Token认证模式详解

已于 2022-03-15 11:01:58 修改
阅读量4.5k 收藏 15
点赞数 2
文章标签: 服务器 安全 http
于 2022-01-27 16:33:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_47664976/article/details/122719650
版权
本文探讨了为什么在HTTP无状态协议下需要使用Token进行认证,详细解释了Token的概念——它是服务端生成的用于客户端请求的字符串。Token的优势在于减少服务端存储、易于扩展、防止CSRF攻击以及简化跨域问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 为什么要用Token?

  1. HTTP是一个无状态的协议,一次请求结束后,下次在发送服 务器就不知道这个请求是谁发来的了(同一个IP不代表同一个用户),在Web应用中,用户的认证和鉴权又是非常重要的一环。
  2. 在Web应用发展的初期,大部分采用基于Cookie-Session的会话管理方式,但是基于Session的方法又存在这很多的问题:
  • 服务端需要存储Session,并且由于Session需要经常快速查找,通常存储在内存或内存数据库中,同时在线用户较多时需要占用大量的服务器资源。
  • 当需要扩展时,创建Session的服务器可能不是验证Session的服务器,所以还需要将所有Session单独存储并共享。
  • 由于客户端使用Cookie存储SessionID,在跨域场景下需要进行兼容性处理,同时这种方式也难以防范CSRF攻击。

鉴于基于Session的会话管理方式存在上述多个缺点,基于Token的无状态会话管理方式诞生了,所谓无状态,就是服务端可以不再存储信息,甚至是不再存储Session。

2.Token是什么?

Token是 服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后, 服务器生成-个Token便将此Token返回给客户端后,客户端只需带上这个Token前来请求数据即可,无需再次带上域名和密码。

token的具体逻辑如下:

  • 客户端使用用户名,密码进行认证。
  • 服务端验证用户名,密码正确后生成Token返回给客户端。
  • 客户
最低0.47元/天 解锁文章
小小地鼠
关注
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
Spring Boot 整合 SA-Token 的使用详解
jun778895的博客
08-07 1634
SA-Token是一个轻量级的Java权限认证框架,由国人开发,主要解决登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权等一系列权限相关问题。轻量级:SA-Token不依赖任何第三方框架,只依赖JDK原生API,易于学习和使用。零配置:SA-Token提供了丰富的内置功能,用户可以通过简单的配置即可使用,无需编写大量的代码。注解式鉴权:SA-Token提供了丰富的注解,如等,可以很方便地在Controller层进行权限控制。丰富的会话管理。
基于token安全认证---两种方式(shrio架构和jwt)
yuanyaunlv的博客
11-18 552
1、基于session的用户认证 在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。 cookie+session这种模式通常是保存在内存中,而且服务从单服务到多服务会面临的session共享问题...
Token认证模式以及JWT介绍
m0_69631269的博客
10-11 466
⼀旦签发,就会在有效期内⼀直可⽤,⽆法在服务端废⽌,当⽤户进⾏登出操作,只能依赖客户端删除掉本地存储的 JWT Token。的⽆状态会话管理⽅式诞⽣了,所谓⽆状态,就是服务端可以不再存储信息,甚⾄是不再存储 Session。,使得服务端认证鉴权业务可以⽅便扩展,避免存储 Session 所需要引⼊的。默认是不加密的,任何⼈都可以读到,所以不要把秘密信息放在这个部分。除了官⽅字段,开发者也可以⾃⼰指定字段和内容,例如下⾯的内容。的缩写,是为了在⽹络应⽤环境间传递声明⽽执⾏的⼀种基于。
使用Token方式实现用户身份鉴权认证
最新发布
2401_86343726的博客
03-22 1171
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
对比三种认证方式:传统token认证,jwt认证,oauth认证
qq1319713925的博客
12-11 4618
详解几种认证方式的原理和区别
实现单点登录(SSO)的三种方式
热门推荐
weixin_48016395的博客
04-17 1万+
在早期的互联网业务中,一般是使用单一服务器模式。但随着互联网的飞速发展,互联网用户的体量不断增大,单一服务器模式存在单点性能压力,无法扩展,以及单点失效等问题,已经不适合如今的互联网业务了,因此更多的,我们现在一般采用分布式微服务的架构来搭建项目。分布式的项目架构大致如下图所示(即一个项目下多个模块,这些模块又部署在不同的机器上): 采用分布式的架构后,为了避免出现用户在一个模块登录后,访问别的模块时还需要重新登录的问题,我们需要使用单点登录(single sign on SSO)的模式来实现用户
token详解
qq_52758588的博客
04-07 1万+
token详解
Laravel5.4简单实现app接口Api Token认证方法
10-16
### Laravel5.4实现Api Token认证方法知识点详解 Laravel是一个用PHP编写的开源Web应用程序框架,它遵循MVC架构设计模式。其内部集成了许多Web开发的常见任务,如会话、路由、认证等。而在前后端分离的项目中,API...
微信开发指南:注册接口与TOKEN认证详解
这里提供了两种模式:“编辑模式”和“开发模式”。默认情况下,“编辑模式”处于启用状态,但为了接入微信接口,开发者需要进入“开发模式”,这可以通过点击右上角的“开启”按钮实现。 在“开发模式”下,开发者...
设计模式.备忘录模式 快照模式(Snapshot Pattern)或Token模式
记录 分享 成就
04-24 483
定义 备忘录模式又叫做快照模式(Snapshot Pattern)或Token模式,是对象的行为模式。 备忘录对象是一个用来存储另外一个对象内部状态的快照的对象。备忘录模式的用意是在不破坏封装的条件下,将一个对象的状态捕捉(Capture)住,并外部化,存储起来,从而可以在将来合适的时候把这个对象还原到存储起来的状态。 备忘录模式常常与命令模式和迭代子模式一同使用。 结构 发起者角色(Originator):负责创建一个备忘录用以记录当前时刻它的内部状态,并可以使用备忘录恢复内部状态。 备忘录角
JWT Token生成及验证
02-11
http://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.htmlhttp://www.cnblogs.com/chenwolong/p/Token.html
HTTP Basic, Session, Token 三种认证方法简介
haiiiiiyun的博客
03-14 1425
1. 概述 本文简介 HTTP Basic,Session,Token 三种认证方法。 Basic 认证:户籍部门已给你签发了一张身份证。你每次去办事,都要带上身份证证,后台要拿你的身份证去系统上查一下。 Session 认证:户籍部门已给你签发了一张身份证,但只告诉你身份证号码。你每次去办事,只要报出你的身份证号码,后台要查一个即否有效。 Token 认证:户籍部门已给你签发了一张有防伪功能的...
叶开|Token的10大设计模式Token金融与治理(长篇干货)
HiBlock的博客
11-07 3678
作者:叶开 Token经济系统设计方面的先行者。 矩阵数字经济智库合伙人,林达控股(1041HK)执行董事,中农普惠金服董事合伙人,南京大学兼职教授。专注于传统产业升级、产业金融和区块链,著有《社会化媒体运营》、《粉丝经济》、《O2O实践》等相关著作。 专访Token经济设计专家叶开:Token设计画布与10大设计模式 本文叶开老师为大家分享Token的10大设计模式,包括 内容模式、服务模式...
登录模式:单一服务器模式、单点登录、token模式
xinyihhh的博客
02-21 1365
1.单一服务器模式 (1)用户向服务器发送用户名和密码,验证后,将用户信息存在session中,同时将session_id写入到用户的Cookie中 (2)用户的每个后续请求都将通过在Cookie中取出session_id传给服务器。 (3)服务器收到session_id并对比之前保存的数据,确认用户的身份 缺点: 单点性能压力 分布式架构中,需要session共享方案,session共享方案存在性能瓶 session共享方案:redis代替session:推荐,性能高 2.单点登
前端应该学习的 Token 登录认证知识
04-12 537
使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:1.前端使用用户名跟密码请求首次登录2.后服务端收到请求,去验证用户名与密码是否正确3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个Token,再把这个Token发送给前端4.前端收到 返回的Token,把它存储起来,比如放在Cookie里或者里resources?: string[];5.前端每次路由跳转,判断有无token,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;
Session 认证Token 认证
abc_138的博客
01-02 1388
概念:JWT 全称 JSON Web Token,是一种基于 Token认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
token 生成有哪几种常用方式_面试必问:session,cookie和token的区别
weixin_42511024的博客
02-02 2206
点击上方蓝字关注我们 !session,cookie和token究竟是什么简述cookie,session,token作为面试必问题,很多同学能答个大概,但是又迷糊不清,希望本篇文章对大家有所帮助http是一个无状态协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。cookie和session由于http的无状态性,为了使...
Token 认证
2301_79544047的博客
01-12 1524
创作灵感记录一下简单的token使用,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值