2. 程式人生 > >Token的簡單理解

Token的簡單理解

阿新 發佈:2018-11-09

1、什麼是Token?

  • Token的意思是“令牌”,是服務端生成的一串字串,作為客戶端進行請求的一個標識。

  • 當用戶第一次登入後,伺服器生成一個token並將此token返回給客戶端,以後客戶端只需帶上這個token前來請求資料即可,無需再次帶上使用者名稱和密碼。

  • 簡單Token的組成:uid(使用者唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,token的前幾位以雜湊演算法壓縮成的一定長度的十六進位制字串。為防止token洩露)。

2、身份認證概述

  • 概述:由於HTTP是一種沒有狀態的協議,它並不知道是誰訪問了我們的應用。這裡把使用者看成是客戶端,客戶端使用使用者名稱還有密碼通過了身份驗證,不過下次這個客戶端再發送請求時候,還得再驗證一下。

  • 解決方法:當用戶請求登入的時候,如果沒有問題,在服務端生成一條記錄,在這個記錄裡可以說明登入的使用者是誰,然後把這條記錄的id傳送給客戶端,客戶端收到以後把這個id儲存在cookie裡,下次該使用者再次向服務端傳送請求的時候,可以帶上這個cookie,這樣服務端會驗證一下cookie裡的資訊,看能不能在服務端這裡找到對應的記錄,如果可以,說明使用者已經通過了身份驗證,就把使用者請求的資料返回給客戶端。

  • 總結:利用session,那個id值就是sessionId。我們需要在服務端儲存為使用者生成的session,這些session會儲存在記憶體,磁碟,或者資料庫。

3、基於Token機制的身份認證

  • 說明:使用token機制的身份驗證方法,在伺服器端不需要儲存使用者的登入記錄。

  • 大概流程:客戶端使用使用者名稱和密碼請求登入。服務端收到請求,驗證使用者名稱和密碼。驗證成功後,服務端會生成一個token,然後把這個token傳送給客戶端。客戶端收到token後把它儲存起來,可以放在cookie或者Local Storage(本地儲存)裡。客戶端每次向服務端傳送請求的時候都需要帶上服務端發給的token。服務端收到請求,然後去驗證客戶端請求裡面帶著token,如果驗證成功,就向客戶端返回請求的資料。

4、Token機制進行登入認證

  1. 用裝置mac地址作為token

  • 客戶端:客戶端在登入時獲取裝置的mac地址,將其作為引數傳遞到服務端

  • 服務端:服務端接收到該引數後,便用一個變數來接收,同時將其作為Token儲存在資料庫,並將該token設定到session中。客戶端每次請求的時候都要統一攔截,將客戶端傳遞的token和伺服器端session中的token進行對比,相同則登入成功,不同則拒絕。

  • 總結:此方式客戶端和服務端統一了唯一的標識,並且保證每一個裝置擁有唯一的標識。缺點是伺服器端需要儲存mac地址;優點是客戶端無需重新登入,只要登入一次以後一直可以使用,對於超時的問題由服務端進行處理。

  1. 用sessionid作為token

  • 客戶端:客戶端攜帶使用者名稱和密碼登入

  • 服務端:接收到使用者名稱和密碼後進行校驗,正確就將本地獲取的sessionid作為token返回給客戶端,客戶端以後只需帶上請求的資料即可。

  • 此方式的優點是方便,不用儲存資料,缺點就是當session過期時,客戶端必須重新登入才能請求資料。

  • 當然,對於一些保密性較高的應用,可以採取兩種方式結合的方式,將裝置mac地址與使用者名稱密碼同時作為token進行認證。

  • APP利用token機制進行身份認證

  • 使用者在登入APP時,APP端會發送加密的使用者名稱和密碼到伺服器,伺服器驗證使用者名稱和密碼,如果驗證成功,就會生成相應位數的字元產作為token儲存到伺服器中,並且將該token返回給APP端。

  • 以後APP再次請求時,凡是需要驗證的地方都要帶上該token,然後伺服器端驗證token,成功返回所需要的結果,失敗返回錯誤資訊,讓使用者重新登入。其中,伺服器上會給token設定一個有效期,每次APP請求的時候都驗證token和有效期。

5、Token的儲存

  • token可以存到資料庫中,但是有可能查詢token的時間會過長導致token丟失(其實token丟失了再重新認證一個就好,但是別丟太頻繁,別讓使用者沒事兒就去認證)。

  • 為了避免查詢時間過長,可以將token放到記憶體中。這樣查詢速度絕對就不是問題了,也不用太擔心佔據記憶體,就算token是一個32位的字串,應用的使用者量在百萬級或者千萬級,也是佔不了多少記憶體的。

6、Token的加密

  • token是很容易洩露的,如果不進行加密處理,很容易被惡意拷貝並用來登入。

  • 加密方式:在儲存的時候把token進行對稱加密儲存,用到的時候再解密。文章最開始提到的簽名sign:將請求URL、時間戳、token三者合併,通過演算法進行加密處理。

7、注意

  • 在網路層面上token使用明文傳輸的話是非常危險的,所以一定要使用HTTPS協議。

8、總結

  • 以上就是對於Token在使用者身份認證過程中的簡單總結

本文參考自:

http://baijiahao.baidu.com/s?id=1586852093066659408&wfr=spider&for=pc

相關推薦

Token簡單理解

1、什麼是Token? Token的意思是“令牌”,是服務端生成的一串字串,作為客戶端進行請求的一個標識。 當用戶第一次登入後,伺服器生成一個token並將此token返回給客戶端,以後客戶端只需帶上這個token前來請求資料即可,無需再次帶上使用者名稱和密碼。

學習總結------Servlet的簡單理解

http mage 服務 設計 color tle 客戶 配置 實際應用 1.什麽是Servlet Servlet是一個Java編寫的程序,在服務器端運行的(如tomcat) Java Servlet 是運行在 Web 服務器或應用服務器上的程序,它是作為來自 Web

grep的簡單理解

grep 大小寫 earch swd 匹配 應用 sea 情況 -a 概述: grep最早由肯·湯普遜寫成。原先是ed下的一個應用程序,名稱來自於g/re/p(globally search a regular expression and print,以正則進行全域查找

hibernate對象的三種狀態的簡單理解

close hibernate 引用 src tac 失去 .cn session ber 1. transient:對象首先被new出來的時候:這是它存在內存中,緩存中沒有,沒有ID,數據庫中也沒有 2. persistent:對象再執行save()方法後, Se

交換技術之 Valn 的簡單理解及不同Vlan互通

vlan trunk 單臂路由 三層交換交換技術之 Valn 的簡單理解及不同Vlan互通一、Vlan解決的問題解決同一個網段間廣播數據的隔離擴展:借助三層設備可以即隔離了二層同網段的廣播數據,也可以實現不同網段的鏈接互通。二、Vlan簡單理解在一個交換機上劃分了好幾個區域,每個區域都是一個相互隔離的容器(隔

簡單理解js閉包

array create 信息 我們 作用域 區別 這一 構造函數 彈窗 什麽是閉包?我們先來看一段代碼: function a() { var n = 0; function inc() { n++;

java序列化對象簡單理解

debug .html 由於 info 傳遞對象 訪問 found 枚舉類型 args 1. 什麽是Java對象序列化   Java平臺允許我們在內存中創建可復用的Java對象,但一般情況下,只有當JVM處於運行時,這些對象才可能存在,即,這些對象的生命周期不會比JVM的生

CSS學習筆記09 簡單理解BFC

http 所有 lis 布局 absolut 即使 高度 html 疊加 1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta charset="UTF-8"&

簡單理解javascript中的原型對象,實現對之間共享屬性和行為

type屬性 定義 say 能夠 方法 () post spa popu javascript中提供了構造函數。可以方便的創建對象。典型的構造函數例如以下: function Person(name, age) {   this.name = name;

C++:引用的簡單理解

傳遞 技術 ren ring 知識 cout 進行 表達 並且 前言:引用是C++一個很重要的特性,最近看了很多有關引用的資料和博客,故在此對引用的相關知識進行總結 一、什麽是引用 引用,顧名思義是某一個變量或對象的別名,對引用的操作與對其所綁定的變量或對象的操作完全等價

maven簡單理解

pre tro 文件 mvc 自己的 尋找 www. junit xsd 前言: maven項目也是一個項目,類似於javaProject,javaWebProject,就是多了些功能,其他也沒啥,所以大家接觸的時候不要害怕! 1 . 幫你下載jar包 maven項目會有

簡單理解】gulp和webpack的區別

task ont 是個 多個 自動化構建 簡單明了 能夠 基本 指正 Gulp和Webpack的基本區別: gulp可以進行js,html,css,img的壓縮打包,是自動化構建工具,可以將多個js文件或是css壓縮成一個文件,並且可以壓縮為一行,以此來減少文件體積,加快

linux /etc/inittab 的六個運行級別簡單理解

/etc/inittab配置文件,系統在啟動的過程中會來讀取這個文件的信息[[email protected] ~]# cat /etc/inittab # inittab is only used by upstart for the default runlevel.## ADDING OTHE

Http協議與TCP協議簡單理解( 轉 )

art 這也 這一 傳輸協議 方便 編寫 庫服務器 為我 之間 在C#編寫代碼,很多時候會遇到Http協議或者TCP協議,這裏做一個簡單的理解。TCP協議對應於傳輸層,而HTTP協議對應於應用層,從本質上來說,二者沒有可比性。Http協議是建立在TCP協議基礎之上的,當瀏覽

也談談我對Docker的簡單理解

linux 安全性 看到了 用戶 總結 們的 部分 占用 ont Docker能解決什麽問題呢?一個工具的出現必然需要解決一些問題,Docker也不例外,簡單說說我們常見的2種情況Docker是如何解決的吧。1、程序在我這跑得好好的,在你那怎麽就不行呢?!這是一個典型的應用

ubuntu - apt-get 簡單理解

左右 使用 服務器 clas tex class 新的 copy 安裝完成 註意:以下為個人理解,細節可能不準確。 apt-get是某些linux發行版使用的一個“包管理器”(還有別的發行版使用yum等,以及brew等其他平臺上的包管理器,工作原理類似)。 包管理器的作用

FreeMarker 的空值處理 , 簡單理解 , 不用TMD就會忘記

mark bool 顯示 空字符 marker freemark 返回 後者 als NO.1  而對於FreeMarker來說,null值和不存在的變量是完全一樣的 NO.2  !        指定缺失變量的默認值      返回String NO.3  ??     

簡單理解線程--阻塞,interrupt

log println 使用 pub 同時 static 數據 之前 必須 什麽是線程   線程是進程的一個實體,是CPU調度和分派的基本單位,它是比進程更小的能獨立運行的基本單位。線程自己基本不擁有資源,只擁有一點在運行中必不可少的資源(如程序計數器,一組寄存器和棧),但

C#面向對象簡單理解

說話 span 什麽是 階段 感受 計算機 strong 等我 pan 我相信對於很多剛接觸編程的人來說心裏都有一個疑問,面向對象到底是個什麽東西,我們為什麽要面向對象。 首先,我們來看下官方的解釋,面向對象是一種對現實世界理解和抽象的方法,是計算機編程技術發展到一定階段後

簡單理解 ES7 Decorator

http tar 裝飾者模式 幹什麽 ora 同學 cti asc define 如何使用ES7 Decorator給你的遊戲人物開掛? // 預告: 本文有點小難度,對js不太熟的人可能比較懵逼 // 本文的目的是讓你們知其然 // ================