Token

最新推荐文章于 2021-10-02 15:45:12 发布
最新推荐文章于 2021-10-02 15:45:12 发布
阅读量148 收藏
点赞数
分类专栏: php 文章标签: token cookie JWT 合理化JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011584949/article/details/89294944
版权

token认证流程

  • 用户登录校验,校验成功后就返回Token给客户端
  • 客户端收到数据后保存在客户端
  • 客户端每次访问API是携带Token到服务端,通常置于header头内
  • 服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码

token缺陷

  • token 一般都是 hash/encrypt 的字符串,会额外附加 加密/解密,需要一定性能开销
  • 无法作废已颁布的令牌
    • 认证发出后的过期时间内难以令其失效或撤销,类似缓存,只能自然死亡
  • 更多的空间占用
    • 放在客户端,需要考虑cookie的空间限制因素
    • 放在localStorage,则可能到受到Xss攻击

合理使用

  • 将cookie作为存储机制 JWT,并且设置HttpOnly=true
    • 确保只能由服务端保存以及通过自动回传的cookie取得JWT
  • 在JWT中尽可能只放“够用”的认证信息,其他信息放在数据库,需要时再获取
  • 数字签名,要求发放方验证票据是否合法
  • 关键点
    • 存储与认证,token主要是解决认证的验证问题
    • sessionId在负载均衡时,下一次使用会丢失上次状态,多服务器通信为保持状态一致性,通常会复制sessionID
  • 应用场景
    • JWT适合一次性的命令认证,颁发一个有效期极短的JWT,即使暴露了危险也很小,由于每次操作都会生成新的JWT,因此也没必要保存JWT,真正实现无状态。

http协议中的cookie

  • cookie存储
    • Cookie总是保存在客户端,可存储在内存和硬盘上
    • 内存cookie由浏览器维护,浏览器关闭即消失,也称之为非持久cookie
  • cookie属性
    • Domain:域,表示当前cookie所属于哪个域或子域下面
    • Expire time/Max-age:表示了cookie的有效期
    • secure:表示该cookie只能用https传输
    • httponly:表示此cookie必须用于http或https传输,不允许浏览器脚本访问操作此cookie
  • cookie交互
    • 从服务器端,发送cookie给客户端,是对应的Set-Cookie,发送cookie的各个属性
    • 从客户端发送cookie给服务器的时候,只是发送对应的名称和值,可通过js脚本document.cookie去设置对应的cookie
  • cookie会被附加在每个相应的HTTP请求中
pardon110
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jfinal框架中使用Token验证
yuger_2018的博客
10-29 4666
登陆时后端获取token的问题 客户端每次像服务器请求API接口时候,都要带上Token. public class DemoInterceptor extends Interceptor { @Override public void intercept(Invocation inv) { Ret ret = Ret.ok(); ret.set("...
Jfinal结合redis实现JWT拦截器的token安全验证
leo
12-18 1844
拦截器: public class AuthTokenInterceptor implements Interceptor { private final String ACCESS_TOKEN = "token"; @Override public void intercept(Invocation inv) { Controller contro...
jfinal框架中token使用总结
weixin_43886319的博客
07-02 1764
使用场景:用户登录之后会生成token,如果没有登录直接访问功能会被TokenInterceptor拦截,下面介绍的就是拦截器以及token生成的java代码 首先是TokenInterceptor package com.demo.sys; import com.demo.common.model.User; import com.jfinal.aop.Interceptor; impor...
Jfinal集成Jwt实现token认证
qq_41997812的博客
12-30 1682
** 1.导入pom依赖 <!--JWT依赖包--> <jwt.version>3.2.0</jwt.version> <jjwt.version>0.6.0</jjwt.version> <!--JWTtoken认证--> <dependency&g...
JFinal 实现Token的步骤
Cary_1029的博客
12-02 2074
本文来源:https://www.oschina.net/question/866801_240944 JFinal作者的解答  JFinal 已经对Token提供了支持,大致步骤如下: 1:创建一个 action,在此 action用一下 createToken("myToken"),然后render(xxx.html) 2:在xxx.html 中用一个隐藏域&lt;input type=...
token介绍
weixin_42408447的博客
05-25 1145
一.Token是什么?   Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 二.Token的引入   Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 三.使用Token的目的 Token的目的是为了减轻服务器的压力,减少频
基于acess_token和refresh_token实现token续签
03-19
在这个场景下,“基于acess_token和refresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token`和`refresh_...
vue中前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
1、首次登录的时候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的时候携带AccessToken。 4、当接口口返回401权限错误时,使用RefreshToken请求...
onenet平台Token计算工具
06-17
标题中的“onenet平台Token计算工具”指的是一个用于与中移物联网OneNet平台交互的工具,该工具的主要功能是生成和管理Token。OneNet是中国移动旗下提供物联网服务的一个云平台,它提供了数据存储、处理、分析以及...
JFinal+token基础demo
05-21
基于JFinaltoken认证demo
JFinal登录在线信息集合的实现
03-25
基于jfinal框架下的登录后。。登录信息集合的实现
onenet MQTT Token计算工具
09-30
【OneNet MQTT Token计算工具详解】 OneNet MQTT Token计算工具是一款专为物联网(IoT)开发者设计的应用,用于生成在使用OneNet MQTT协议时所需的Token。OneNet是中国移动物联网开放平台提供的一种通信协议,它基于...
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
热门推荐
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
Jfinal token拦截器另类实现,防止表单重复提交
weixin_33694172的博客
07-12 226
2019独角兽企业重金招聘Python工程师标准>>> ...
JFinal重复验证token
lillte_bird的博客
10-02 224
什么是token? 服务器对用户的请求随机生成一个随机字符串令牌,用户访问服务器时服务器验证这个令牌 JFinal 已经对Token提供了支持,大致步骤如下: 1:创建一个 action,在此 action用一下 createToken("myToken") render(xxx.html)` 2:在xxx.html 中用一个隐藏域<input type=“hidden” name="myToken", value=${myToken!}#myToken即为随机字符串 3:在接收提交的 actio
jfinaltoken的错误问题
weixin_34294649的博客
11-28 216
2019独角兽企业重金招聘Python工程师标准>>> ...
zabbix token
最新发布
07-05
Zabbix Token是一种临时的安全令牌,用于验证API请求。当你需要访问Zabbix Web API执行某些操作(如添加监控项、获取数据等)但不希望在登录凭据中直接包含密码时,可以创建一个Token。 1. **生成Token**:通常在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值