[原创]
Web开发应该学习的Token登录认证知识
来源:原创 - 时间:2021-04-11 22:44:02 - 浏览:

由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。

1617685470962577.png

基于 Cookie/Session 的认证方案

一、Cookie

  • Cookie的工作原理

cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据存储功能。cookie的保存时间,可以自己在程序中设置。如果没有设置保存时间,应该是一关闭浏览器,cookie就自动消失。

Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

注意:Cookie功能需要浏览器的支持。如果浏览器不支持Cookie(如大部分手机中的浏览器)或者把Cookie禁用了,Cookie功能就会失效。不同的浏览器采用不同的方式保存Cookie。IE浏览器会以文本文件形式保存,一个文本文件保存一个Cookie。

  • Cookie的不可跨域名性

Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。

1617685484641229.jpg

二、Session

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。

session 也是类似的道理,服务器要知道当前发请求给自己的是谁。为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。对于浏览器客户端,大家都默认采用 cookie 的方式,保存这个“身份标识”。

服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安。

可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。

提示:Session的使用比Cookie方便,但是过多的Session存储在服务器内存中,会对服务器造成压力。

三、Cookie与Session的区别和联系

  1. cookie数据存放在客户的浏览器上,session数据放在服务器上;

  2. cookie不是很安全,别人可以分析存放在本地的COOKIE并进行 COOKIE欺骗,考虑到安全应当使用session;

  3. session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。考虑到减轻服务器性能方面,应当使用COOKIE;

  4. 单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能超过3K;

Cookie和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此当我们完全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用。

1617685839291038.jpg

四、基于token的认证方式

在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式。

以下几点特性会让你在程序中使用基于Token的身份验证

1.无状态、可扩展

2.支持移动设备

3.跨程序调用

4.安全

五、Token的起源

在介绍基于Token的身份验证的原理与优势之前,不妨先看看之前的认证都是怎么做的。

  • 基于服务器的验证

我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。

在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。

  • 基于服务器验证方式暴露的一些问题

1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。

2.可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。

3.CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。

4.CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。

在这些问题中,可扩展行是最突出的。因此我们有必要去寻求一种更有行之有效的方法。

六、基于Token的验证原理

基于Token的身份验证是无状态的,我们不将用户信息存在服务器中。这种概念解决了在服务端存储信息时的许多问题。NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是否登录。

七、基于Token的身份验证的过程如下:

  1. 用户通过用户名和密码发送请求。

  2. 服务器端程序验证。

  3. 3.服务器端程序返回一个带签名的token 给客户端。

  4. 4.客户端储存token,并且每次访问API都携带Token到服务器端的。

  5. 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码。

16176847980.webp

八、Tokens的优势

  • 无状态、可扩展

在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。tokens自己hold住了用户的验证信息。

  • 安全性

请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。

token是有时效的,一段时间之后用户需要重新验证。

  • 可扩展性

Tokens能够创建与其它程序共享权限的程序。

  • 多平台跨域

我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。

九、需要设置有效期吗?

对于这个问题,我们不妨先看两个例子。一个例子是登录密码,一般要求定期改变密码,以防止泄漏,所以密码是有有效期的;另一个例子是安全证书。SSL 安全证书都有有效期,目的是为了解决吊销的问题。所以无论是从安全的角度考虑,还是从吊销的角度考虑,Token 都需要设有效期。

那么有效期多长合适呢?

只能说,根据系统的安全需要,尽可能的短,但也不能短得离谱

  • 然后新问题产生了,如果用户在正常操作的过程中,Token 过期失效了,要求用户重新登录……用户体验岂不是很糟糕?

一种方案,使用 Refresh Token,它可以避免频繁的读写操作。这种方案中,服务端不需要刷新 Token 的过期时间,一旦 Token 过期,就反馈给前端,前端使用 Refresh Token 申请一个全新Token 继续使用。这种方案中,服务端只需要在客户端请求更新 Token 的时候对 Refresh Token 的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。当然 Refresh Token 也是有有效期的,但是这个有效期就可以长一点了,比如,以天为单位的时间。

  • 时序图表示

使用 Token 和 Refresh Token 的时序图如下:

1)登录

16176847991.webp

2)业务请求

3)Token过期,刷新 Token


上面的时序图中并未提到 Refresh Token 过期怎么办。不过很显然,Refresh Token 既然已经过期,就该要求用户重新登录了。

十、项目中使用token总结

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

1.前端使用用户名跟密码请求首次登录

2.后服务端收到请求,去验证用户名与密码是否正确

3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个 Token,再把这个 Token 发送给前端

4.前端收到 返回的Token ,把它存储起来,比如放在 Cookie 里或者 Local Storage 里

5.前端每次路由跳转,判断 localStroage 有无 token ,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;

6.前端每次向服务端请求资源的时候需要在请求头里携带服务端签发的Token

7.服务端收到请求,然后去验证前端请求里面带着的 Token。没有或者 token 过期,返回401。如果验证成功,就向前端返回请求的数据。

8.前端得到 401 状态码,重定向到登录页面。

随机推荐随机推荐

思源网-专注活动资源技术共享平台 思源网-专注活动资源技术共享平台

思源网是专注于高质量活动资源技术分享的平台,致力于提供前沿的网络知识,在短时间解决您的问题!

字体下载_PS字体下载_书法字体_毛笔字体_艺术字体-字体设计网_ziti.cndesign.com 字体下载_PS字体下载_书法字体_毛笔字体_艺术字体-字体设计网_ziti.cndesign.com

字体设计网-为字体设计者提供字体设计展示平台,让字体设计作品被商业用户发现并应用.并提供免费字体下载和字体在线生成,字体在线转换下载,为字体设计师提供有效传播和服务,设计网络首选品牌

招聘_求职_找工作 - 首选卓博人才网 招聘_求职_找工作 - 首选卓博人才网

卓博是深受用户信赖的全国性人才招聘平台,致力于为企业招聘和个人求职提供高效沟通和双向选择的专业招聘平台。为个人求职找工作提供海量招聘信息,为企业招聘人才提供专业招聘服务。

花语网 - 玫瑰_风信子_百合_满天星_鲜花花语大全! 花语网 - 玫瑰_风信子_百合_满天星_鲜花花语大全!

花语网致力于为爱花人准确解读各种鲜花花语,传递满天星花语、玫瑰花语、风信子花语、向日葵花语、蓝色妖姬花语等鲜花深情花语含义,提供鲜花图片、花语大全、送花知识、花语传说、养殖方法等精彩花卉资讯。爱花、养花、解读花语就上花语网。

河南大学官网 河南大学官网

暂无描述...

COMSOL 中国 | 多物理场仿真软件 COMSOL 中国 | 多物理场仿真软件

COMSOL 是多物理场仿真软件的开发商,致力于为各行业的工程师和研究人员提供交互式的建模仿真平台,用于模拟现实世界的设计、设备和过程。

5号网-养生美容亲子-为健康美丽播种 5号网-养生美容亲子-为健康美丽播种

5号网是一家专业的综合型健康网站 ,中国健康网站的生力军。分享专业的药品库,疾病库,男性健康,女性健康,老人保健、育儿知识,美容美发,整形,美体,健身,减肥,中医养生,食疗,急救,两性性爱,心理等频道。

斗鱼 - 每个人的直播平台 斗鱼 - 每个人的直播平台

斗鱼 - 每个人的直播平台提供高清、快捷、流畅的视频直播和游戏赛事直播服务,包含英雄联盟lol直播、穿越火线cf直播、dota2直播、美女直播等各类热门游戏赛事直播和各种名家大神游戏直播,内容丰富,推送及时,带给你不一样的视听体验,一切尽在斗鱼 - 每个人的直播平台。

小游戏,7k7k小游戏,小游戏大全,双人小游戏 - www.7k7k.com 小游戏,7k7k小游戏,小游戏大全,双人小游戏 - www.7k7k.com

7k7k小游戏大全包含洛克王国,赛尔号,7k7k洛克王国,连连看 ,连连看小游戏大全,美女小游戏,双人小游戏大全,在线小游戏,7k7k赛尔号,7k7k奥拉星,斗破苍穹 2,7k7k奥比岛,7k7k弹弹堂,7k7k单人小游戏,奥比岛小游戏,7k7k功夫派,7k7k小花仙,功夫派等最新小游戏。

技术导航网 - 学习技术从这里开始! 技术导航网 - 学习技术从这里开始!

技术导航是专注于网络技术相关行业网址导航,提供最新前沿it技术资源分享相关行业网站网址,一站式网络技术学习起点站,用心打造最实用的技术网站导航!

Alpha Coders - Your Source For Wallpapers, Art, Photography, Gifs and More! Alpha Coders - Your Source For Wallpapers, Art, Photography, Gifs and More!

Alpha Coders - Your Source For Wallpapers, Art, Photography, Gifs, and More!