请求拦截验证。

@Component
@Aspect
public class AuthorityAspect {
    private  static  final Logger logger= LoggerFactory.getLogger(AuthorityAspect.class);
    @Autowired
    RedisTemplate redisTemplate;
    @Pointcut("execution(* com.yzren.learnonline.controller.normaluser.*.*(..))")
    public void authorityCheck() {
    }
        @Before("authorityCheck()")
        public void doBefore(JoinPoint joinPoint) throws Throwable {
            ServletRequestAttributes attributes = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
            HttpServletRequest request = attributes.getRequest();
            HttpServletResponse response=attributes.getResponse();
            String token =request.getHeader("token");
            if(token==null){
                logger.info("没有token 令牌");
                response.setStatus(401);//在http协议中401状态代表无权限
                return;
            }else {
                Long expire = redisTemplate.getExpire(token);//获取时间,看token是否过期,<0就未过期
                if(expire<0){
                    response.setStatus(401);
                    return;
                }
            }
        }
}
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
WEB安全(十三)Token认证的优势与劣势
jinyangjie的博客
02-17 4519
一、优势 token 相对于 Cookie + Session优势,主要有下面四个: 1、无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。 2、防止CSRF 攻击 CSRF(Cross Site Request Forgery) 一般被翻译为 跨站请求伪造,属于网络攻击领域范围。构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的 ses
token优点_Token经济优劣分析
weixin_39586683的博客
12-20 183
Token经济又名通证经济,指的是利用区块链发行代币,通过代币激励,以期获得用户与平台的共同增长经济模式。关于token经济的讨论一直是区块链行业中最热门的话题,特别在2017年牛市期间,有不少人认为token经济大势所驱,会变革生产方式;然而随着区块链市场逐步归于冷清,大家对token经济的发展也由早期的过于乐观,开始走向理性。那token经济的优势到底在哪,它真的会成为一种新的经济模式吗?潜在...
token是什么?(概念+应用场景+优缺点)
最新发布
小草莓的博客
03-27 3433
总的来说,Token 作为一种身份验证和授权机制,具有便捷、安全等优点,但也需要注意安全性和管理问题。
【web安全】同源策略与跨域
一个程序员
01-26 671
同源策略是非常基础与重要的知识点,与web安全防护,以及前后端开发都有着重要的联系。
浅谈token是什么?
weixin_45439337的博客
02-17 8427
文章目录一、token是什么? 一、token是什么? 经过了小半年的开发工作,接触到的项目,只要不是无需登录的接口就需要携带token,可见token的重要性。 文章知识来源: token是服务端生成的一串字符串,以作客户端进行请求的令牌,当第一次登陆后,服务器生成一个token便将此token返回给客户端,以后客户端只要带上这个token前来请求数据即可,无需再次带上用户名和密码 基于token的身份验证 使用基于token的身份验证方法,在服务端不需要存储用户的登录记录.流程是这样的: 客户端使用
php实现JWT(json web token)鉴权实例详解
10-16
在PHP中实现JWT鉴权,通常涉及以下几个关键步骤和概念: 1. **JWT的结构**: JWT由三部分组成:Header、Payload和Signature。Header包含了令牌的类型和签名算法(如HS256),Payload存储了实际的用户信息或声明,...
详解ASP.NET Core Token认证
10-20
在ASP.NET Core中,JWT验证主要通过以下步骤实现: 1. **生成SecurityKey**:首先,你需要一个用于签名和验证JWT的密钥。例如,你可以创建一个SymmetricSecurityKey,并将其设置为一个私有字符串。 ```csharp var ...
Vue入门之Token使用简单实现
m0_52766567的博客
03-19 673
一:什么是token 1.token优势 : ​ 无状态、可扩展、安全(请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作) 2.token的定义 : ​ Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token
十次方——加密与初识JWT
哈喽羊
03-29 603
一. BCrypt密码加密 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。BCrypt强哈希方法 每次加密的结...
token优点_Token优势
weixin_33973572的博客
01-30 1744
该楼层疑似违规已被系统折叠隐藏此楼查看此楼token优势1.无状态、可扩展在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是...
Token原理以及应用
热门推荐
自由
07-23 6万+
近期由于项目需要开发供第三方使用的api,在整个架构设计的一个环节中,对api访问需要进行认证,在这里我选择了token认证。 一:token优势(此部分引自http://www.sumahe.cn/)     1.无状态、可扩展         在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服
Token作用和原理
八点半技术站
11-04 1万+
首先我们说一下,什么是token??? Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的场景下,Token便应运而生。 那么Token是服务端生成的一串字符串,也就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两...
token会话的优势
aaaaaaaBBBBBCCC的博客
02-19 517
token会话的优势 1.不依赖cookie,方便服务器多系统端跨域访问 2.通过http头传输认证信息,支持多平台客户端
token带来的好处
抛弃幻想,准备斗争
02-16 4552
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Toke...
Token认证的好处和坏处是什么?
Miss.Fan的博客
12-11 1万+
token 这里我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是 这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在localStorage中 客户端每次向...
Token:JWT的优点与注意事项
正趣果上果
05-22 6665
JWT的优点: 安全性高,防止token被伪造和篡改 自包含,减少存储开销 跨语言,支持多种语言的实现 支持过期,发布者校验JWT的注意事项: 消息体可以被base64解密为明文 不适合存放大量信息 无法作废未过期的jwt...
了解基于Token的身份验证的来龙去脉
让我们荡起双桨的博客
03-29 9457
简介 在Web领域基于Token的身份验证随处可见。在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。 以下几点特性会让你在程序中使用基于Token的身份验证 1.无状态、可扩展  2.支持移动设备  3.跨程序调用  4.安全   那些使用基于Token的身份验证的大佬们 大部分你见到过的API和Web应用
理解JWT:生成与验证Token的关键步骤
- **Public Claims**(公开声明):用户可以自定义的公开声明,但需确保与其他JWT实现不冲突。 - **Private Claims**(私有声明):仅在特定服务提供者和消费者之间使用的自定义声明,用于交换私有信息。 3. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值