浅谈Token的理解与机制运用

最新推荐文章于 2025-04-24 19:59:52 发布
最新推荐文章于 2025-04-24 19:59:52 发布
阅读量845 收藏 4
点赞数 1
分类专栏: 前端技术-机制运用 文章标签: 理解Token Token的运用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShIcily/article/details/99672854
版权

一、定义概念

           Token被翻译成为('令牌','标记')在计算机中的含义也差不错('计算机身份认证安全令牌'),token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。

二、传统的Seeion验证

           Http协议进行数据的提交,服务器接收到用户帐号和密码进行验证,在之后的一系列操作,因为http协议本身是一种无状态的协议,再下一次请求必须重新发送一次帐号和密码来进行认证。

          根据http协议我们没办法做一个长期的验证,为了让应用能够识别身份,我们需要在服务端进行身份的保存,所以使用session进行保存,这就是传统的session认证。

       缺点:session保存是使用的内存,当用户量大的时候会对服务器增加很大的压力。

三、Token解决的问题

    1.Token完全由应用管理,所以它可以避开同源策略.

     2.Token可以避免CSRF攻击(跨域请求仿造).

     3.Token可以是无状态的,可以在多个服务间共享.

          Token是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么服务端会反返回Token给前端,前端可以在每次请求的时候带上Token证明自己的合法地位,如果这个Token在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌.

四、基于Token的身份验证过程

          1、用户通过用户名和密码发送请求请求登录

          2、程序验证用户名和密码

          3、创建一个签名的Token返回给客户端

          4.、客户端每次发送请求且携带Token

          5、服务端验证Token

          6、返回状态码

五、Token的分类

          1、访问令牌(Access Tokens)是Windows操作系统安全性的一个概念。一个访问令牌包含了此登陆会话的安全信息。

          2、会话令牌(Session token)用于解决表单重复提交问题;当客户端提交一次之后(也提交了token并且匹配服务器token)服务器接受成功以后将更新token所以客户端再次提交token将不再匹配

六、使用无状态的Token的时候,有两点需要注意:

        1、Referesh Token有效时间较长,所以它应该在服务器端有状态,以增强安全性,确保用户注销时可控.

         2、应该考虑使用二次认证来增强敏感操作的安全性.

注意:这是  --- 认证服务和业务服务集成在一起的情况

七、分离认证服务

         当Token无状态之后,单点登录就变得容易了,前端拿到一个有效的Token,他就可以在任何同一体系的服务上认证通过------------只要他们使用同样的秘钥和算法来认证Token的有效性.

当然,如果 Token 过期了,前端仍然需要去认证服务更新 Token:

注意:这是建立在认证服务器信任业务服务器的前提下,因为认证服务器产生 Token 的密钥和业务服务器认证 Token 的密钥和算法相同。换句话说,业务服务器同样可以创建有效的 Token。

八、Token的创建

webapi接口token定义:

public string GetToken(){

    string token=md5('control'+'action'+'自定义密钥');

    return token;

}

九、Token的 获取

          方式一:从cookies获取

/**
 *     从Cookies中获取token
 * */
function getToken(){
    var strcookie = document.cookie;//获取cookie字符串
    var arrcookie = strcookie.split("; ");//分割
    //遍历匹配
    for ( var i = 0; i < arrcookie.length; i++) {
        var arr = arrcookie[i].split("=");
        if (arr[0] == "token"){
            return arr[1];
        }
    }
    return "";
}

         方式二:从Url获取

/**
 *     从Url中获取token
 */
function getTokenByUrl(){
	var token = GetQueryString("token");
	return token;
} 
 
//获取url参数
function GetQueryString(name){
    var reg = new RegExp("(^|&)"+ name +"=([^&]*)(&|$)");
    var r = window.location.search.substr(1).match(reg);
    if(r!=null)return  unescape(r[2]); return null;
}

注意:https://blog.csdn.net/qq_34825875/article/details/79569579     (在vue中如何获取token,并将token写进header)

十、Token的使用

           方式一:将token放入请求头

$.ajax({

    type: "POST",

    headers: {

        Accept: "application/json; charset=utf-8",

        userToken: "" + userToken

    },

    url: "localhost/api/Home/GetString",

    data: mydata,

    contentType: "application/json",

    dataType: "json",

    success:function(data){

         //  请求成功

    }

});

           方式二:在请求之前设置request请求头

$.ajax({

    type: "POST",

    url: "/index",

    data: mydata,

    contentType: "application/json",

    dataType: "json",

    beforeSend: function(request) {                

               request.setRequestHeader("Authorization", token);

    },

    success: function(data) {

           alert(data.msg);

    }

});

 

RocketMq : 消费消息的两种方式 pull push
九师兄
09-21 1万+
原创在:https://blog.csdn.net/zhangcongyi420/article/details/90548393 在RocketMQ中一般有两种获取消息的方式,一个是拉(pull,消费者主动去broker拉取),一个是推(push,主动推送给消费者) 区别是: push方式里,consumer把轮询过程封装了,并注册MessageListener监听器,取到消息后,唤醒Messa...
pop %esppush %esp的研究
particleHorizon的博客
12-05 3663
最近看操作系统的代码,发现了利用pop %esp进行用户栈内核栈之间的跳转,感觉挺有意思的,就研究了一下。其实这个问题本来不复杂,指令的设计方式蛮合理的,但是看了一下Intel的手册关于poppush的描述反而把我弄晕了。 最后又仔细看了一下关于pop %esppush %ebp的描述才明白,其实就是我一开始没看手册的时候想的那样。。。把intel手册上面对普通的poppush的描述往pu
寄存器(2)汇编常用指令/寄存器
哈尼的博客
08-31 2109
汇编常用指令 参考: 汇编语言之常见的汇编指令 1. 传送指令(4): mov push pop lea 1.1 mov 数据传送指令 a=b 1.2 push 堆栈操作指令 压栈 1.3 pop 出栈 1.4 lea 有效地址传送指令 2. 转移指令(8):call jmp je jne jb jnb ja jna 2.1 call 过程调用指...
对于汇编代码pushl %ebp movl %esp,%ebp
XQ_sunny
12-15 9306
课本( P109 - P110 ) 源程序代码如下: int simple(int *xp, int y) {         int t = *xp + y;         *xp = t;         return t; }​ 汇编代码如下: simple:        pushl     %e bp          
汇编语言简介
最新发布
小宝哥Code的专栏
04-24 498
汇编语言是一种低级编程语言,它与计算机硬件的指令集直接对应。相比高级语言,汇编代码更接近机器语言,每个指令通常对应一个处理器操作。汇编程序员需要了解目标处理器的架构指令集,因为汇编语言是针对特定处理器设计的。
理解C语言(零) 导读(上):C程序的编译过程- 机器级表示
dianliaocha5758的博客
03-06 8461
1 从Hello world说起 Hello world是初学者使用任何一项编程语言最基本最简单的程序。下面是一个C语言版的"Helloworld" : #include <stdio.h> int main(){ printf("Hello wolrd\n"); return 0; } 这段程序被编译、链接后会生成一个可执行文件,在操作系统中运行这个程序,...
计算机内功修炼:程序的机器级表示(C与汇编)
专注游戏研发
11-24 3164
C与汇编, 揭秘程序的机器级别的表示
Linux 内核调用栈解析
bin_linux96的专栏
10-27 1070
1.pushlpopl pushlpopl指令来说操作的是栈,栈的基地址由%ebp来指定,栈顶元素由%esp来指定,%esp指向的就是栈顶元素。将一个双字压入栈中,首先要将%esp减4,然后将双字写入%esp指向的栈顶位置;弹出一个双字,首先要将%esp加4,然后将%esp指向的栈顶元素取出 2.callret指令 call lable //函数调用,会把call指令下一条指令push到栈 leave //函数调用返回前的准备,也就是movl %ebp, %esp; popl %eb...
汇编学习pushl, popl
weixin_34032827的博客
07-29 1703
转载于:https://www.cnblogs.com/muahao/p/9386661.html
pushpushl有什么区别
05-19
`push` `pushl` 都是汇编语言中的指令,用于将数据压入栈中。它们的主要区别在于所操作的数据类型指令的长度。 `push` 指令是通用的压栈指令,可以用于将任何大小的数据压入栈中。而 `pushl` 指令则专门用于将...
高级操作系统——XV6中断机制
weixin_45680007的博客
10-19 1024
1. 什么是用户态内核态?两者有何区别?什么是中断系统调用?两者有何区别?计算机在运行时,是如何确定当前处于用户态还是内核态的? 用户态:运用非特权指令,在Linux中特权级为3级,Ring3,最低。不能访问内核态的地址空间包括代码数据 内核态:能够运用特权非特权指令(除了访管指令),在Linux中特权级为0级,最高。能访问 例子: 如:用户运行一个程序,该程序创建的进程开始时运行自己的代...
# int8 -- 双出错故障。 类型:放弃;有错误码。 # 通常当 CPU 在调用前一个异常的处理程序而又检测到一个新的异常时,这两个异常会被串行地进行 # 处理,但也会碰到很少的情况,CPU 不能进行这样的串行处理操作,此时就会引发该中断。 98 _double_fault: 99 pushl $_do_double_fault # C 函数地址入栈。 100 error_code: 101 xchgl %eax,4(%esp) # error code <-> %eax,eax 原来的值被保存在堆栈上。 102 xchgl %ebx,(%esp) # &function <-> %ebx,ebx 原来的值被保存在堆栈上。 103 pushl %ecx 104 pushl %edx 105 pushl %edi 106 pushl %esi 107 pushl %ebp 108 push %ds 109 push %es 110 push %fs 111 pushl %eax # error code # 出错号入栈。 112 lea 44(%esp),%eax # offset # 程序返回地址处堆栈指针位置值入栈。 113 pushl %eax 114 movl $0x10,%eax # 置内核数据段选择符。 115 mov %ax,%ds 116 mov %ax,%es 117 mov %ax,%fs 118 call *%ebx # 间接调用,调用相应的 C 函数,其参数已入栈。 addl $8,%esp # 丢弃入栈的 2 个用作 C 函数的参数。 120 pop %fs 121 pop %es 122 pop %ds 123 popl %ebp 124 popl %esi 125 popl %edi 126 popl %edx 127 popl %ecx 128 popl %ebx 129 popl %eax 130 iret 131 解释下这段话
07-25
99: `pushl $_do_double_fault`: 将 `_do_double_fault` C 函数的地址压入堆栈,准备调用该函数处理双出错故障。 100: `error_code:`: 这是一个标签,用于标识错误码处理的代码块。 101: `xchgl %eax,4(%esp)`: ...
Linux内核:AT&T汇编基础
无名J0kзr的博客
08-18 490
文章目录参考指令pushlxchgllea 参考 AT&T 汇编入门 - Hello World 汇编代码入门 AT&T指令格式 ARM汇编官方手册 x86汇编程序基础(AT&T语法) 指令 pushl pushpushl区别 将一个双字(long)压栈,esp寄存器的内容-=8。 xchgl 交换源操作数目的操作数的内容。 lea lea指令 如lea 44(%esp),%edx是将esp的内容加上十进制的44,存入edx中。 ...
bloomberg用法 固定收益_干货 | 日语高考高频考点:助词を的用法
weixin_39942992的博客
11-02 373
在日语高考题中,第二大题综合知识运用板块,16-20题固定考察日语的助词的使用。很多同学反映说:高考日语最难学的部分就是助词了。因为中文的结构中是没有助词成分,同时助词的用法也挺多,所以经常容易搞混。日语是黏着语,需要助词作为媒介来连接没有关联的单词。虽然助词的用法很多,并且有的点还比较复杂,但是考法其实相对比较固定。我们在这里整理助词的高频考点,结合例句,帮助同学们加深记忆。「を」的主要用法有两...
计算机语言里的堆栈是什么意思,计算机的堆栈汇编语言
weixin_39580950的博客
07-15 2258
在第53页上,解释了计算机堆栈的工作方式:计算机的堆栈位于最顶端记忆地址。您可以通过一个将值推到堆栈顶部指令叫做pushl。 [...]好吧,我们说它是顶级的,但堆栈的“顶部”实际上是堆栈内存的底部。 [...]在内存中,堆栈从顶部开始内存并由于架构考虑而向下增长。因此,当我们提到“堆栈顶部”时,请记住它位于堆栈的底部存储器中。我得到的那部分。假设堆栈的内存从地址0开始,到地址11(包括)结束。这...
堆栈之间的差别
盖世小可爱的博客
05-23 184
1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结构中的栈。 2、堆区(heap) — 一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收 。注意它与数据结构中的堆是两回事,分配方式倒是类似于链表。 3、全局区(静态区)(static)—,全局变量静态变量的存储是放在一块的,初始化的全局变量静态变量在一块区域, 未初始化的全...
729-汇编pushpop指令
LINZEYU666的博客
10-29 1万+
汇编pushpop指令 pushpop是用来操作栈的2个指令。 push 寄存器:将一个寄存器中的数据入栈。 pop 寄存器:出栈用一个寄存器接收数据。 assume cs:codesg ;cs寄存器指向该程序的首地址 codesg segment mov ax,1000H ;将1000H送入寄存器ax,相当于ax=1000H mov ss,ax mov sp,0010H mov ax,001AH ;将ax,bx赋值 mov bx,0
汇编pushpop指令
热门推荐
06-01 9万+
pushpop是用来操作栈的2个指令。 push寄存器:将一个寄存器中的数据入栈 pop寄存器:出栈用一个寄存器接收数据 下面用一段汇编代码学习一下栈的操作,用masm编辑的(环境用的<<汇编语言>> 王爽的那套环境)。 assume cs:codesg ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值