『壹』 為什麼 APP 要用 token 而不用 session 認證
session在會話機制,app進程被結束掉或者長時間不使用是不能繼續的會話的交換數據的;
而token是由賬號密碼換取而來的,存在app本地,keychain等位置。就算會話結束,下次啟動app也照樣不用登錄賬號密碼
『貳』 token什麼意思 前端如何使用token
大家好,從網上找了很多關於token的文章,都是提到要生成一個token,然後前端每次請求的時候,要使用這個token,請問下如何在前端使用生成的token?
前端能就使用jQuery搞定,還是需要其他的前端框架配合?能有這方面的完整示例嗎?
做後端的,對前端的東西有些不太懂,請見諒
先謝謝大家了!!
解決方案1:
一般是後端有個結構給你拿token的,然後你請求的時候,根據約定
把token
放在header中
放uri參數中
放body表單里
給後端
解決方案2:
因為http協議是無狀態的 token是後台給你發的一個唯一標識 你再去訪問後台時帶上這個token 後台就知道你是誰了
同session的作用
解決方案3:
前台生成的token,可能會存在安全性問題吧
解決方案4:
你做後台應該很了解token才對呀。
用戶登錄後,生成一個session_id,即token,可以存在redis里。然後前端或客戶端保存起來,存cookie或者LS都行,然後所有的請求作為基類參數帶上(也有通過cookie帶的),然後server端再取到後,驗證你是不是你。
解決方案5:
使用領域很多,以表單為例子:
後台生成token.
前端列印表單,並且講該token變成隱藏項。<input type="hide" value="{{token}}">
客戶提交表單。
後台驗證提交的token合法性。
驗證成功,處理表單。驗證失敗,返回錯誤處理頁面。
解決方案6:
token一般都是後端生成的,在登陸之後返回,前端保存token,之後每次請求都帶上token來驗證身份。
解決方案7:
問題是前端生成的token給後台有用嗎
解決方案8:
一般token都是伺服器端生成,做csrf的。我在補充下我見過前端生成的栗子,雖然沒啥卵用,但讓我廢了好大的勁才發現。
譬如你有一個驗證碼的表單,你在傳遞驗證碼的時候,新增一個隱藏域,將驗證碼用你本地的js加密後,作為參數傳遞,這樣在伺服器端可以檢測驗證碼是不是被篡改過。
但這樣沒啥卵用,因為在提交的時候用同樣的js模擬即可。
解決方案9:
大多數情況下,token作為一種令牌,都是在伺服器端生成,生成的方法很多,從簡單點的對時間或者id或者兩個混合起來進行哈希運算的值到自己設計更復雜的演算法都可以,生成的目的是為了給前端下一次通信時使用這個token作為令牌,當作為一個請求資源的許可的標識,而伺服器則會視這個token在一段時間內都是有效的,並且還可以額外看情況加上是否是同一個ip之類的其它的限制,從而防止某種資源被非法訪問
偶有前端(包括本地客戶端或者app)生成token的情況是已經約定好了一個好的加密機制,伺服器可以信任客戶端的這個輸入的情況下可以由前端或者客戶端生成
『叄』 android 用什麼保存token,保存時需不需要考慮安全問題
token存緩存,或者存sqlite都可以,根據你的項目需求來就OK啦,用token主要是為了防止惡意截包,泄露信息。token存在手機上除非是中病毒,一般情況下是獲取不到的。滿意請採納。
『肆』 使用oauth2.0授權獲取access token後保存在哪,在access token沒過期之前怎麼再次調用,不用重新授權獲取
access token 存在哪裡主要看你的業務需求。大多數oauth授權伺服器都支持緩存token。也就是說即使你不保存它,重復請求授權的時候,oauth授權伺服器會將緩存中的token返回給你。
如果這種方法行不通的時候,可以考慮放到資料庫中,
token和用戶id一一對應的,所以可以在user表中增加token的欄位進行保存。
當然也可以新建一個 userid -token的對應表。
『伍』 安卓注冊時輸入密碼和用戶名,伺服器會返回一個用戶id和token,問一下這個token該怎麼存儲
properties配置文件或sqlite資料庫或其他
『陸』 app訪問java後台,後台token儲存問題
你們應該用到了跨域,才出現這個問題,前台app和後台不是一個域,所以每次的sessionid不一樣,我不知道你們前台用的什麼與後台交互的,ajax有一個屬性是,withcredentials,把這個設置為true,sessionid就不會變了,這是第一種解決辦法,
第二種就是用redis緩存,把信息放入redis也可以解決問題.
『柒』 前端做登陸存儲時,token要存在哪
token可以存和Storage(localStorage\sessionStorage\cookie)。這些基本上支持H5的瀏覽器對這個本地儲存都兼容。如果您是IE678之類的,建議存cookie。
Storage的localStorage長期有效,sessionStorage關閉瀏覽器時會自動清除
cookie的可以設置有效期。
『捌』 用token作為APP登錄狀態驗證,java後台中這個token只保存在資料庫嗎
網頁鏈接把知乎大佬的發給你,真的不用保存到資料庫
『玖』 app怎樣防止token被盜取
token是個憑條,不過它比門票溫柔多了,門票丟了重新花錢買,token丟了重新操作下認證一個就可以了,因此token丟失的代價是可以忍受的——前提是你別丟太頻繁,要是讓用戶隔三差五就認證一次那就損失用戶體驗了。
客戶端方面這個除非你有一個非常安全的辦法,比如操作系統提供的隱私數據存儲,那token肯定會存在泄露的問題。比如我拿到你的手機,把你的token拷出來,在過期之前就都可以以你的身份在別的地方登錄。
解決這個問題的一個簡單辦法
1、在存儲的時候把token進行對稱加密存儲,用時解開。
2、將請求URL、時間戳、token三者進行合並加鹽簽名,服務端校驗有效性。
這兩種辦法的出發點都是:竊取你存儲的數據較為容易,而反匯編你的程序hack你的加密解密和簽名演算法是比較難的。然而其實說難也不難,所以終究是防君子不防小人的做法。話說加密存儲一個你要是被人扒開客戶端看也不會被噴明文存儲……
方法1它拿到存儲的密文解不開、方法2它不知道你的簽名演算法和鹽,兩者可以結合食用。
但是如果token被人拷走,他自然也能植入到自己的手機裡面,那到時候他的手機也可以以你的身份來用著,這你就瞎了。
於是可以提供一個讓用戶可以主動expire一個過去的token類似的機制,在被盜的時候能遠程止損。
話說一個人連自己手機都保護不好還談什麼安全……
在網路層面上token明文傳輸的話會非常的危險,所以建議一定要使用HTTPS,並且把token放在post body里。