简单理解token机制(token机制原理)

在简单理解cookie/session机制这篇文章中,简要阐述了cookie和session的原理。本文将要简单阐述另一个同cookie/session同样重要的技术术语:token。

简单理解token机制(token机制原理)

什么是token

token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。

当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。

简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。

身份认证概述

由于HTTP是一种没有状态的协议,它并不知道是谁访问了我们的应用。这里把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下次这个客户端再发送请求时候,还得再验证一下。

通用的解决方法就是,当用户请求登录的时候,如果没有问题,在服务端生成一条记录,在这个记录里可以说明登录的用户是谁,然后把这条记录的id发送给客户端,客户端收到以后把这个id存储在cookie里,下次该用户再次向服务端发送请求的时候,可以带上这个cookie,这样服务端会验证一下cookie里的信息,看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。

以上所描述的过程就是利用session,那个id值就是sessionid。我们需要在服务端存储为用户生成的session,这些session会存储在内存,磁盘,或者数据库。

基于token机制的身份认证

使用token机制的身份验证方法,在服务器端不需要存储用户的登录记录。大概的流程:

  1. 客户端使用用户名和密码请求登录。
  2. 服务端收到请求,验证用户名和密码。
  3. 验证成功后,服务端会生成一个token,然后把这个token发送给客户端。
  4. 客户端收到token后把它存储起来,可以放在cookie或者Local Storage(本地存储)里。
  5. 客户端每次向服务端发送请求的时候都需要带上服务端发给的token。
  6. 服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据。

利用token机制进行登录认证,可以有以下方式:

a.用设备mac地址作为token

客户端:客户端在登录时获取设备的mac地址,将其作为参数传递到服务端

服务端:服务端接收到该参数后,便用一个变量来接收,同时将其作为token保存在数据库,并将该token设置到session中。客户端每次请求的时候都要统一拦截,将客户端传递的token和服务器端session中的token进行对比,相同则登录成功,不同则拒绝。

此方式客户端和服务端统一了唯一的标识,并且保证每一个设备拥有唯一的标识。缺点是服务器端需要保存mac地址;优点是客户端无需重新登录,只要登录一次以后一直可以使用,对于超时的问题由服务端进行处理。

b.用sessionid作为token

客户端:客户端携带用户名和密码登录

服务端:接收到用户名和密码后进行校验,正确就将本地获取的sessionid作为token返回给客户端,客户端以后只需带上请求的数据即可。

此方式的优点是方便,不用存储数据,缺点就是当session过期时,客户端必须重新登录才能请求数据。

当然,对于一些保密性较高的应用,可以采取两种方式结合的方式,将设备mac地址与用户名密码同时作为token进行认证。

APP利用token机制进行身份认证

用户在登录APP时,APP端会发送加密的用户名和密码到服务器,服务器验证用户名和密码,如果验证成功,就会生成相应位数的字符产作为token存储到服务器中,并且将该token返回给APP端。

以后APP再次请求时,凡是需要验证的地方都要带上该token,然后服务器端验证token,成功返回所需要的结果,失败返回错误信息,让用户重新登录。其中,服务器上会给token设置一个有效期,每次APP请求的时候都验证token和有效期。

token的存储

token可以存到数据库中,但是有可能查询token的时间会过长导致token丢失(其实token丢失了再重新认证一个就好,但是别丢太频繁,别让用户没事儿就去认证)。

为了避免查询时间过长,可以将token放到内存中。这样查询速度绝对就不是问题了,也不用太担心占据内存,就算token是一个32位的字符串,应用的用户量在百万级或者千万级,也是占不了多少内存的。

token的加密

token是很容易泄露的,如果不进行加密处理,很容易被恶意拷贝并用来登录。加密的方式一般有:

  1. 在存储的时候把token进行对称加密存储,用到的时候再解密。
  2. 文章最开始提到的签名sign:将请求URL、时间戳、token三者合并,通过算法进行加密处理。

最好是两种方式结合使用。

还有一点,在网络层面上token使用明文传输的话是非常危险的,所以一定要使用HTTPS协议。

总结

以上就是对于token在用户身份认证过程中的简单总结。希望没有技术背景的产品经理们在和开发哥哥沟通的时候不要再被这些技术术语问住了。

作者:流年,互联网产品设计师,4年互联网产品设计经验。

本文由 @流年 原创发布于人人都是产品经理。未经许可,禁止转载。

题图由作者提供

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至89291810@qq.com举报,一经查实,本站将立刻删除。
(0)
上一篇 2024年4月11日 下午3:45
下一篇 2024年4月11日 下午3:51

相关推荐

  • 休学期可以提前上学吗

    休学期可以提前上学吗? 近年来,随着教育的不断发展和改革,学生们的上学时间也逐渐缩短。尤其是在一些地区,学校为了响应国家“缩短学期”的政策,纷纷将学生的学期缩短到两周,甚至一周。这…

    教育百科 2025年11月18日
  • 不上学和

    不上学 我是一个高中生,我曾经也是一个不上学的人。我上的是一个普通的高中,但是我不想在这个学校里上学。 我曾经觉得上学是一件很无聊的事情,每天我们都在教室里听着老师讲课,看着同学们…

    教育百科 2026年3月23日
  • 2025图卢兹大学世界排名相当于国内什么大学

    2025图卢兹世界大学相当于国内什么大学? 在选择留学目的地时,父母常常面临着巨大的焦虑:国外的学校到底靠谱吗?回国后能找到对口的工作吗?尤其是当孩子提出想去图卢兹这样的海外院校深…

    教育百科 2025年4月12日
  • 休学后复学需要手续吗

    休学后复学需要手续吗? 对于一些学生来说,休学是一种必要的选择,它可以帮助他们更好地处理某些问题,例如家庭问题、健康问题或学业困难。但是,休学结束后,学生想要复学时,是否需要办理手…

    教育百科 2024年7月18日
  • 写给爱玩游戏的孩子适合宝宝玩的手机游戏

    适合宝宝玩的手机游戏 亲爱的爱玩游戏的孩子, 你现在已经长大了,开始有了自己的想法和兴趣。我知道你非常喜欢玩游戏,但是也要注意不要沉迷于游戏,以免影响学习和其他重要方面的生活。 在…

    教育百科 2024年9月21日
  • 丝绸之路开辟于什么朝代起点和终点在哪

    丝绸之路开辟于什么朝代?起点和终点在哪? 父母的期望: 父母希望孩子能通过学习历史知识,了解古代中国的文明交流与对外贸易的重要性。他们期待孩子不仅能记住丝绸之路的基本信息,还能理解…

    教育百科 2025年4月14日
  • 广东梅县高中排名

    广东梅县高中排名 广东梅县高中排名是一个重要的话题,因为广东梅县高中的排名可以影响学生和家长的决策。广东梅县高中排名通常是由教育研究机构和媒体发布的,以下是一些可能有用的信息。 广…

    教育百科 2024年11月10日
  • 高职办休学

    高职办休学 高职办休学是指学生为了某些原因而休学一段时间。在高职办休学期间,学生可以暂停学习,放松身心,为接下来的学习或工作做好准备。 高职办休学的好处有很多。首先,学生可以更好地…

    教育百科 2025年8月13日
  • 电影 网瘾 点击

    电影网瘾点击 电影网瘾点击是一部关于网络成瘾的电影,讲述了一个年轻人因为沉迷于网络游戏而导致自己失去自我的故事。 电影的主人公叫李明(演员:吴镇宇),是一个年轻有为的网络工程师,他…

    教育百科 2025年6月25日
  • pb

    pb(Packet Breakage)指的是网络中数据包的丢失或损坏。当网络传输的数据量非常大时,数据包可能会因为网络延迟、拥塞或者其他原因导致丢失或损坏。这些丢失的数据包会影响网…

    教育百科 2024年12月8日

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注