TOKEN 部分知识20210101

最新推荐文章于 2023-05-20 14:31:18 发布
最新推荐文章于 2023-05-20 14:31:18 发布
阅读量320 收藏
点赞数
分类专栏: # Javascript 文章标签: 服务器 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41785923/article/details/122296039
版权

什么是token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

基于 Token 的身份验证

  1. 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。流程是这样的:
  2. 客户端使用用户名跟密码请求登录
  3. 服务端收到请求,去验证用户名与密码
  4. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  5. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  6. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  7. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
  8. APP登录的时候发送加密的用户名和密码到服务器,服务器验证用户名和密码,如果成功,以某种方式比如随机生成32位的字符串作为token,存储到服务器中,并返回token到APP,以后APP请求时,
  9. 凡是需要验证的地方都要带上该token,然后服务器端验证token,成功返回所需要的结果,失败返回错误信息,让他重新登录。其中服务器上token设置一个有效期,每次APP请求的时候都验证token和有效期。

token的优势

  1. 无状态、可扩展

在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成 一些拥堵。但是不要着急。使用tokens之后这些问题都迎刃而解,因为tokens自己hold住了用户的验证信息。
2. 安全性
请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。
3. 可扩展性
Tokens能够创建与其它程序共享权限的程序。例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。
4. 多平台跨域
我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。Access-Control-Allow-Origin: *
5. 基于标准
创建token的时候,你可以设定一些选项。我们在后续的文章中会进行更加详尽的描述,但是标准的用法会在JSON Web Tokens体现。最近的程序和文档是供给JSON Web Tokens的。它支持众多的语言。这意味在未来的使用中你可以真正的转换你的认证机制。

token 原理

  1. 将荷载payload,以及Header信息进行Base64加密,形成密文payload密文,header密文。
  2. 将形成的密文用句号链接起来,用服务端秘钥进行HS256加密,生成签名.
  3. 将前面的两个密文后面用句号链接签名形成最终的token返回给服务端

注:

  • 用户请求时携带此token(分为三部分,header密文,payload密文,签名)到服务端,服务端解析第一部分(header密文),用Base64解密,可以知道用了什么算法进行签名,此处解析发现是HS256。
  • 服务端使用原来的秘钥与密文(header密文+"."+payload密文)同样进行HS256运算,然后用生成的签名与token携带的签名进行对比,若一致说明token合法,不一致说明原文被修改。
  • 判断是否过期,客户端通过用Base64解密第二部分(payload密文),可以知道荷载中授权时间,以及有效期。通过这个与当前时间对比发现token是否过期。

token 实现思路

  1. 用户登录校验,校验成功后就返回Token给客户端。
  2. 客户端收到数据后保存在客户端
  3. 客户端每次访问API是携带Token到服务器端。
  4. 服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码
坚持日更的路上
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于token知识整理
weixin_43747906的博客
12-10 2万+
安全性 在无状态请求时访问api接口,服务器无法判断访问者。于是呢,我们就需要有一个用户认证,一般有两种方法: session+cookie验证 token验证(包含部分信息的加密字符串) 1.用户登录 获取token服务器) 保存token 2. 用户请求其他接口并且携带token 3. 服务器端 验证token 是否存在 token有效 验证ok 用户状态ok 如何产生t...
(3)token知识点的简单梳理
weixin_42467515的博客
07-26 337
微信调用token,并存储token方法token解释:公众平台的API调用所需的access_token的使用及生成方式说明: token解释: access_token => 公众号 => 全局唯一票据,唯一性 公众号 => 调用各接口 => 都需要使用access_token => 开发者进行妥善保存 access_token => 存储 => 至少...
【WEB安全】session 与 token 相关知识
韩旭051的博客
05-04 1226
Vue + Spring Boot 项目实战(十四):用户认证方案与完善的访问拦截 https://learner.blog.csdn.net/article/details/102788866 知识点笔记 session 许多语言在网络编程模块都会实现会话机制,即session。利用 session,我们可以管理用户状态,比如控制会话存在时间,在会话中保存属性等。其作用方式通常如下...
Token的三要素
weixin_45704311的博客
04-23 4275
一、定义Token token分为三部分来定义: 1 .表头:Header是一个json对象,存储元数据 { "alg":"HS256", "typ":"JWT" } alg:是签名的算法名称(algorithm),默认是HMAC SHA); type属性表示这个令牌(token)的类型(type),JWT令牌统一写成JWT。 2.负载:Payload是一个json对象。存放传递的数据,数据分为Public和Private。 Public是JWT中规定的一些字段,可以自己选择使
Thinkphp检测Token令牌,防跨站跨账户漏洞
美奇软件开发工作室
05-11 444
以前真的不懂,也没想明白为什么要检查Token,感觉多此一举,毕竟用户都是要登录网站,才能进行操作,今天才发现自己的想法太天真了!不做Token检测的话,别人只要知道你的接口或者控制器方法名,很容易就可以进行跨站或者跨账户操作,比如张三,可以直接修改李四的登录状态,下面一起来学习如何避免这个漏洞。或者在ajax参数里加上token。2、所有的控制器都要继承这个。
springboot整合token的实现代码
08-25
Token 由三个部分组成:Header、Payload 和 Signature。Header 中包含了 Token 的类型和加密算法,Payload 中包含了用户的信息,如用户名、权限等,Signature 是对 Token 的数字签名。 3. TokenUtil.java 实现: ...
基于vue 实现token验证的实例代码
08-28
在该实例代码中,我们可以看到,Token验证主要分为两个部分:客户端和服务端。在客户端,我们使用了axios库来发送请求,并使用了interceptors来拦截请求和响应。在请求拦截器中,我们检查了Vuex存储的Token,如果有...
jQury Ajax使用Token验证身份实例代码
08-29
本文详细介绍了 jQury Ajax 使用 Token 验证身份实例代码的实现细节,包括获取 Token设置请求头和验证身份三个部分。该实例代码可以帮助我们更好地理解 Token 验证身份的机制,并在实际开发中应用于不同的场景。
vue 导出文件,携带请求头token操作
10-14
补充知识部分提到了另一种不需要携带token的导出方式,即直接调用后台接口。这种情况下,可能是因为后台已经通过其他方式验证了用户身份,或者导出操作不涉及敏感数据。在Vue中,可以使用类似的方法,只是不添加请求...
http知识超全汇总-all.pdf
09-08
最后,JSON Web Token(JWT)是一种现代的身份验证机制,它可以替代传统的Session Cookie,将用户身份信息编码为一个令牌,安全地在客户端和服务器之间传递,降低了跨域身份验证的复杂性。JWT通常与Cookie和Session...
快速了解Cookie/Session/Token,以及CSRF跨站攻击
kzc5335475的博客
04-13 433
快速了解Cookie/Session/Token,以及CSRF跨站攻击 本文主要介绍Cookie、Session以及Token的工作机制,以及CSRF跨站攻击,并不涉及到具体以及细节的属性。希望能帮助大家快速了解这几种不同的浏览器用户身份跟踪的会话方式。 无状态的HTTP Http协议本身是无状态的,也就是说每一次请求都是相互独立的,服务器并不能分辨请求是不是来自同一个用户。这样的好处是处理起来迅速,缺点就是在很多场景中,用户的每一步操作都是上下文关联的,比如网购往购物车里加东西,即使没有登录帐号,服务器
【Java web】JWTtoken登录校验
zhangshuo的博客
05-05 2121
JWT (Json Web Token) 是为了网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT可以校验用户的身份,传递用户的身份信息,一般用在用户登录上。 JWT token的组成 头部(header) { "alg": "HS256", "typ": "JWT" } alg : 加密类型 typ : JWT token的类型 alg 算法 ...
跨站请求伪造 【安全方面】
u012045045的博客
06-21 305
一级类: 跨站脚本二级类:跨站请求伪造数量: 126详细信息:    跨站请求伪造(CSRF)是伪造客户端请求的一种攻击。应用程序允许用户提交不包含任何保密信息的请求,将可能导致CSRF攻击。    例如:以下代码片段用于银行转账功能,对于该重要敏感的操作没有进行相应防护,将易于导致跨站请求伪造攻击。    <form method="GET" action="/transferFunds ...
Token防篡改机制-JWT
Zz1366的博客
05-20 1241
jwt
web安全token
weixin_33739627的博客
07-07 661
参考:http://blog.csdn.net/sum_rain/article/details/37085771   Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。 那么,Token有什么作用?又是什么原理呢? Token一般用在两个地方: 1)防止表单重复提交、 2)anti csrf攻击(跨站点请求伪造)。 两者在原理上都是通过ses...
cookie和session和token的区别和CSRF跨站伪造安全性初探(纠正很多技术博客的错误)
肖馨果爸爸的博客
05-21 817
介绍了 cookie,session 和 csrf 的机制
csrf_token跨站请求伪造和保护验证
weixin_40105587的博客
03-09 2302
伪造:其实请求伪造是客户端发的 恶意网站不需要客户端的访问记录保护:(使用POST请求方式 , 本质是在请求的参数上加上随机字符串进行混淆)1 .当客户端请求服务器 服务器端根据 secret_key 生成一个随机的token  服务器会把这个token 写到返回的cookie里 键为csrftoken 其值为自动生成的token     2 在所有的POST表单中 服务器会自动帮帮我们生成一个隐...
跨站攻击和利用CSRF token来防御
FinixLei的专栏 (https://github.com/FinixLei)
06-14 1833
跨站攻击: 用户首先访问网银站点,登录成功后,浏览器拿到token 用户并没有登出网银站点,此时又登录一个钓鱼站点 钓鱼站点有一个诱惑链接,用户点了此链接,此链接的内容是一个URL,而此URL的实质就是转账给钓鱼者,用的是网银的标准转账URL. 用户点此链接后,浏览器封装HTTP请求,当看见是访问那个尚未退出的网银站点,就自动加上了cookie与auth token 于是,authentica...
【跨域】什么是 Token(令牌)?Token 和 Session、Jwt的区别? 常见的前后端鉴权方式?
Milk~每天分享一点点,技术进步一点点
08-17 1063
什么是 Token(令牌)? Acesss Token 访问资源接口(API)时所需要的资源凭证 简单 token 的组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串) 特点: 服务端无状态化、可扩展性好 支持移动端设备 安全 支持跨程序调用 token 的身份验证流程: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 token 并把这个 token
文法在做编译器的那一部分有用
最新发布
06-02
是的,文法在编译器的词法分析和语法分析阶段非常重要。词法分析器将输入的字符流转换为token序列,采用的方法是基于正则表达式的有限自动机。而语法分析器则使用文法来解析token序列,将其转换为语法分析树或者抽象语法树。常见的文法包括上下文无关文法(CFG)和正则文法,其中CFG被广泛应用于编译器的语法分析阶段。文法的设计和实现直接影响编译器的性能和正确性,因此编译器开发人员需要深入理解文法相关的知识

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值