更新時(shí)間:2023-09-20 來源:黑馬程序員 瀏覽量:
token也可以稱做令牌,一般由uid+time+sign(簽名)+[固定參數(shù)] 組成。token組成各部分釋義如下:
uid: 用戶唯一身份標(biāo)識(shí)
time: 當(dāng)前時(shí)間的時(shí)間戳
sign: 簽名, 使用 hash/encrypt 壓縮成定長的十六進(jìn)制字符串,以防止第三方惡意拼接。
固定參數(shù)(可選): 將一些常用的固定參數(shù)加入到 token 中是為了避免重復(fù)查庫。
token在客戶端一般存放于localStorage,cookie,或sessionStorage中。在服務(wù)器一般存于數(shù)據(jù)庫中。
token的認(rèn)證流程:
用戶登錄,成功后服務(wù)器返回Token給客戶端。
客戶端收到數(shù)據(jù)后保存在客戶端。
客戶端再次訪問服務(wù)器,將token放入headers中 或者每次的請(qǐng)求 參數(shù)中。
服務(wù)器端采用filter過濾器校驗(yàn)。校驗(yàn)成功則返回請(qǐng)求數(shù)據(jù),校驗(yàn)失敗則返回錯(cuò)誤碼。
token可以抵抗csrf,cookie+session不行。
session時(shí)有狀態(tài)的,一般存于服務(wù)器內(nèi)存或硬盤中,當(dāng)服務(wù)器采用分布式或集群時(shí),session就會(huì)面對(duì)負(fù)載均衡問題。負(fù)載均衡多服務(wù)器的情況,不好確認(rèn)當(dāng)前用戶是否登錄,因?yàn)槎喾?wù)器不共享session。
客戶端登陸傳遞信息給服務(wù)端,服務(wù)端收到后把用戶信息加密(token)傳給客戶端,客戶端將token存放于localStroage等容器中??蛻舳嗣看卧L問都傳遞token,服務(wù)端解密token,就知道這個(gè)用戶是誰了。通過cpu加解密,服務(wù)端就不需要存儲(chǔ)session占用存儲(chǔ)空間,就很好的解決負(fù)載均衡多服務(wù)器的問題了。這個(gè)方法叫做JWT(Json Web Token)。