‘壹’ 为什么 APP 要用 token 而不用 session 认证
session在会话机制,app进程被结束掉或者长时间不使用是不能继续的会话的交换数据的;
而token是由账号密码换取而来的,存在app本地,keychain等位置。就算会话结束,下次启动app也照样不用登录账号密码
‘贰’ token什么意思 前端如何使用token
大家好,从网上找了很多关于token的文章,都是提到要生成一个token,然后前端每次请求的时候,要使用这个token,请问下如何在前端使用生成的token?
前端能就使用jQuery搞定,还是需要其他的前端框架配合?能有这方面的完整示例吗?
做后端的,对前端的东西有些不太懂,请见谅
先谢谢大家了!!
解决方案1:
一般是后端有个结构给你拿token的,然后你请求的时候,根据约定
把token
放在header中
放uri参数中
放body表单里
给后端
解决方案2:
因为http协议是无状态的 token是后台给你发的一个唯一标识 你再去访问后台时带上这个token 后台就知道你是谁了
同session的作用
解决方案3:
前台生成的token,可能会存在安全性问题吧
解决方案4:
你做后台应该很了解token才对呀。
用户登录后,生成一个session_id,即token,可以存在redis里。然后前端或客户端保存起来,存cookie或者LS都行,然后所有的请求作为基类参数带上(也有通过cookie带的),然后server端再取到后,验证你是不是你。
解决方案5:
使用领域很多,以表单为例子:
后台生成token.
前端打印表单,并且讲该token变成隐藏项。<input type="hide" value="{{token}}">
客户提交表单。
后台验证提交的token合法性。
验证成功,处理表单。验证失败,返回错误处理页面。
解决方案6:
token一般都是后端生成的,在登陆之后返回,前端保存token,之后每次请求都带上token来验证身份。
解决方案7:
问题是前端生成的token给后台有用吗
解决方案8:
一般token都是服务器端生成,做csrf的。我在补充下我见过前端生成的栗子,虽然没啥卵用,但让我废了好大的劲才发现。
譬如你有一个验证码的表单,你在传递验证码的时候,新增一个隐藏域,将验证码用你本地的js加密后,作为参数传递,这样在服务器端可以检测验证码是不是被篡改过。
但这样没啥卵用,因为在提交的时候用同样的js模拟即可。
解决方案9:
大多数情况下,token作为一种令牌,都是在服务器端生成,生成的方法很多,从简单点的对时间或者id或者两个混合起来进行哈希运算的值到自己设计更复杂的算法都可以,生成的目的是为了给前端下一次通信时使用这个token作为令牌,当作为一个请求资源的许可的标识,而服务器则会视这个token在一段时间内都是有效的,并且还可以额外看情况加上是否是同一个ip之类的其它的限制,从而防止某种资源被非法访问
偶有前端(包括本地客户端或者app)生成token的情况是已经约定好了一个好的加密机制,服务器可以信任客户端的这个输入的情况下可以由前端或者客户端生成
‘叁’ android 用什么保存token,保存时需不需要考虑安全问题
token存缓存,或者存sqlite都可以,根据你的项目需求来就OK啦,用token主要是为了防止恶意截包,泄露信息。token存在手机上除非是中病毒,一般情况下是获取不到的。满意请采纳。
‘肆’ 使用oauth2.0授权获取access token后保存在哪,在access token没过期之前怎么再次调用,不用重新授权获取
access token 存在哪里主要看你的业务需求。大多数oauth授权服务器都支持缓存token。也就是说即使你不保存它,重复请求授权的时候,oauth授权服务器会将缓存中的token返回给你。
如果这种方法行不通的时候,可以考虑放到数据库中,
token和用户id一一对应的,所以可以在user表中增加token的字段进行保存。
当然也可以新建一个 userid -token的对应表。
‘伍’ 安卓注册时输入密码和用户名,服务器会返回一个用户id和token,问一下这个token该怎么存储
properties配置文件或sqlite数据库或其他
‘陆’ app访问java后台,后台token储存问题
你们应该用到了跨域,才出现这个问题,前台app和后台不是一个域,所以每次的sessionid不一样,我不知道你们前台用的什么与后台交互的,ajax有一个属性是,withcredentials,把这个设置为true,sessionid就不会变了,这是第一种解决办法,
第二种就是用redis缓存,把信息放入redis也可以解决问题.
‘柒’ 前端做登陆存储时,token要存在哪
token可以存和Storage(localStorage\sessionStorage\cookie)。这些基本上支持H5的浏览器对这个本地储存都兼容。如果您是IE678之类的,建议存cookie。
Storage的localStorage长期有效,sessionStorage关闭浏览器时会自动清除
cookie的可以设置有效期。
‘捌’ 用token作为APP登录状态验证,java后台中这个token只保存在数据库吗
网页链接把知乎大佬的发给你,真的不用保存到数据库
‘玖’ app怎样防止token被盗取
token是个凭条,不过它比门票温柔多了,门票丢了重新花钱买,token丢了重新操作下认证一个就可以了,因此token丢失的代价是可以忍受的——前提是你别丢太频繁,要是让用户隔三差五就认证一次那就损失用户体验了。
客户端方面这个除非你有一个非常安全的办法,比如操作系统提供的隐私数据存储,那token肯定会存在泄露的问题。比如我拿到你的手机,把你的token拷出来,在过期之前就都可以以你的身份在别的地方登录。
解决这个问题的一个简单办法
1、在存储的时候把token进行对称加密存储,用时解开。
2、将请求URL、时间戳、token三者进行合并加盐签名,服务端校验有效性。
这两种办法的出发点都是:窃取你存储的数据较为容易,而反汇编你的程序hack你的加密解密和签名算法是比较难的。然而其实说难也不难,所以终究是防君子不防小人的做法。话说加密存储一个你要是被人扒开客户端看也不会被喷明文存储……
方法1它拿到存储的密文解不开、方法2它不知道你的签名算法和盐,两者可以结合食用。
但是如果token被人拷走,他自然也能植入到自己的手机里面,那到时候他的手机也可以以你的身份来用着,这你就瞎了。
于是可以提供一个让用户可以主动expire一个过去的token类似的机制,在被盗的时候能远程止损。
话说一个人连自己手机都保护不好还谈什么安全……
在网络层面上token明文传输的话会非常的危险,所以建议一定要使用HTTPS,并且把token放在post body里。