token是寫死的嗎 token 機制

在簡單理解cookie/session機制這篇文章中，簡要闡述了cookie和session的原理。本文將要簡單闡述另乙個同cookie/session同樣重要的技術術語：token。

什麼是token

token的意思是「令牌」，是服務端生成的一串字串，作為客戶端進行請求的乙個標識。

當使用者第一次登入後，伺服器生成乙個token並將此token返回給客戶端，以後客戶端只需帶上這個token前來請求資料即可，無需再次帶上使用者名稱和密碼。

簡單token的組成；uid(使用者唯一的身份標識)、time(當前時間的時間戳)、sign(簽名，token的前幾位以雜湊演算法壓縮成的一定長度的十六進製制字串。為防止token洩露)。

身份認證概述

由於http是一種沒有狀態的協議，它並不知道是誰訪問了我們的應用。這裡把使用者看成是客戶端，客戶端使用使用者名稱還有密碼通過了身份驗證，不過下次這個客戶端再傳送請求時候，還得再驗證一下。

通用的解決方法就是，當使用者請求登入的時候，如果沒有問題，在服務端生成一條記錄，在這個記錄裡可以說明登入的使用者是誰，然後把這條記錄的id傳送給客戶端，客戶端收到以後把這個id儲存在cookie裡，下次該使用者再次向服務端傳送請求的時候，可以帶上這個cookie，這樣服務端會驗證一下cookie裡的資訊，看能不能在服務端這裡找到對應的記錄，如果可以，說明使用者已經通過了身份驗證，就把使用者請求的資料返回給客戶端。

以上所描述的過程就是利用session，那個id值就是sessionid。我們需要在服務端儲存為使用者生成的session，這些session會儲存在記憶體，磁碟，或者資料庫。

基於token機制的身份認證

使用token機制的身份驗證方法，在伺服器端不需要儲存使用者的登入記錄。大概的流程：

客戶端使用使用者名稱和密碼請求登入。服務端收到請求，驗證使用者名稱和密碼。驗證成功後，服務端會生成乙個token，然後把這個token傳送給客戶端。客戶端收到token後把它儲存起來，可以放在cookie或者local storage(本地儲存)裡。客戶端每次向服務端傳送請求的時候都需要帶上服務端發給的token。服務端收到請求，然後去驗證客戶端請求裡面帶著token，如果驗證成功，就向客戶端返回請求的資料。

利用token機制進行登入認證，可以有以下方式：

a.用裝置mac位址作為token

服務端：服務端接收到該引數後，便用乙個變數來接收，同時將其作為token儲存在資料庫，並將該token設定到session中。客戶端每次請求的時候都要統一攔截，將客戶端傳遞的token和伺服器端session中的token進行對比，相同則登入成功，不同則拒絕。

此方式客戶端和服務端統一了唯一的標識，並且保證每乙個裝置擁有唯一的標識。缺點是伺服器端需要儲存mac位址；優點是客戶端無需重新登入，只要登入一次以後一直可以使用，對於超時的問題由服務端進行處理。

b.用sessionid作為token

客戶端：客戶端攜帶使用者名稱和密碼登入

服務端：接收到使用者名稱和密碼後進行校驗，正確就將本地獲取的sessionid作為token返回給客戶端，客戶端以後只需帶上請求的資料即可。

此方式的優點是方便，不用儲存資料，缺點就是當session過期時，客戶端必須重新登入才能請求資料。

當然，對於一些保密性較高的應用，可以採取兩種方式結合的方式，將裝置mac位址與使用者名稱密碼同時作為token進行認證。

token的儲存

token可以存到資料庫中，但是有可能查詢token的時間會過長導致token丟失(其實token丟失了再重新認證乙個就好，但是別丟太頻繁，別讓使用者沒事兒就去認證)。

為了避免查詢時間過長，可以將token放到記憶體中。這樣查詢速度絕對就不是問題了，也不用太擔心佔據記憶體，就算token是乙個32位的字串，應用的使用者量在百萬級或者千萬級，也是佔不了多少記憶體的。

token的加密

token是很容易洩露的，如果不進行加密處理，很容易被惡意拷貝並用來登入。加密的方式一般有：

最好是兩種方式結合使用。

還有一點，在網路層面上token使用明文傳輸的話是非常危險的，所以一定要使用https協議。

token是寫死的嗎 token 機制

token是寫死的嗎深入理解token

什麼是 token 以及 token 怎麼用

什麼是token及怎樣生成token

token是寫死的嗎 token 機制

token是寫死的嗎 深入理解token

什麼是 token 以及 token 怎麼用

什麼是token及怎樣生成token

相關推薦

token是寫死的嗎深入理解token