基于 token 的鉴权以及常见的实现方式

最新推荐文章于 2025-03-21 16:24:25 发布
最新推荐文章于 2025-03-21 16:24:25 发布
阅读量4.8k 收藏 11
点赞数 1
分类专栏: 架构 文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wdxcln/article/details/105759786
版权
本文探讨了基于token的鉴权机制,主要分为弱约定型和强约定型两种实现方式。弱约定型依赖第三方缓存,如Redis,而强约定型如JWT,用户信息可逆向解析,无需额外存储。JWT的缺点在于签发后在有效期内无法取消或更改,不适用于多客户端同时登录场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于 token 在鉴权,体现在 token 的生成方式以及存储方式上的差异,在实现上有多种方式。最常见都有以下两种:

一)弱约定型

  • 特点
  1. token 的生成根据需求和喜好自定义,常见是(用户信息+时间戳)的base64/md5编码。
  2. 需要借助其他缓存中间件(如redis)保存 token 和用户信息
  3. 客户端发送发送请求到服务器进行鉴权时,除了必须带上 token 外,必须带上用户唯一id。服务端检验类似于 username + password 校验机制
  4. 鉴权通过后,从缓存中返回该用户的用户信息给客户端
  5. 服务器无需存储秘钥
  • 说明
    • 因为 token 中加入了时间戳,因此一般无法从 token 中直接逆向获取用户信息,必须另外存储用户信息,供鉴权通过后返回客户端
  • 缺点
    • 需要额外使用第三方中间件,增加使用成本与不确定性(中间件持久层出现问题)

二)强约定型

  • 特点
  1. token 的生成根据业内规定,按照一定规则生成
  2. token 保存的用户信息,可以逆向解析,供鉴权通过后返回客户端直接使用
  3. 不用单独存储用户信息
  4. 服务器需要存储秘钥
  5. 服务端检验类似于 业内规则 + 秘钥
  6. 无需额外借助其他缓存中间件
  • 说明
    • 因为是业内达成的规则,因此 token 中保存的用户信息是可逆向解析得到的。无需另外存储用户信息,因此无需第三方组件(redis等)
  • 缺点
    • JWT的最大缺点是服务器不保存会话状态,所以在使用期间不可能取消令牌或更改令牌的权限。也就是说,一旦JWT签发,在有效期内将会一直有效。从而无法实现多客户端使用相同账号登录时,只保持一端在线的需求
  • 经典实现:JWT
    • jwt信息包括,header + playload + secret
    • 用户信息存放在playload 里
    • token 组成:base64Url(header).base64Url(playload).SHA256(base64Url(header).base64Url(playload), '秘钥')
    • 因此规矩上面 token 的组成,可以很容易得到playload中的用户信息
    • 因为无法知道秘钥,因此无法修改playload中任何的用户信息
    • header 包含类型与加密算法的声明两部分,playload 包含标准中注册的声明,公共的声明以及私有的声明三部分;
    • 关于更加详尽的header 和 playload 中包含的各部分更详尽的说明,可自行查资料了解
    • 流程图如下

 

SpringBoot实战:基于Token的前后端分离架构设计与实现
CyberLynxX的博客
08-14 409
本文介绍了如何使用Spring Boot构建一个基于Token的前后端分离架构,通过Token机制确保API接口的安全性和可扩展性。本文将介绍如何使用Spring Boot构建一个基于Token的前后端分离架构,通过Token机制确保API接口的安全性和可扩展性。Token的基本原理是:客户端在登录成功后,后端生成一个Token并返回给客户端,在后续的请求中,客户端需要将Token放置在请求头中发送给后端后端通过验证Token的合法性来判断用户是否具有访问限。
Cookie Session Token 的区别和原理
m0_65431718的博客
07-07 1100
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
功能性的安全性保障:TOKEN校验
Hardy Army的博客
07-24 1272
在前文功能性的安全性保障:实现强制登录和密码加密功能中,我们已经讨论了功能性的安全性保障中的两个核心议题:身份验证和密码加密。所以在本文中,我们将继续从功能性的安全性保障这个话题展开,通过对概念的细致解读、实施策略的全面分析,以及实际代码实现的展示,深入讨论其中的另外一个核心议题:TOKEN校验。
AI扫盲贴:Token是什么?Token如何计算?
最新发布
LiuSid7的博客
03-21 587
TokenToken的核心价值在于标识与验证身份认证(替代密码验证)代码解析(结构化编程语言)文本处理(量化语言模型输入输出)。其本质是通过数字化标识提升效率和安全性。
token
m0_47127594的博客
12-17 8165
前言 上一篇博客介绍了什么是cookie、session,以及cookie和session之间的区别,运行机制等。那么这篇博客一起来看看另外一种方式,也就是tokentoken就是接口层面的一种校验而已。 一、什么是token? 其实token就是一个令牌,通俗一点可以称为‘暗号’,在一些数据传递之前,要先进行暗号的核对,不同的暗号(令牌)之前被授不同的数据操作。 二、token的运行机制。 #mermaid-svg-uUOHpzCQGpWVw5Nd .label{font-family:'
Token
maoyudashen的博客
07-29 1137
需要注意的是,在实际应用中,为了增强安全性,Token通常会设置过期时间,并采用加密算法对Token进行签名和验证。常见Token类型有两种:基于Session的Token和基于JSON Web Token (JWT)的Token。5. 服务端接收到请求后,根据携带的Session ID进行验证,如果验证通过,则允许客户端访问相应资源。5. 服务端接收到请求后,对Token进行解析和验证,如果验证通过,则允许客户端访问相应资源。6. 服务端对Token进行验证,验证通过后允许客户端访问相应资源。
基于token机制 — JWT介绍
weixin_30326745的博客
07-07 502
  前言:在实际开发项目中,由于Http是一种无状态的协议,我们想要记录用户的登录状态,或者为用户创建身份认证的凭证,可以使用Session认证机制或者JWT认证机制。 什么是JWT?   Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)...
使用Token方式实现用户身份认证
软件自动化测试技术交流、资源分享
07-03 971
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。比如如下形式: 39faf62271944fe48c4f1d69be71bc9a
学习笔记(二):Token实现
qq_49111986的博客
03-31 2000
上次总结了有关Token的理论知识,本次内容学习了将jwt、shiro、redis整合,实现token的自动刷新和可控性。
基于springhiberate及redis的token
08-09
基于Spring Hibernate和Redis的Token是一种常见的身份验证和授机制。该机制使用Token作为用户认证凭据,并通过Redis存储和管理Token的有效期和访问限。 实现该机制的步骤如下: 1. 用户登录时,后台验证...
接口测试中的Token(Postman中Token的获取和引用)
热门推荐
weixin_44901808的博客
08-25 1万+
Token的获取和引用
】深入解析 Token:身份认证的核心技术
人生苦短,睡觉要紧,睡醒再说
11-09 5049
Token(令牌)是一个用于身份认证的凭证,通常是由服务器生成并返回给客户端。客户端在后续请求中携带该 Token,服务器通过解析 Token 验证用户身份,从而决定是否授访问资源。Token 的一个显著特点是其无状态性,这意味着服务器不需要存储关于用户会话的数据,而是通过解析客户端携带的 Token 来获取所有的身份信息。Token 认证是现代 Web 和移动应用中最常见的身份验证方式之一。
基于 Token 的身份验证方法
weixin_34367257的博客
09-27 1058
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要...
Token
yxrsssssss的博客
10-27 306
关于token的处理
声网 Token 机制,以及常见的问题
声网的博客
04-28 1863
可以看到,在用户加入频道前,客户端需要先向服务器申请Token,并在 服务器 生成 Token,且 Token 必须与 需要加入频道的用户所对应的 AppID、频道名、用户 ID(UID)信息、用户限(是否能发流或收流) 一一对应,并且确保生成的 Token 在有效期内。Token 过期时,SDK 会触发 Token 过期回调。一般来说,我们建议在Token 过期前,及时更新 Token,即从服务器获取新的 Token 并调用 renewToken 将新生成的Token 传给 SDK。
Token机制
qq_34794066的博客
08-26 404
TOken机制,,记录一下,转一下收藏好,看以后忘 https://blog.youkuaiyun.com/kongtiao5/article/details/82898247
node从入门到放弃系列之(7)token及refreshToken原理介绍
qq_38734862的博客
07-17 2024
基于 Token 的身份验证是无状态的,我们不用将用户信息存在服务器或 Session 中。这种概念解决了在服务端存储信息时的许多问题。没有 session 信息意味着你的程序可以根据需要去增减机器,而不用去担心用户是否登录和已经登录到了哪里。 既然是token,那么肯定有它的过期时间,没有一个token是永久的,永久的token就相当于一串永久的密码,是不安全的。那么token过期时,前后端该怎么处理呢? 接下来我就回答下token及refreshToken原理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值