Token详述

已于 2023-08-15 10:37:12 修改
阅读量122 收藏
点赞数 1
文章标签: https 服务器
于 2023-04-13 17:25:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55427386/article/details/130135616
版权

1、背景

默认情况下,http是一种无状态协议,任何浏览器都能访问服务器,但是服务器并不知道是那个浏览器的,所有就有了token。

2、定义

token是加密的字符串令牌,json web token是后端加密生成的一个字符串,里面存着本次登录的相关信息,第一次登录的时候会拿前端给的用户信息去匹配数据库的数据,确认无误之后,返给前端一个token令牌,存到本地,下次登录从本地取到token返给服务器,服务器就知道是那个用户登录啦。

3、应用场景:

3.1免密登录

3.2权限控制

如果页面需要登录了才能访问,没登录跳转至登录界面,这时候只需要判断token是否有效就好,例如同一个系统的不同模块之前的权限校验。就不用跳转别的模块,还要从新登录啦。

4、时效性

鉴于安全性和SSL安全证书吊销性,都需要考虑设置有效期,同时应该兼顾用户体验感,(不能说在用户正常操作过程,token过期了,就嘎啦~~)呢到底多长时间合适呢,根据不同的场景而定。

为了解决在操作过程不能让用户感到 Token 失效这个问题,有一种方案是在服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token 的过期时间——Session 就是采用这种策略来保持用户登录状态的。然而仍然存在这样一个问题,在前后端分离、单页 App 这些情况下,每秒种可能发起很多次请求,每次都去刷新过期时间会产生非常大的代价。如果 Token 的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把 Token 的过期时保存在缓存或者内存中。

还有另一种方案,使用 Refresh Token,它可以避免频繁的读写操作。这种方案中,服务端不需要刷新 Token 的过期时间,一旦 Token 过期,就反馈给前端,前端使用 Refresh Token 申请一个全新 Token 继续使用。这种方案中,服务端只需要在客户端请求更新 Token 的时候对 Refresh Token 的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。当然 Refresh Token 也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。

5、工作流程

第一步: 用户发送登录请求

第二步:服务器响应token,客户端将token存储在本地(使用localStorage.setItem() 存储token)

第三步: 登录之后的所有请求,用户都需要在发送ajax请求头中发送token

6、Cookie、Session 和 Token 区别

服务器端集中存储所有人的session,token是session的key,存储在每个人的客户端手里,每次访问带着token去服务端找相应的session,获取身份,如

session在服务端就是ListMap形式存放的,遍历list拿到map,map的key就是token,value就是session。

暴力的瑶瑶崽
关注
token介绍
weixin_42408447的博客
05-25 1146
一.Token是什么?   Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 二.Token的引入   Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 三.使用Token的目的 Token的目的是为了减轻服务器的压力,减少频
Token的详解与应用
M11223344555的博客
05-27 307
(6条消息) Token的详解与应用_FHN网客的博客-CSDN博客_token应用https://blog.csdn.net/qq_42920440/article/details/85247590?spm=1001.2101.3001.6650.16&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromBaidu%7ERate-16.pc_relevant_paycolumn_v3&d
Springboot + JWT-Token 生成与解析
gaogzhen的博客
01-25 4345
Springboot + JWT-Token 生成与解析 目录 文章目录1、认证机制2、JWT3、springboot 集成 jwt4、JWT token在线解析***后记*** : 内容 1、认证机制 认证机制部分不在详述,可参考以下博文:几种常用的认证机制 这里我们选择 Token Auth认证的方式。 2、JWT 选择了token认证的方式,但是又不希望身份信息以明文形式传输,我们选择JWT生成token。那么JWT是什么?又又什么优势呢? 参考地址: 什么是 JWT – JSON WEB
ajax登录返回token,AJAX安全-Session做Token
weixin_31328141的博客
08-05 620
个人思路,请大神看到了指点个人理解token是防止扫号机或者恶意注册、恶意发表灌水,有些JS写的token算法,也会被抓出来被利用,个人感觉还是用会过期的Session做token更好,服务器存储,加载到客户端页面,然后进行对比index.aspxfunction submist() {if ($("#HDToken").val() != null) {var JsonData = {Token:...
前端项目-ng-token-auth.zip
09-03
**知识点详述:** 1. **AngularJS**:AngularJS是一个由Google维护的开源JavaScript框架,用于构建动态Web应用。它采用MVC(Model-View-Controller)架构模式,提供数据绑定、依赖注入等特性,简化了前端开发。 2. *...
LV-ViT:All Tokens Matter: Token Labeling for Training Better Vision Transformers
qq_45122568的博客
07-01 2473
这篇文章是对ViT训练的一种增强方法LV-ViT。以往的Vision Transformer 分类任务都只是应用class token聚集全局信息,用于最后的分类。作者提出将patch token也用作loss的计算。相当于将一张图像的分类问题,转换成了每个token的识别问题,每个token的分类标签是由机器生成的监督(supervision)。原文链接:All Tokens Matter: Token Labeling for Training Better Vision Transformers ..
Keystone几种token生成的方式分析
热门推荐
Miss_yang_Cloud的博客
11-04 1万+
从Keystone的配置文件中,我们可见,Token的提供者目前支持四种。 Token Provider:UUID, PKI, PKIZ, or Fernet 结合源码及官方文档,我们用一个表格来阐述一下它们之间的差异。 Provider方式 生成方式|长度|加密方式 优点 缺点 UUID uuid.uuid4().hex,
详述前端安全问题及解决方案.docx
10-26
2. **使用Token验证:** 在用户提交表单或发起请求时,加入一个随机生成的Token,并在服务器端验证该Token的有效性。具体步骤包括: - 服务端生成随机Token并将其存入数据库。 - 将Token值嵌入到客户端页面中,如...
ssh框架实现公众号服务器配置token验证
tian_jiangnan的博客
04-24 504
近来,在做一个项目,微信公众号支付,这个流程很多,注意的点很多! 前提 1、已经认证的服务号,不是订阅号,订阅号没有支付功能 2、商户开发平台开通,并且绑定了这个服务号 3、有已经备案的域名服务器 我采用的ssh框架实现服务器token配置验证 首先我们编写代码 SetToken是后台接口 package cn.com.token; import java.io.IOExcept...
【案例71】配置https之后 IE打不开登陆页面 Uclient没有问题
Z.Virgil的博客
09-14 609
IE访问的是login.jsp Uclient不是。通过 F12 查看源文件发现网页中就是调用的https://127.0.0.1:80/Client/java.exe也就是生成html就错了login.jsp ,主要就是调用的 a.jsp。但是通过IE访问却走了https://127.0.0.1:80 ,删除httpd中所有关于80端口的配置,问题依旧。为了保障之前功能逻辑OK,改为当https的时候走443,非https的时候走80。配置https之后 IE打不开登陆页面 Uclient没有问题。
nginx实现https安全访问的详细配置过程
lwxvgdv的博客
09-13 791
首先我们来简单了解一下什么是http和https以及他们的区别所在.HTTP,全称为“超文本传输协议”(Hypertext Transfer Protocol),是用于在客户端和服务器之间传输信息的基础协议。当你在浏览器中输入网址并访问一个网站时,浏览器使用 HTTP 协议与服务器通信,获取网页内容。HTTP 协议是无状态的,也就是说,它不会保存任何之前的请求或响应记录,每次请求都是独立的。
应用层协议 —— https
weixin_64099089的博客
09-13 1105
本文讲解了https的特点,数据摘要,数字签名,CA证书以及如何进行安全的加密通信
只有IP地址没有域名怎么实现HTTPS访问?
alsknv的博客
09-10 1131
内网配置:对于内网服务器,可以使用腾讯云等云服务提供的证书服务,实现内网应用的HTTPS访问。公网IP:确保你拥有一个公网IP地址,或者内网映射公网,这是实现HTTPS访问的前提。选择CA:选择一个可信赖的证书颁发机构,如JoySSL,来申请IP地址专用SSL证书。配置服务器:将获得的证书文件安装到服务器上,配置SSL/TLS,确保HTTPS连接。专用证书:IP地址专用SSL证书,适用于没有域名的场景,确保数据传输安全。申请流程:注册账号,填写必要信息,提交申请,等待CA审核并签发证书。
为什么HTTPS会引入SSL/TLS协议
liiiiiiiiii123的博客
09-13 337
它通过结合哈希函数和密钥,对数据进行计算,生成一个固定长度的认证码。协议,这个协议里面有强大的加密算法,对数据进行加密,即使被窃取,也无法读取其中的内容;在网络通信中,数据可能会经过多个中间节点,如路由器、交换机、代理服务器等。实现消息认证码(MAC)来验证数据的完整性,确保数据在传输过程中没有被篡改。这时我面试遇到过的问题,整理了一下,希望对大家有帮助!送的认证码进行比较,以确定数据是否在传输过程中被篡改。如果不对,就会提示用户存在安全隐患,不要访问。网站时,浏览器会验证服务器的数字证书,
ngrok | 内网穿透,支持 HTTPS、国内访问、静态域名
追风2019
09-07 1576
当我们需要把本地开发的应用展示给外部用户时,常常会因为无法直接访问而陷入困境。就为了展示一下,买服务、域名,搭环境,费钱又费事。那有没有办法,让客户直接访问自己本机开发的应用呢?这种需求场景这么多,当然有现成的技术 —— 内网穿透。内网穿透是一种网络技术,它允许外部互联网用户访问部署在本地网络(内网)中的服务或设备。通常,家庭或企业网络都位于内网,连接到外部互联网需要通过 NAT(网络地址转换)或者路由器来实现。NAT 问题。
HTTPS的加密流程:保护你的数据传输
最新发布
apple_64847327的博客
09-15 667
HTTPS代表超文本传输安全协议(Hypertext Transfer Protocol Secure),它是HTTP的安全版本,通过SSL/TLS协议提供了加密、数据完整性验证和身份验证。这意味着使用HTTPS的网站可以保护用户数据免受窃听和中间人攻击。HTTPS的加密流程是一个复杂但必要的过程,它确保了数据在互联网上的安全传输。通过使用SSL/TLS证书和对称加密技术,HTTPS保护了用户数据免受窃听和篡改,是现代网站安全的基础。
【计算机网络】HTTP&HTTPS
qq_42150700的博客
09-14 1427
实际上是因为, HTTP 协议是一种"一问一答"结构模型的协议, 因此请求和响应是需要有一些不同的. 不然我问啥你答啥这不就乱套了吗。为什么要这个属性呢?实际上是因为在过去, 浏览器的功能是比较有限的, 但是随着时代的发展, 有一些浏览器就支持了一些新的功能, 此时网站的设计者也就可以跟随时代潮流更新自己的网站. 但是有一个问题, 假如使用旧版本的浏览器访问新版本网页的话, 就会出现兼容性问题. 因此这个属性就可以帮助网站的设计者去区分谁用的是什么样的浏览器, 然后针对它们使用的浏览器来进行特定的响应.
HTTP和HTTPS
weixin_47755728的博客
09-12 1083
HTTP和HTTPS在差异方面,最显著的是安全性。HTTP是明文传输协议,而HTTPS是加密传输协议。这种加密特性使得HTTPS在传输敏感信息时更具优势。此外,浏览器地址展示方式也有所不同,HTTPS有绿色安全锁标志,而HTTP则有网站不安全标志提醒。在协议层面,HTTPS在HTTP的基础上加入了SSL安全认证证书,从而提供了更高级别的安全防护。在涉及敏感信息传输的场景中,如在线购物、银行业务等,基本都是用HTTPS协议进行数据传输。3. GET和POSE有什么区别。
前后端分离:登录Token生成与拦截校验实战
值得注意的是,本文并未详述后端如何实现token的有效性检查和更新机制,但提到后端会在接收到请求时检查token的有效性,并可能实时更新token的有效时间。在实际应用中,这通常涉及到使用session管理器或者JWT(JSON ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值