網(wǎng)站的token機制是什么？

2020-06-04 22:59:47

字體：大中小

供稿：網(wǎng)友

Token的意思是“令牌”，是服務(wù)端生成的一串字符串，作為客戶端進行請求的一個標(biāo)識。當(dāng)用戶第一次登錄后，服務(wù)器生成一個token并將此token返回給客戶端，以后客戶端只需帶上這個token前來請求數(shù)據(jù)即可，無需再次帶上用戶名和密碼。

簡單token的組成;uid(用戶唯一的身份標(biāo)識)、time(當(dāng)前時間的時間戳)、sign(簽名，token的前幾位以哈希算法壓縮成的一定長度的十六進制字符串。為防止token泄露)。

身份認(rèn)證概述

由于HTTP是一種沒有狀態(tài)的協(xié)議，它并不知道是誰訪問了我們的應(yīng)用。這里把用戶看成是客戶端，客戶端使用用戶名還有密碼通過了身份驗證，不過下次這個客戶端再發(fā)送請求時候，還得再驗證一下。

通用的解決方法就是，當(dāng)用戶請求登錄的時候，如果沒有問題，在服務(wù)端生成一條記錄，在這個記錄里可以說明登錄的用戶是誰，然后把這條記錄的id發(fā)送給客戶端，客戶端收到以后把這個id存儲在cookie里，下次該用戶再次向服務(wù)端發(fā)送請求的時候，可以帶上這個cookie，這樣服務(wù)端會驗證一下cookie里的信息，看能不能在服務(wù)端這里找到對應(yīng)的記錄，如果可以，說明用戶已經(jīng)通過了身份驗證，就把用戶請求的數(shù)據(jù)返回給客戶端。

以上所描述的過程就是利用session，那個id值就是sessionid。我們需要在服務(wù)端存儲為用戶生成的session，這些session會存儲在內(nèi)存，磁盤，或者數(shù)據(jù)庫。

基于token機制的身份認(rèn)證

使用token機制的身份驗證方法，在服務(wù)器端不需要存儲用戶的登錄記錄。大概的流程：

客戶端使用用戶名和密碼請求登錄。

服務(wù)端收到請求，驗證用戶名和密碼。

驗證成功后，服務(wù)端會生成一個token，然后把這個token發(fā)送給客戶端。

客戶端收到token后把它存儲起來，可以放在cookie或者Local Storage(本地存儲)里。

客戶端每次向服務(wù)端發(fā)送請求的時候都需要帶上服務(wù)端發(fā)給的token。

服務(wù)端收到請求，然后去驗證客戶端請求里面帶著token，如果驗證成功，就向客戶端返回請求的數(shù)據(jù)。

利用token機制進行登錄認(rèn)證，可以有以下方式：

用設(shè)備mac地址作為token

客戶端：客戶端在登錄時獲取設(shè)備的mac地址，將其作為參數(shù)傳遞到服務(wù)端

服務(wù)端：服務(wù)端接收到該參數(shù)后，便用一個變量來接收，同時將其作為token保存在數(shù)據(jù)庫，并將該token設(shè)置到session中。客戶端每次請求的時候都要統(tǒng)一攔截，將客戶端傳遞的token和服務(wù)器端session中的token進行對比，相同則登錄成功，不同則拒絕。

此方式客戶端和服務(wù)端統(tǒng)一了唯一的標(biāo)識，并且保證每一個設(shè)備擁有唯一的標(biāo)識。缺點是服務(wù)器端需要保存mac地址;優(yōu)點是客戶端無需重新登錄，只要登錄一次以后一直可以使用，對于超時的問題由服務(wù)端進行處理。

以上就是小編對于網(wǎng)站的token機制的詳解。

上一篇：網(wǎng)站的cookie機制是什么？

下一篇：怎樣制造高質(zhì)量原創(chuàng)文章？