从session到token

最新推荐文章于 2022-04-17 17:52:02 发布
最新推荐文章于 2022-04-17 17:52:02 发布
阅读量67 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/ccXgc/p/9084517.html
版权

这几天在搞小程序涉及到登陆。

然后想起了很早以前自己看的一篇文章。

 

《干掉状态:从session到token》
链接:http://weixin.niurenqushi.com/article/2017-03-20/4794863.html

 

该文提出了以下几点观点:
1、session是有状态的,每次登陆时候给客户端返回一个随机码,客户端每次请求带上这个随机码来标识自己的身份。
2、服务器需要保存所有下发给客户端的随机码,假设有1亿个用户,也要保存1亿个session,当然,可能有的不是活跃的用户,可以考虑让token过期,但是总之问题的复杂度出在该token的存储上。比如:可能假设不用redis/memcache之类的缓存服务器,很可能造成机器不好扩展。但是用了redis/memcahce之类的软件,又很可能造成单点问题。。。各种考虑集群。
3、问题复杂度出存储全部用户的token上。实际情况下,我们可以考虑不存储这个token,怎么做到呢?很简单,就是用对称加密算法就行了,比如AES之类。这样就不用存储了。

 

附带:session 算法:
md5(base64(aes_256(uid+生成时间,秘钥)))
为什么要Base64,因为aes生成的字符有的是非明文字符。。。而且aes生成的字符串长度不是固定的。不利于客户端保存传输。
为什么要md5?加大不可逆的风险,其实没啥必要,只要aes就Ok了,因为aes破解也很具有难度的。

 

怎么搞个token算法?
简单的把md5去掉,变成base64(aes_256(uid+生成时间,秘钥))即可~~

 

转载于:https://www.cnblogs.com/ccXgc/p/9084517.html

weixin_30335575
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie、SessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookie,sessiontoken的使用及原理
10-16
主要介绍了彻底理解cookie,sessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
shiro将session认证改成token认证_初步学习Shiro框架 第一集
weixin_39626237的博客
01-25 361
1、什么是ShiroApache Shiro™ is a powerful and easy-to-use Java security framework that performs authentication, authorization, cryptography, and session management. With Shiro’s easy-to-understand AP...
JWT简介:从SessionToken的转变
ordinary_brony的博客
11-21 666
JWT,全称Json Web Token。我们平常所说的token实际上就是说JWT技术中的T。本篇将说SessionToken的对比。
使用session以及在session中加入token
热门推荐
京北游戏官方
06-10 3万+
通过使用session以及在session中加入token,来验证同一个操作人员是否进行了并发重复的请求,在后一个请求到来时,使用session中的token验证请求中的token是否一致,当不一致时,被认为是重复提交,将不准许通过。 整个流程可以由如下流程来表述: 客户端申请token 服务器端生成token,并存放在session中,同时将token发送到客户端 客户端存储token,在请求提交时,同时发送token信息 服务器端统一拦截用户的所有请求,验证当前请求是否需要被验证(不是所有请求都验证重复
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
Cookie、SessionToken、JWT.xmind
01-30
Cookie、SessionToken、JWT.xmind
Java跨session实现token接口测试过程图解
08-19
主要介绍了Java跨session实现token接口测试过程图解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
token的理解
dengjue7846的博客
04-03 168
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六...
Form token KO80SIJW4F84034NG5HM1ZBUGOVNY64D does not match the session token null.
黑暗之神的博客
04-05 1442
token: 在活动中检查合法令牌(token), 防止表单的重复提交; 在会产生提示信息   但是在接到非法令牌时将提交的数据保存在session中; 不会在会产生提示信息只会     在后台发出警告并处理,如下:   警告: Form token KO80SIJW4F84034NG5HM1ZBUGOVNY64D does not match the session token null.
详解Cookie、SessionToken
lranqi的博客
04-17 1456
详解Cookie、SessionToken
Cookie/Session机制详解——如何区分不同用户
胡嘿嘿
10-17 1719
转载博文, 原文地址会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制在程序中,会话
SessionToken认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3861
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
干掉状态:从sessiontoken
java的平凡之路
03-22 3432
1 美好的旧时光 我经常怀念三十年前那美好的旧时光,工作很轻松,生活很悠闲。 上班的时候偶尔有些HTTP的请求发到我这里,我简单的看一下,取出相对应的html文档,图片,发回去就可以了,然后就可以继续喝茶聊天。 我的创造者们对我很好, 他们制定的一个简单HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的! 邮件服务
sessiontoken
最新发布
05-14
SessionToken都是用于维护用户会话状态的技术。 Session是一种服务端技术,用于在服务器端存储和维护用户的会话状态。当用户通过浏览器访问服务器时,服务器会创建一个唯一的Session ID,并将其存储在cookie或URL参数中,以便在用户之后的请求中进行识别和验证。服务器可以使用Session ID来存储和检索与该用户相关的数据,这些数据可以在用户的不同请求之间共享和保留。Session可以用于实现用户登录、购物车、表单填写等功能。 Token是一种客户端技术,用于在客户端存储和传递用户的身份验证信息。当用户登录后,服务器会生成一个Token,并将其发送给客户端。客户端可以在后续的请求中通过在请求头或URL参数中传递Token来进行身份验证。服务器可以解析Token并验证其有效性,以确定请求是否来自已经登录的用户。Token可以用于实现跨域身份验证、API访问授权等功能。 总的来说,Session是在服务器端存储和维护会话状态,Token是在客户端存储和传递身份验证信息。两者都可以用于维护用户会话状态,但是在不同的场景中使用的方式不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值