Token认证模式详解

已于 2022-08-26 16:13:20 修改
阅读量297 收藏
点赞数
文章标签: java 服务器 servlet
于 2022-08-26 16:04:20 首次发布
原文链接:https://blog.csdn.net/qq_47664976/article/details/122719650
版权

一.为什么要用token?

1.HTTP是一个无状态的协议,一次请求结束后下次再发送请求服务器就不知道请求是谁发来的了(同一个IP不代表同一个用户),在Web应用中,用户的认证和鉴权又是非常重要的一环。

2. 在Web应用发展的初期,大部分采用基于Cookie-Session的会话管理方式,但是基于Session的方法又存在很多问题;

  • 服务端需要存储Session,并且由于Session需要经常快速查找,通常存储在内存中或内存数据库中,同时在线用户较多需要占用大量的服务器资源
  • 当需要扩展时,创建Session的服务器可能不是验证Session的服务器,所以还需要将所有Session单独存储并共享。
  • 由于客户端使用Cookie存储SessionID,在跨域场景下需要进行兼容性处理,同时这种方式也难以防范CSRF攻击。

鉴于基于Session的会话管理方式存在上述多个缺点,基于Token的无状态会话管理方式诞生了,所谓无状态:就是服务器端可以不在存储信息,甚至不在存储Session

二.token是什么

Token是 服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后, 服务器生成-个Token便将此Token返回给客户端后,客户端只需带上这个Token前来请求数据即可,无需再次带上域名和密码。  

token的具体逻辑如下:

  • 客户端使用用户名,密码进行认证。
  • 服务端验证用户名,密码正确后生成Token返回给客户端。
  • 客户端保存Token,访问需要认证的接口在URL参数或HTTP Header中加入Token
  • 服务端通过解码Token进行鉴权,返回给客户端需要的数据。

 在这里插入图片描述

 Token的优势:

  1. 服务端不需要存储和用户鉴权有关的信息,鉴权信息会被加密到Token中,服务端只需要读取Token中包含的鉴权信息即可。
  2. 避免了共享Session导致的不易扩展的问题。
  3. 不需要依赖Cookie,有效的避免Cookie带来的CSRF攻击问题
  4. 使用CORS可以快速解决跨域问题。

        

Dearest one
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解ASP.NET Core Token认证
10-20
主要介绍了详解ASP.NET Core Token认证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
什么是token认证
weixin_47427787的博客
07-30 3074
token认证
Token详解及安全验证
qq_59125846的博客
05-18 5788
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。
Java中高级核心知识全面解析——认证授权(Token-认证),带你彻底搞懂Java启动速度优化
最新发布
ZZdjajf13131的博客
04-01 761
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
浅谈token认证
weixin_43887870的博客
05-19 4654
Token 使用token一般的身份验证流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携带服务端签发的token,可以在cookie或者header中携带 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就向客户端返回请求数据 Jwt就是一个token的具体实现方式,即:JSON Web
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3667
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
Token 认证完全指南 (来自前端高级专业编程人员详解)
2301_78359537的博客
12-16 139
通过使用 Token 鉴权,我们可以为 Node.js 应用程序提供高度安全的用户认证机制。然而,在实践中,还需要考虑到安全最佳实践、Token管理和存储、以及对于不同用户角色的权限控制等方面。希望本文能够为您提供深入理解 Token 鉴权方案的指导,并在您的 Node.js 应用程序中实现可靠的用户身份验证机制。
spring boot+jwt实现api的token认证详解
08-26
主要给大家介绍了关于spring boot+jwt实现api的token认证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一学习学习吧
Token认证签名加密
09-10
这个是写与第三方接口对接的事例代码,上面写的比较通俗易懂,很容易理解,有注解,没做过第三方接口对接的小朋友照抄就行,
token认证
weixin_42533428的博客
08-20 931
JWT就是通过json格式作为Web应用程序中的令牌,用于在各方之间安全地将信息以JSON的形式传输,在数据传输过程中.还可以对数据进行加密,签名等相关处理。
基于jwt的token验证、原理及流程
z_ssyy的博客
05-31 5277
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
基于 Cookie/Session 的认证方案
Tatooine
04-29 1096
基于 Cookie/Session 的认证方案 Cookie Cookie 的工作原理 由于 HTTP 是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是。cookie 指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie 的保存时间,可以自己在程序中设置。如果没有设置保存时间,应该是一关闭浏览器,cookie 就自动消失。 Cookie 实
Session 认证Token 认证
abc_138的博客
01-02 1001
概念:JWT 全称 JSON Web Token,是一种基于 Token认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4259
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
对比三种认证方式:传统token认证,jwt认证,oauth认证
qq1319713925的博客
12-11 1378
详解几种认证方式的原理和区别
使用token登陆认证流程
zerodiyi的博客
03-23 2194
JWT验证的主要流程
Token 认证的来龙去脉:一种详细的解决思路和方案
good7ob的博客
06-17 401
简单来说,就是用户在登录成功后,服务器返回一个 Token 给用户,之后用户只需带上这个 Token服务器就可以识别用户的身份。服务器在接收到请求后,会首先验证 Token 的有效性,然后根据 Token 中的用户 ID,查找到对应的用户信息,进一步处理请求。在互联网的大海中,我们可以视 Token 认证为一种高效、安全的身份认证航标,它为我们的数据安全指引方向,为我们的服务带来便捷。虽然其也有一些安全挑战,但只要我们合理运用,并且持续改进,就可以充分利用它的优点,解决我们的问题。
redis-token认证
09-08
Redis-Token认证是一种在Redis服务中进行用户权限验证的方式。传统的Redis使用非常简单,没有用户认证机制,任何人只要连接到Redis服务器,就可以执行任意操作。这在一些开放的环境中存在一定的安全风险。 为了解决...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值