什么是Token

最新推荐文章于 2025-03-24 09:57:05 发布
原创 最新推荐文章于 2025-03-24 09:57:05 发布 · 300 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

对于初学者来说,大家对于token的理解不是很深,没关系,接下来我们一起来研究下token。

学习东西首先需要明白这个东西干什么用的,所以首先了解token的作用。有以下场景:
比如说刚刚我使用用户名和密码登录了一个网站(什么网站就无所谓了吧),然后一不小心关闭了浏览器,当我再次打开浏览器进入该网站时发现我已经退出了登录,这个时候我需要重新输入用户名和密码进行重新登录。如果是这样的话会很不友好。并且重新登录需要给服务器端发送用户名和密码,服务器端会根据发送过来的用户名且密码和数据库的用户名和密码进行比对,如果频繁的比较的话会造成服务器端的压力提升。有同学可能会想那有什么压力,不就是个比较嘛,但是同学你要想明白,一个网站在同一时间段内可不是你一个人在登录,这个就能够想明白了吧,所以这样做显然不合适吧。关于以上的描述你应该能够很好的理解吧。

举个例子吧:比如说你是一个门卫(当然你看肯定不是,要不然就不会在这里见面啦是不是),你的职责是负责给客户开门,并且要确认他的身份是不是业主,是业主才可以进入楼房。假设有一个家伙一上午频繁的出入10次,请问你是不是要开10次门,要确认10次身份?(当然你可能觉得觉得出入10次我就记住了,还确认什么确认,但是同学你要想明白,你现在就好比服务器端,服务器可是没有记忆能力的,一个客户端频繁向服务器发送请求,服务器可是不认识的,所以你可以把自己当成一个机器),那这样的话你的压力是不是暴增,烦也烦死了。所以有没有什么好的解决办法吗?那就是给每个客户发送一个令牌(比如门禁),以后他来之后只要带着令牌就可以了,你就不需要去验证身份了,是不是工作量就比较小了?

所以关于频繁给服务器端发送请求验证用户名和密码进行比对这件事是不是就好解决了呢?
如何解决:在浏览器第一次发送用户名和密码比对之后,服务器端会生成一串唯一的符号(令牌),然后响应时将这个令牌返回给客户端进行保存,以后只要我进入这个网站就把这个符号(令牌)发送给服务器端,因此服务器端知道你的身份之后就不需要到数据库进行比对了(因为你有令牌了),直接登录即可。那以上的这个令牌就是token了,token时在服务器端生成,响应时发送给客户端,客户端存在浏览器中(至于存储在什么地方,大家应该知道浏览器的存储技术有哪些吧,cookie/storage都是存储技术吧),以后发送请求带着你的token去服务器端就可以了。
流程如下:
1.客户端使用用户名跟密码请求登录
2.服务端收到请求,去验证用户名与密码
3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
4.客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
5.客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6.服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
 

lf_refuel
关注
token的生成
weixin_51482243的博客
07-31 798
jwt官网:token的生成是这三部分:Header(请求头),Payload(有效负载),Signature(签名-生成token)->TokenUtils开发 + ResultToken开发 -> 达到生成,验证,响应token
jwt生成token
热门推荐
爪哇人的博客
11-21 1万+
1 基于传统的session认证 http本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还再一次进行用户认证。因为根据http协议,我们不知道是哪个用户发出的请求,所以为了能让我们应用识别是哪一个用户发出的请求,我们只能在服务器端存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器。告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的用户就能识别是哪一个用户了,这就是传统的基于session认证。 当...
Token生成规则以及工具相关代码
06-26
此资源是针对“Token生成规则以及工具”这篇文章的相关代码文章地址:https://blog.youkuaiyun.com/kai_1215/article/details/78477146
token生成算法_什么是Token
weixin_39836751的博客
12-05 4600
前言前几天谈一个合作,写了份技术文档。对方看了之后抛出萌新三连:什么是token?怎么生成?有什么用?本文简单介绍token,并介绍基于token的用户认证方案。Token是什么Token是一个身份凭证,有个很贴切的翻译叫“令牌”。发给你一个令牌,你在遇到关卡的时候出示令牌,证明自己的身份。Token的概念广泛应用于许多领域。比如区块链中,比特币和以太坊的“代币”,形式也是token。本...
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 1136
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
基于 token 的多平台身份认证架构设计
java思维导图
02-02 539
本文作者:哈莫cnblogs.com/beer/p/6029861.html1、概述在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。随着移动互联网时代到来,客户端的类型越来越多...
什么是 TokenToken 的作用是什么?
Future_yzx的博客
01-25 3463
在许多开发和网络应用中,Token这个词会经常出现,但它到底是什么意思?又是用来干什么的?相信很多朋友可能对此还有些疑问。本文将详细介绍 Token 的定义及其作用,希望能帮助大家更好地理解和应用。简单来说,Token就是一个“暗号”或“凭证”,用于验证用户身份或者授权访问某些资源。Token 在不同的协议和场景中会有不同的应用。最常见的就是在网络通信中,用于替代传统的用户名和密码来确保身份的安全。例如,在USB 1.1 协议Token包Data包Handshake包和Special包。
什么是token
weixin_43224539的博客
08-09 2174
百度百科解释 Token, 令牌,代表执行某些操作的权利的对象 密保令牌(Security token),或者硬件令牌,例如U盾,或者叫做认证令牌或者加密令牌,一种计算机身份校验的物理设备 会话令牌(Session token),交互会话中唯一身份标识符 令牌化技术 (Tokenization), 取代敏感信息条目的处理过程 token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 Token是服务端生成的一串字符串,以作客户端进行请求的一个
什么是Token和智能体?
柏图
01-13 5829
再进一步,Token的普及和流通,能让更多人参与到经济活动中来,这是一个彻底的改变,就像一个世纪前的工业革命一样,预示着一个我们生活方式的重大转变。这个现象并不局限于文字,我们使用的各种数字产品,无论是微信语音,抖音短视频,还是我们为大家分析的Spotify音乐推荐,每一个图像、声音和视频剪辑都有其对应的Token
从零开始一步一步掌握大语言模型---(2-什么是Token?)
jinhualun911的博客
03-22 1819
什么字,符号都可以用UTF-8表示。太大了。V总是256.通常大家都用Grapheme和phoneme.常见的大语言模型是如何划分token的?
什么是token机制
qq_54680501的博客
03-24 1018
Token 机制通过无状态、自包含的令牌解决了传统 Session 的扩展性和跨域难题,是现代分布式系统和 API 设计的核心技术。合理使用 Token(如 JWT)能显著提升安全性和性能,但需严格遵循安全最佳实践(如 HTTPS、短有效期、加密签名)。
Token的身份验证
z1790650958的博客
04-18 492
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统身份验证的方法 HTTP 是一种没
Token 认证
2301_79544047的博客
01-12 1683
创作灵感记录一下简单的token使用,
token认证
weixin_30492601的博客
07-23 321
token认证 文章出处:https://segmentfault.com/a/1190000014527692 一、CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成...
基于token的认证
最大努力的博客
08-06 4306
传统的认证系统 1.用户在登录域输入用户名和密码,然后点击登录 2.请求发送之后,通过在后端查询数据库验证用户的合法性。如果请求有效,使用在数据库得到的信息创建一个session,然后在响应头信息中返回这个session的信息,目的是把这个session ID存储在浏览器中 3.在访问应用中受限制的后端服务器提供这个session信息 4.如果session信息有效,允许用户访问受限制的后...
Django REST framework基础:认证、权限、限制
weixin_30260399的博客
08-02 290
认证、权限和限制 身份验证是将传入请求与一组标识凭据(例如请求来自的用户或其签名的令牌)相关联的机制。然后 权限 和 限制 组件决定是否拒绝这个请求。 简单来说就是: 认证确定了你是谁 权限确定你能不能访问某个接口 限制确定你访问某个接口的频率 认证 REST framework 提供了一些开箱即用的身份验证方案,并且还允许你实现自定义方案。 接下类我们就自己动手实...
Token身份验证
qq2844509367的博客
11-18 2043
Token更加能适应我们的前后端分离项目Token相对与Http与Cookie有很好的优点Token能高效的对用户的管理。
什么是token
最新发布
06-11
### 什么是 TokenToken 是一种身份认证机制,通常以字符串形式存在,用于验证用户的身份或权限。在许多开发和网络应用中,Token 被用来解决 HTTP 协议无状态的问题,确保服务器能够识别用户的登录状态或其他相关信息[^4]。 ### Token 的作用 1. **身份认证**:Token 作为用户的身份标识,允许服务器验证用户是否具有访问特定资源的权限。每次请求时,客户端将 Token 发送到服务器,服务器通过验证 Token 的有效性和签名来确认用户身份[^4]。 2. **授权控制**:Token 中可以包含用户的权限信息(如角色、范围等),服务器根据这些信息决定用户是否可以访问某些资源[^1]。 3. **无状态会话管理**:与 Session 不同,Token 是无状态的,服务器不需要保存用户的会话信息,所有必要的数据都存储在 Token 中。这种机制非常适合分布式系统和微服务架构[^2]。 ### Token 的工作原理 Token 通常以 JSON Web Token (JWT) 的形式存在,JWT 是一种开放标准 (RFC 7519),用于在各方之间安全地传输信息。JWT 的结构由三部分组成:Header、Payload 和 Signature。以下是 JWT 的基本工作流程: 1. 用户登录成功后,服务器生成一个 Token 并将其返回给客户端。 2. 客户端将 Token 存储在本地(如 `localStorage` 或 `sessionStorage`)。 3. 在后续请求中,客户端将 Token 添加到请求头中(如 `Authorization: Bearer <token>`)。 4. 服务器接收到请求后,解析并验证 Token 的签名和有效期,从而确认用户身份。 以下是一个简单的 JWT 示例: ```json { "header": { "alg": "HS256", "typ": "JWT" }, "payload": { "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }, "signature": "SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c" } ``` ### Token 的应用场景 1. **用户认证**:在登录后生成 Token,用户在后续请求中携带该 Token 进行身份验证[^4]。 2. **单点登录 (SSO)**:多个应用共享同一个认证中心,用户只需登录一次即可访问所有关联的应用[^2]。 3. **API 认证**:在微服务架构中,Token 常用于 API 接口的身份验证和授权控制[^2]。 4. **分布式系统**:由于 Token 是无状态的,它非常适合在分布式系统中使用,避免了跨服务器共享会话状态的需求。 ### Token 的安全性注意事项 1. **HTTPS 加密**:Token 必须通过 HTTPS 传输,防止中间人攻击。 2. **签名验证**:确保 Token 的签名无法被伪造,服务器需要验证 Token 的签名以保证其真实性。 3. **短生命周期**:Token 应设置较短的有效期,过期后需重新获取,减少被滥用的风险。 4. **Refresh Token**:结合 Refresh Token 机制,在 Token 过期时允许用户无需重新登录即可获取新的 Token[^2]。 ### 示例代码 以下是一个使用 Python 和 Flask-JWT-Extended 实现 Token 验证的示例: ```python from flask import Flask, jsonify, request from flask_jwt_extended import JWTManager, create_access_token, jwt_required, get_jwt_identity app = Flask(__name__) app.config['JWT_SECRET_KEY'] = 'your_secret_key' jwt = JWTManager(app) @app.route('/login', methods=['POST']) def login(): username = request.json.get('username', None) password = request.json.get('password', None) if username != 'admin' or password != 'password': return jsonify({"msg": "Bad username or password"}), 401 access_token = create_access_token(identity=username) return jsonify(access_token=access_token) @app.route('/protected', methods=['GET']) @jwt_required() def protected(): current_user = get_jwt_identity() return jsonify(logged_in_as=current_user) if __name__ == '__main__': app.run() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值