Token认证的好处和坏处是什么?

最新推荐文章于 2025-04-10 09:49:40 发布
置顶 最新推荐文章于 2025-04-10 09:49:40 发布
阅读量1.1w 收藏 14
点赞数 1
分类专栏: jwt 文章标签: token jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43814195/article/details/84957457
版权
本文探讨了Token作为访问资源凭据的优缺点。Token认证提供了跨域支持、无状态性和去耦合的优势,尤其适合移动应用。然而,它也存在占用带宽、无法在服务端注销以及增加性能开销等缺陷。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

token 这里我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是 这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在localStorage中
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就放行

1. 好处

那Token相对于Cookie的好处:

  • 支持跨域访问: Cookie是不允许垮域访问的,token支持
  • 无状态: token无状态,session有状态的
  • 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可.
  • 更适用于移动应用: Cookie不支持手机端访问的
  • 性能: 在网络传输的过程中,性能更好
  • 基于标准化: 你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在 多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如: Firebase,Google, Microsoft)

2 缺陷

说了那么多token认证的好处,但他其实并没有想象的那么神,token 也并不是没有问题。

1. 占带宽
正常情况下要比 session_id 更大,需要消耗更多流量,挤占更多带宽,假如你的网站每月有 10 万次的浏览器,就意味着要多开销几十兆的流量。听起来并不多,但日积月累也是不小一笔开销。实际上,许多人会在 JWT 中存储的信息会更多。
2. 无法在服务端注销,那么久很难解决劫持问题
3. 性能问题
JWT 的卖点之一就是加密签名,由于这个特性,接收方得以验证 JWT 是否有效且被信任。但是大多数 Web 身份认证应用中,JWT 都会被存储到 Cookie 中,这就是说你有了两个层面的签名。听着似乎很牛逼,但是没有任何优势,为此,你需要花费两倍的 CPU 开销来验证签名。对于有着严格性能要求的 Web 应用,这并不理想,尤其对于单线程环境。

cookie、sessionToken的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 887
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则同,生成的的结果就会同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到同域名下,就需要「一次登录,全线通用」的能力,叫「单点登录」。
token优点_Token认证的优势与劣势
weixin_39600447的博客
12-20 1506
token 我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端需要存储用户的登录记录。大致流程:客户端使用用户名跟密码请求登录服务端收到请求,验证用户名与密码验证成功后,服务端会签发一个Token,再把这个Token 发送给客户端客户端收到 Token 以后可以把它存储起来,比如放在localStorage中客户端每次向服务端请求资源的时候需要带着服务端签...
token是什么?(概念+应用场景+优缺点)
小草莓的博客
03-27 5253
总的来说,Token 作为一种身份验证授权机制,具有便捷、安全等优点,但也需要注意安全性管理问题。
token带来的好处
抛弃幻想,准备斗争
02-16 4666
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 久前,我在在前后端分离实践中提到了基于 Token认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Toke...
为什么要使用token,它的作用、好处token的加密功能是什么以及要如何使用token
最新发布
zwh0681的博客
04-10 879
token是用于验证用户身份的,在我们使用的每一个软件当中都会有一个登录系统,在用户进行登录之后会生成一个token返回给客户端,在返回客户端时会把token放在HTTP Header当中,这个token会包含用户的角色以及角色的权限,当我们再次进入到这个app时服务器会验证存放的token,获取用户的角色权限,并决定该角色无法使用什么功能,token还可以实现跨域跨设备的支持。2.减少数据泄露风险:敏感信息被转换成Token后,即便数据库遭到入侵,泄露的也只是无意义的代币,而是用户的真实数据。
WEB安全(十三)Token认证的优势与劣势
jinyangjie的博客
02-17 4727
一、优势 token 相对于 Cookie + Session 的优势,主要有下面四个: 1、无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器需要存储 Session 信息,这显然增加了系统的可用性伸缩性,大大减轻了服务端的压力。 2、防止CSRF 攻击 CSRF(Cross Site Request Forgery) 一般被翻译为 跨站请求伪造,属于网络攻击领域范围。构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的 ses
jjwt token 缺点
chuncui2576的博客
07-13 307
JWT缺点 , 之前没有考虑到 一旦拿到token, 可用它访问服务器,直到过期,中间服务器无法控制它,如是它失效(有解决方案: 在 token 中保存信息,可添加额外的验证,如加一个 flag, 把数据库对应的flag失效,来控制token有效性)。 token 的过期时间设置很关键,一般...
token的理解以及作用
weixin_42317922的博客
12-12 638
token的理解: 类似于一些用户信息, 客户端访问服务器, 服务器返回一个签名的token给客户端, 服务器客户端各自保存token 以后每次请求服务器都会携带token token的主要作用: 1 防止表单重复提交 2 身份验证 ...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
webapi下的token认证刷新token
04-27
通过ajax分配相应的clientIDSecret及用户名...测试页面click_me_please_iframe.html包含相应的刷新认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,必要在产生新的token;开发工具是vs2017
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
token优点_Token的优势
weixin_33973572的博客
01-30 1809
该楼层疑似违规已被系统折叠隐藏此楼查看此楼token的优势1.无状态、可扩展在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲性)。用户量大时,可能会造成 一些拥堵。但是...
token会话的优势
aaaaaaaBBBBBCCC的博客
02-19 550
token会话的优势 1.依赖cookie,方便服务器多系统端跨域访问 2.通过http头传输认证信息,支持多平台客户端
Token设计缺陷测试
酷狗直播-锦凡歆的博客
05-28 772
Token设计缺陷测试 在找回密码功能中,很多网站会向用户邮箱发送找回密码页面链接。用户只需要进入 邮箱,打开找回密码邮件中的链接,就可以进入密码重置页面了。找回密码的链接通常会 加入校验参数来确认链接的有效性,通过校验参数的值与数据库生成的值是否一致来判断 当前找回密码的链接是否有效。 例如,网站给出的找回密码的url如下,单击这个链接将跳转到重置密码页面。 http://www.xxx.c...
token的作用及实现原理(一)
weixin_42603009的博客
02-10 6569
token在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。 1:requestsession的区别 request request 指在一次请求的全过程中有效。即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。...
cookie,session,token的优缺点。
VIC1921507475的博客
02-10 3364
cookie 数据放在客户的浏览器上 优点: 1.减轻服务器性能方面,应当使用cookie。 缺点: 1.单个cookie保存的数据能超过4K。 2.cookie是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。 session数据放在服务器上。 优点: 1.session较安全 缺点: 1.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。 2.s
Token验证流程、代码示例、优缺点安全策略,一文告诉你。
贝格前端工场的博客
05-29 3250
Token是一种用于身份验证授权的令牌,通常用于在客户端服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web TokenJWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
JWTtoken的区别及优缺点
kymengfw的博客
05-19 1824
JWTtoken的区别及优缺点 TOKEN 概念: 令牌, 是访问资源的凭证。 1、Token认证流程: 用户输入用户名密码,发送给服务器。 服务器验证用户名密码,正确的话就返回给客户端一个签名过的token。 浏览器客户端拿到这个token,存储到cookie或者localStorage中。 客户端后续每次请求中,会在 header中携带token发送给服务器。 服务器器验证token并解析出用户ID等相关信息,通过调取数据库信息比对,如果有效那么
uuc-token是什么?
01-21
### uuc-token 的定义与用途 #### 定义 uuc-token 是一种用于特定应用环境下的认证令牌,通常由一组字符组成,旨在验证用户的身份并授权其访问受保护资源。这种令牌可以视为一种临时凭证,在有效期内允许持有者执行被许可的操作。 #### 用途 在IT安全领域内,uuc-token 主要用作增强型的安全措施来加强系统的安全性: - **身份验证**:通过发放唯一的token给合法用户,确保只有经过授权的人才能进入系统或服务。 - **权限控制**:根据同用户的角色分配相应的token,从而实现细粒度的访问管理策略[^1]。 - **防止重放攻击**:由于每次登录都会生成新的token,并且具有时效性,这有助于抵御恶意第三方试图重复使用旧有的认证信息发起攻击的行为。 - **简化跨域资源共享(CORS)**:当涉及到多个子域名之间的交互时,可以通过统一颁发识别token的方式解决浏览器同源政策带来的限制问题。 ```python import jwt from datetime import datetime, timedelta def create_uuc_token(user_id, secret_key='your_secret'): payload = { 'exp': datetime.utcnow() + timedelta(days=7), # 设置过期时间 'iat': datetime.utcnow(), # 发行时间 'sub': user_id # 用户标识符或其他相关信息 } token = jwt.encode(payload, secret_key, algorithm='HS256') return token.decode('utf-8') # 返回编码后的字符串形式token ``` 此代码片段展示了一个简单的创建uuc-token的方法,其中包含了设置有效期、发行时间主体声明等功能。需要注意的是实际应用场景下还需要考虑更多因素如加密强度等以保障更高的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值