在簡單理解cookie/session機制這篇文章中,簡要闡述了cookie和session的原理。本文將要簡單闡述另乙個同cookie/session同樣重要的技術術語:token。
什麼是token
token的意思是「令牌」,是服務端生成的一串字串,作為客戶端進行請求的乙個標識。
當使用者第一次登入後,伺服器生成乙個token並將此token返回給客戶端,以後客戶端只需帶上這個token前來請求資料即可,無需再次帶上使用者名稱和密碼。
簡單token的組成;uid(使用者唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,token的前幾位以雜湊演算法壓縮成的一定長度的十六進製制字串。為防止token洩露)。
身份認證概述
由於http是一種沒有狀態的協議,它並不知道是誰訪問了我們的應用。這裡把使用者看成是客戶端,客戶端使用使用者名稱還有密碼通過了身份驗證,不過下次這個客戶端再傳送請求時候,還得再驗證一下。
通用的解決方法就是,當使用者請求登入的時候,如果沒有問題,在服務端生成一條記錄,在這個記錄裡可以說明登入的使用者是誰,然後把這條記錄的id傳送給客戶端,客戶端收到以後把這個id儲存在cookie裡,下次該使用者再次向服務端傳送請求的時候,可以帶上這個cookie,這樣服務端會驗證一下cookie裡的資訊,看能不能在服務端這裡找到對應的記錄,如果可以,說明使用者已經通過了身份驗證,就把使用者請求的資料返回給客戶端。
以上所描述的過程就是利用session,那個id值就是sessionid。我們需要在服務端儲存為使用者生成的session,這些session會儲存在記憶體,磁碟,或者資料庫。
基於token機制的身份認證
使用token機制的身份驗證方法,在伺服器端不需要儲存使用者的登入記錄。大概的流程:
客戶端使用使用者名稱和密碼請求登入。服務端收到請求,驗證使用者名稱和密碼。驗證成功後,服務端會生成乙個token,然後把這個token傳送給客戶端。客戶端收到token後把它儲存起來,可以放在cookie或者local storage(本地儲存)裡。客戶端每次向服務端傳送請求的時候都需要帶上服務端發給的token。服務端收到請求,然後去驗證客戶端請求裡面帶著token,如果驗證成功,就向客戶端返回請求的資料。
利用token機制進行登入認證,可以有以下方式:
a.用裝置mac位址作為token
服務端:服務端接收到該引數後,便用乙個變數來接收,同時將其作為token儲存在資料庫,並將該token設定到session中。客戶端每次請求的時候都要統一攔截,將客戶端傳遞的token和伺服器端session中的token進行對比,相同則登入成功,不同則拒絕。
此方式客戶端和服務端統一了唯一的標識,並且保證每乙個裝置擁有唯一的標識。缺點是伺服器端需要儲存mac位址;優點是客戶端無需重新登入,只要登入一次以後一直可以使用,對於超時的問題由服務端進行處理。
b.用sessionid作為token
客戶端:客戶端攜帶使用者名稱和密碼登入
服務端:接收到使用者名稱和密碼後進行校驗,正確就將本地獲取的sessionid作為token返回給客戶端,客戶端以後只需帶上請求的資料即可。
此方式的優點是方便,不用儲存資料,缺點就是當session過期時,客戶端必須重新登入才能請求資料。
當然,對於一些保密性較高的應用,可以採取兩種方式結合的方式,將裝置mac位址與使用者名稱密碼同時作為token進行認證。
token的儲存
token可以存到資料庫中,但是有可能查詢token的時間會過長導致token丟失(其實token丟失了再重新認證乙個就好,但是別丟太頻繁,別讓使用者沒事兒就去認證)。
為了避免查詢時間過長,可以將token放到記憶體中。這樣查詢速度絕對就不是問題了,也不用太擔心佔據記憶體,就算token是乙個32位的字串,應用的使用者量在百萬級或者千萬級,也是佔不了多少記憶體的。
token的加密
token是很容易洩露的,如果不進行加密處理,很容易被惡意拷貝並用來登入。加密的方式一般有:
最好是兩種方式結合使用。
還有一點,在網路層面上token使用明文傳輸的話是非常危險的,所以一定要使用https協議。
token是寫死的嗎 深入理解token
摘要 token 是在服務端產生的。如果前端使用使用者名稱 密碼向服務端請求認證,服務端認證成功,那麼在服務端會返回 token 給前端。前端可以在每次請求的時候帶上 token 證明自己的合法地位 不久前,我在在前後端分離實踐中提到了基於 token 的認證,現在我們稍稍深入一些。通常情況下,我們...
什麼是 token 以及 token 怎麼用
token的引入 token是在客戶端頻繁向服務端請求資料,服務端頻繁的去資料庫查詢使用者名稱和密碼並進行對比,判斷使用者名稱和密碼正確與否,並作出相應提示,在這樣的背景下,token便應運而生。token 的作用 在進行敏感操作之前,每個請求需要攜帶token,但是token 有有效期,token...
什麼是token及怎樣生成token
token是服務端生成的一串字串,以作客戶端進行請求的令牌,當第一次登陸後,伺服器生成乙個token便將此token返回給客戶端,以後客戶端只要帶上這個token前來請求資料即可,無需再次帶上使用者名稱和密碼 基於token的身份驗證 token的優勢 1.無狀態.可擴充套件 在客戶端儲存的toke...