双token优点_Token认证的优势与劣势

最新推荐文章于 2024-04-14 15:11:50 发布
最新推荐文章于 2024-04-14 15:11:50 发布
阅读量1.3k 收藏 1
点赞数
文章标签: 双token优点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39600447/article/details/111722793
版权

token 我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。

大致流程:

客户端使用用户名跟密码请求登录

服务端收到请求,验证用户名与密码

验证成功后,服务端会签发一个Token,再把这个Token 发送给客户端

客户端收到 Token 以后可以把它存储起来,比如放在localStorage中

客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就放行

1. 优势

那Token相对于Cookie/Session的好处:

支持跨域访问: Cookie是不允许垮域访问的,token支持

无状态: token无状态,session有状态的

去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可.

更适用于移动应用: Cookie不支持手机端访问的

性能: 在网络传输的过程中,性能更好

基于标准化: 你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在 多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如: Firebase,Google, Microsoft)

2 缺陷

1. 占带宽

正常情况下要比 session_id 更大,需要消耗更多流量,挤占更多带宽,假如你的网站每月有 10 万次的浏览器,就意味着要多开销几十兆的流量。听起来并不多,但日积月累也是不小一笔开销。实际上,许多人会在 JWT 中存储的信息会更多。

2. 无法在服务端注销,那么久很难解决劫持问题

3. 性能问题

JWT 的卖点之一就是加密签名,由于这个特性,接收方得以验证 JWT 是否有效且被信任。但是大多数 Web 身份认证应用中,JWT 都会被存储到 Cookie 中,这就是说你有了两个层面的签名。听着似乎很牛逼,但是没有任何优势,为此,你需要花费两倍的 CPU 开销来验证签名。对于有着严格性能要求的 Web 应用,这并不理想,尤其对于单线程环境。

路漫漫其修远兮。

weixin_39600447
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oauth2.0 access_token资源认证
01-10
Oauth2.0连接oracle数据库,进行资源认证,生成access_token.
基于acess_token和refresh_token实现token续签
03-19
基于acess_token和refresh_token实现token续签
【Vue3项目】登录注册--Token机制
aDiaoYa_的博客
08-12 1662
最近同项目的伙伴告诉我们一个“新词汇”——Token登录机制,emmmmm,确实没了解过,据说是在实现token长期有效的同时,防止token被第三方盗用,提高用户信息的安全性。于是,在了解了大概之后,我找了很多篇文章去学习Token的实现过程,总结如下。一般我们实现用户登录是:用户登录向服务端发送账号密码信息,登录失败返回客户端重新填写并发送用户信息;登录成功服务端生成token并返回token给客户端,客户端将token存本地。那么问题来了,token的有效期应该是多久呢?
token优点_Token优势
weixin_33973572的博客
01-30 1649
该楼层疑似违规已被系统折叠隐藏此楼查看此楼token优势1.无状态、可扩展在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是...
后端token登陆快速入门:token实现登陆,判断登陆过期
最新发布
Old_Secretary的博客
04-14 1110
由于token的过期时间在token生成后就难以更改,所有token的过期时长不宜设置过长,然而token过期时间短的话,用户需要不停登陆,体验较差,这个时候我们就可以使用token来解决。附带token流程和示例代码
JWT 身份认证缺点分析以及常见问题解决方案
编码行者的博客
10-22 744
之前分享了一个使用 Spring Security 实现 JWT 身份认证的 Demo,文章地址:适合初学者入门 Spring Security With JWT 的 Demo。 Demo 非常简,没有介绍到 JWT 存在的一些问题。所以,独抽了一篇文章出来介绍。为了完成这篇文章,我查阅了很多资料和文献,我觉得应该对大家有帮助。 相关阅读: 《一问带你区分清楚Authentication,Authorization以及Cookie、Session、Token》 适合初学者入门 Spring Secur
token优点_Token经济优劣分析
weixin_39586683的博客
12-20 169
Token经济又名通证经济,指的是利用区块链发行代币,通过代币激励,以期获得用户与平台的共同增长经济模式。关于token经济的讨论一直是区块链行业中最热门的话题,特别在2017年牛市期间,有不少人认为token经济大势所驱,会变革生产方式;然而随着区块链市场逐步归于冷清,大家对token经济的发展也由早期的过于乐观,开始走向理性。那token经济的优势到底在哪,它真的会成为一种新的经济模式吗?潜在...
为什么要token
cs_knight的博客
01-19 807
我设计的token的流程即在用户登录时返回两个token,称为access_token和refresh_token,访问接口时,携带access_token,当access_token过期后,让前端携带refresh_token请求刷新token的接口获取新的两个tokentoken缺点也是有的,access_token在得到刷新的结果前会有一段时间处于不可用的状态,为避免这种情况,前端可以主动判断token过期时间(由后台在返回token时返回),如果时间临近了,就主动去发送刷新请求。
token带来的好处
抛弃幻想,准备斗争
02-16 4474
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Toke...
通过小故事学习网络硬件协议.rar_ token_arp_token_token ring_以太网
09-21
作者通过一个故事的形式讲解了以太网(Ethernet)、集线器和交换机、令牌环网(Token Ring)、ARP(地址解析协议)等
sch_tbf.rar_token bucket_token bucket filter
09-22
Token Bucket Filter queue.
token_toke控制_packagejqw_token采集_
10-03
toke采集与控制,当项目需要做某个token采集时用到
token优点_基于Token 认证和session 认证的比较
weixin_39537397的博客
12-20 183
前言:本文解决的问题基于session 认证的不足基于 token 认证的过程session VS tooken1.传统基于Cookie 认证的过程长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是*有状态的(statefu...
WEB安全(十三)Token认证优势劣势
jinyangjie的博客
02-17 4409
一、优势 token 相对于 Cookie + Session 的优势,主要有下面四个: 1、无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。 2、防止CSRF 攻击 CSRF(Cross Site Request Forgery) 一般被翻译为 跨站请求伪造,属于网络攻击领域范围。构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的 ses
Token认证的好处和坏处是什么?
热门推荐
Miss.Fan的博客
12-11 1万+
token 这里我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是 这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在localStorage中 客户端每次向...
linux安全机制 token,Token技术有什么优势?网络安全学习内容
weixin_35346265的博客
05-14 199
Token技术是什么?使用Token的目的是什么?Token有什么优势Token是网络协议相关内容知识点,是Linux运维和网络安全工程师需要了解的内容。网络安全是现下较为热门的职业岗位,随着市场对网络安全工程师的需求有所增加,学习网络安全技能的人也越来越多。想要成为优秀的网络安全工程师,就需要掌握扎实的网络安全实战技能。Token技术是什么?Token的引入:Token是在客户端频繁向服务端请...
token的理解以及作用
weixin_42317922的博客
12-12 545
token的理解: 类似于一些用户信息, 客户端访问服务器, 服务器返回一个签名的token给客户端, 服务器和客户端各自保存token 以后每次请求服务器都会携带token token的主要作用: 1 防止表重复提交 2 身份验证 ...
项目梳理——Token
Hathwayoung的博客
04-24 1508
Tokentoken+refreshToken。 假设设置一个有效时间validtime为2h,如果使用token的话,则就是进行操作前面这篇提到的方式。 不同的是,当使用token的时候,不需要像token那样每次操作都对有效时间进行刷新,而是在这2h内,这个token可以一直使用,一直有效,访问不同的信息,不需要刷新。 而在2h后,refreshToken在它的有效期内自动刷新tok...
小程序 token
sinat_36017053的博客
11-08 663
前言 当我们需要用户在指定时间内有操作时就可以不用登录(首次登录还是免不了的),而在指定时间内没有任何操作时就需要重新登录的话,那么就需要对token方案进行一定设计 目前比较推荐的做法是使用token方案 方案设计 用户在登录之后返回access_token和refresh_token(这里假定他们的有效期分别是1小时和30天) 当access_token未过期时,则请求正常 当access_token过期了,此时服务端会返回过期提示给到客户端,客户端收到过期提示后,使用refresh_token去获
token rcv_rtsp leave
08-12
### 回答1: 当调用“token rcv_rtsp leave”时,它可能是指在使用RTSP(实时流传输协议)时,一个称为"token rcv_rtsp"的令牌要求离开或退出当前的RTSP会话。 RTSP是一种用于控制多媒体服务器传输的协议,它允许客户端通过发送请求和接收响应来控制媒体流的传输和管理。在RTSP会话中,令牌可以用于表示一个客户端或者一个资源。通过使用令牌,RTSP服务器可以识别和管理不同的会话和访问权限。 在这种情况下,"token rcv_rtsp leave"可以表示客户端或资源名为"token rcv_rtsp"的实体请求离开正在进行的RTSP会话。这可能包括停止接收RTSP流,关闭连接或终止会话。请求离开会话可能有多种原因,如用户意愿、情境变化或其他服务器端的需求。 需要注意的是,具体的含义和操作可能因不同的实际情况而异。由于提供的信息有限,无法确定具体的用途或相关环境。因此,对于"token rcv_rtsp leave"的含义和影响,需要根据实际使用情况进行更详细的分析和解释。 ### 回答2: token rcv_rtsp leave 是RTSP(Real-Time Streaming Protocol,实时流传输协议)中的一个命令,意思是指示接收端(rcv)离开(leave)RTSP会话。 RTSP是一种用于实时媒体流传输的网络协议,它允许客户端和服务器之间建立连接并进行媒体流的传输和控制。token是一个标识符,用于识别和操作特定的会话。 当接收端收到该命令时,它将结束当前的RTSP会话,并断开与服务器之间的连接。这意味着接收端将不再接收来自服务器的媒体流。 接收端可能会选择离开会话的原因有很多,例如网络连接不稳定、无法处理服务器发送的媒体流或用户主动中断会话。 离开会话后,接收端可以选择重新建立连接,重新加入另一个会话,或者终止整个RTSP传输过程。 总之,token rcv_rtsp leave 表示接收端离开RTSP会话,将不再接收来自服务器的媒体流。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值