Token登录原理分析

最新推荐文章于 2024-08-22 17:02:09 发布
最新推荐文章于 2024-08-22 17:02:09 发布
阅读量4.1k 收藏 36
点赞数 12
分类专栏: 网络传输协议 文章标签: token sso token登录原理 token单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45277161/article/details/118579183
版权

Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。

Token是什么

token就相当于客户端登录的账号的唯一标识,在做一些数据请求的时候,后台会要求在请求头中携带token,如果没有token,或者token过期了,那么这时候就会对这个客户端进行返回响应的数据,然后前端在解析这些数据,判断是token过期,还是没有携带token,然后让用户进行相应的操作。总而言之,token是在向后台请求数据的时候必不可少的。如果没有token,那么后台要么不会返回响应的数据,要么就会返回一些无关紧要的数据。

简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。

为什么要使用Token

  • Token 完全由应用管理,所以它可以避开同源策略
  • Token 可以避免 CSRF 攻击,安全性高
  • Token 可以是无状态的,可以在多个服务间共享

接下来了解一下request和session的区别

  • request 指在一次请求的全过程中有效,即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。如:被请求的jsp页面和该页面用<include>指令包含的页面以及<forward>标记包含的其它jsp页面;
  • Session是用户全局变量,在整个会话期间都有效。只要页面不关闭就一直有效(或者直到用户一直未活动导致会话过期,默认session过期时间为30分钟,或调用HttpSessioninvalidate()方法)。存放在HttpSession对象中 ,同一个http会话中的web组件共享它。

token主要有两个作用:

  1. 防止表单重复提交(防止表单重复提交一般还是使用前后端都限制的方式,比如:在前端点击提交之后,将按钮置为灰色,不可再次点击,然后客户端和服务端的token各自独立存储,客户端存储在Cookie或者Form的隐藏域(放在Form隐藏域中的时候,需要每个表单)中,服务端存储在Session(单机系统中可以使用)或者其他缓存系统(分布式系统可以使用)中)
  2. 用来作身份验证,防止表单重复提交,主要的理念是,客户端初始化的时候,一般就是刚刚进入页面的时候就调用后端代码,后端代码生成一个token,返回给客户端,客户端储存token(可以在前台使用Form表单中使用隐藏域来存储这个Token,也可以使用cookie),然后就将request(请求)中的token与(session)中的token进行比较

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
    客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  5. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

在这里插入图片描述

githubcurry
关注
专栏目录
登录token的逻辑
天天的博客
05-19 567
这个是前后端分离的逻辑,所以我们先看前端 Login.vue <template> <div class="login-wrap"> <el-form ref="form" label-width="80px" :model="loginForm" class="login-from"> <h2>品有购后台管理系统 - 登录</h2> <el-form-item label="用户名">
基于token的登陆验证机制
xiaoyi52的专栏
04-12 1550
常用的登录验证机制包括session和token。 session简介 做过Web开发的程序员应该对Session都比较熟悉,Session是一块保存在服务器端的内存空间,一般用于保存用户的会话信息。 用户通过用户名和密码登陆成功之后,服务器端程序会在服务器端开辟一块Session内存空间并将用户的信息存入这块空间,同时服务器会在cookie中写入一个Session_id的值,这个值用于标识这个内存空间。 下次用户再来访问的话会带着这个cookie中的session_id,服务器拿着这个id去寻找对应的se
session、cookie、token概念介绍
最新发布
liangkk的博客
08-22 1121
维持用户的登录状态信息是互联网应用程序中的一个核心功能,它确保了用户在登录后能够持续享受应用程序提供的各项服务,而无需在每次请求时都重新进行身份验证。这一过程经历了从简单的会话管理到更复杂的令牌(Token)机制的发展
token实现单点登录原理
weixin_1261325520的博客
08-28 7035
自定义加密令牌Token实现单点登录与注销 前言 在日常的业务中,登录功能是非常常见的,除了最简单的cookie校验登录与session会话实现登录之外,针对较复杂的场景还可以使用更高安全的自定义加密令牌token来实现登录功能,此文将会详细介绍这种登录系统的实现方式。 什么是单点登录单点登录(Single Sign On),简称为 SSO,指的是应用于多个业务系统中的一种登录机制,在某个应用...
浅显易懂了解token单点登入原理及实现过程
samur2的博客
05-20 6332
token单点登入原理及实现过程什么是单点登入(SSOtoken单点原理安全性代码演示 什么是单点登入(SSO) 首先举个例子: 对于某个银行系统,本身有开发自己的系统,比如门户之类的。最近有新的新的需求,比如数据分析的业务需求,于是购买了一套数据分析系统、,之后又上线了一套贷款系统等等,如下图。那么用户在在登入操作的时候,就会面临一个问题,多个系统之间是不是需要登入多次呢? 比如我从门户页面进入系统,接下来要在贷款系统上进行操作,那是不是又要输入一次用户名、密码?如果没有密码的话肯定会有安全问题。这时
token登录
热门推荐
lovecoding1的博客
05-14 1万+
token登录
Token 认证登录
qq_30436011的博客
11-04 5312
访问资源接口(API)时所需要的资源凭证简单token 的组成: uid(用户唯一的身份标识) 、time (当前时间的时间戳) ,sign(签名,token的前几位以hash算法压缩成的一定长度的16进制字符串)
PHP token验证生成原理实例分析
10-16
PHP中的Token验证原理主要包括以下几个步骤: 1. **生成Token**:在用户发起请求时,服务器端会生成一个唯一的、随机的字符串,即Token。这个字符串通常包含了一些特定的信息,如用户ID、时间戳等,确保Token的有效...
cifafenxi.rar_SUM_token_编译原理文法
09-22
本资料包"**cifafenxi.rar_SUM_token_编译原理文法**"聚焦于词法分析这一环节,该过程是编译器将源代码转换为结构化令牌流的第一步。 词法分析,又称分词或扫描,是编译器设计中的一个重要阶段。它的任务是将源代码...
微信公众号获取access_token的方法实例分析
08-25
主要介绍了微信公众号获取access_token的方法,结合实例形式分析了java实现微信公众号获取access_token的相关原理、实现方法及操作注意事项,需要的朋友可以参考下
Java接口测试Cookie与token原理解析
08-19
Java接口测试Cookie与token原理解析是指在Java接口测试中,Cookie和token机制的应用和原理分析。在本文中,我们将详细介绍Cookie和token机制的测试机制,并通过示例代码展示了详细的实现过程。 一、Cookie机制测试 ...
token 登录
weixin_45799001的博客
09-24 1325
token 登录 登录业务相关技术点 : http:是无状态的 通过 cookie在客户端记录状态 通过session 在服务器端记录状态 通过token方式维持状态加粗样式 如果前端与服务器存在跨域问题推荐使用token 如果前端与服务器不存在跨域问题推荐使用session ,cookie 登录原理 登录页面输入用户名和密码进行登录,服务器验证通过后生成该用户的token 并返回,token是服务端生成的,客户端需要记录存储toke,后续请求都携带token发送请求,服务器验证是否通过.
基于 Cookie/Session 的认证方案
Tatooine
04-29 1165
基于 Cookie/Session 的认证方案 Cookie Cookie 的工作原理 由于 HTTP 是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是。cookie 指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie 的保存时间,可以自己在程序中设置。如果没有设置保存时间,应该是一关闭浏览器,cookie 就自动消失。 Cookie 实
token原理分析登录
weixin_60811442的博客
03-19 815
登陆页面输入用户名和密码进行登录 服务器验证通过之后生成该用户的token并返回 客户端存储该token 后续所有的请求都携带该token发送请求 总结图如下: 我们可以将token存储在sessionStorage、localStorage和vuex中,各自特征如下:sessionStorage:在不关闭窗口的情况,可以持久化保存token,也需要在重新登录时,清除原有的sessionStorage数据;但打开新的页面(新窗口)重新登录其他账号,不会替换原有token;也不会因为刷新页面
token实现登录功能(具体实现)
qq_64680177的博客
10-02 3606
具体的验证过程,使用服务端的秘钥和指定的加密算法(如HS256)对Header和Payload进行验证签名,得到一个签名结果。此时看这个签名结果和前端传过来的token中的签名是否一样,如果一样就说明这个token是有效,并不是伪造的,此时要进行判断这个token是否过期,这个行为我们可以再创建token时就将其放入的redis当中,并给它设置过期时间。用户在以后的请求中都要将token放入请求当中,服务端会验证Token的有效性,并根据Token中的信息来判断用户是否有权限发起这个请求。
关于token登录逻辑分析
weixin_30559481的博客
03-21 500
前言:   token登录上一家公司也写过,迷迷糊糊的,   现在做一个APP,需求为每次调用接口都会传token登录注册等特殊的除外,   逻辑整理一下还是比较简单的   主要的问题还是,如何在框架中找到较好的插入点,这个框架没有user/login的基类,框架结构简单到爆,找不到插入点,   好吧,明月几时有,把酒问青天。   写一个application 文件专门给API的模块...
登录业务流程以及token原理分析
liantaiyou的博客
05-09 694
登录业务流程 在登录页面输入用户名和密码 调用后台接口进行验证 通过验证之后 根据后台的相应状态跳到项目主页 通过cookie 在客户端记录状态 不跨域 session 在服务端记录状态 不跨域 通过token维持状态 跨域的情况 登录token原理分析 用户登录页面输入用户名和密码进行登录 服务器验证通过之后生成该用户的token 客户端存储该token。后续所有的请求 都携带该token发送请求,服务器会根据 token来判断不同的用户,来发送不同的数据 ...
token原理及使用---登陆的验证流程
qq_45271323的博客
05-13 2490
一、当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端 二、基于token的身份验证方法 ​ 1、用户向服务器发送用户名和密码。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

githubcurry

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值