Token流程是什么？怎么解決超時(shí)問(wèn)題？令牌驗(yàn)證流程:1.背景介紹傳統(tǒng)身份驗(yàn)證方法HTTP是一個(gè)無(wú)狀態(tài)協(xié)議，也就是說(shuō)，它不 我不知道誰(shuí)在訪問(wèn)這個(gè)應(yīng)用程序。這里我們把用戶(hù)看成一個(gè)客戶(hù)端，客戶(hù)端使用用戶(hù)名

Token流程是什么？怎么解決超時(shí)問(wèn)題？

令牌驗(yàn)證流程:

1.背景介紹

傳統(tǒng)身份驗(yàn)證方法

HTTP是一個(gè)無(wú)狀態(tài)協(xié)議，也就是說(shuō)，它不 我不知道誰(shuí)在訪問(wèn)這個(gè)應(yīng)用程序。這里我們把用戶(hù)看成一個(gè)客戶(hù)端，客戶(hù)端使用用戶(hù)名和密碼認(rèn)證通過(guò)了，但是下一次這個(gè)客戶(hù)端發(fā)送請(qǐng)求的時(shí)候需要再次驗(yàn)證。

解決方案是，當(dāng)用戶(hù)請(qǐng)求登錄時(shí)，如果沒(méi)有問(wèn)題，我們會(huì)在服務(wù)器上生成一條記錄，可以說(shuō)明登錄的用戶(hù)是誰(shuí)，然后把這條記錄的ID號(hào)發(fā)送給客戶(hù)端?？蛻?hù)端收到后，將這個(gè)ID號(hào)存儲(chǔ)在一個(gè)Cookie中，下次用戶(hù)向服務(wù)器發(fā)送請(qǐng)求時(shí)，可以隨身攜帶這個(gè)Cookie。這樣，服務(wù)器將驗(yàn)證這個(gè)Cookie中的信息，看是否能在服務(wù)器上找到相應(yīng)的記錄。如果可以，說(shuō)明用戶(hù)通過(guò)了認(rèn)證，然后將用戶(hù)請(qǐng)求的數(shù)據(jù)返回給客戶(hù)端。

以上是會(huì)話。我們需要在服務(wù)器上存儲(chǔ)為登錄用戶(hù)生成的會(huì)話。這些會(huì)話可以存儲(chǔ)在內(nèi)存、磁盤(pán)或數(shù)據(jù)庫(kù)中。我們可能需要定期清理服務(wù)器上的過(guò)期會(huì)話。

基于令牌的認(rèn)證方法

使用基于令牌的認(rèn)證方法，不需要存儲(chǔ)用戶(hù) 服務(wù)器上的登錄記錄。一般流程如下:

客戶(hù)端請(qǐng)求使用用戶(hù)名和密碼登錄。

服務(wù)器收到驗(yàn)證用戶(hù)名和密碼的請(qǐng)求。

驗(yàn)證成功后，服務(wù)器會(huì)頒發(fā)一個(gè)令牌并發(fā)送給客戶(hù)端。

收到令牌后，客戶(hù)端可以將其存儲(chǔ)在Cookie或LocalStorage中。

每次客戶(hù)端向服務(wù)器請(qǐng)求資源時(shí)，都需要攜帶服務(wù)器頒發(fā)的令牌。

服務(wù)器接收請(qǐng)求，然后驗(yàn)證客戶(hù)端請(qǐng)求中攜帶的令牌，如果驗(yàn)證成功，則向客戶(hù)端返回請(qǐng)求的數(shù)據(jù)。

傳統(tǒng)身份驗(yàn)證方法

HTTP是一個(gè)無(wú)狀態(tài)協(xié)議，也就是說(shuō)，它不 我不知道誰(shuí)在訪問(wèn)這個(gè)應(yīng)用程序。這里我們把用戶(hù)看成一個(gè)客戶(hù)端，客戶(hù)端使用用戶(hù)名和密碼認(rèn)證通過(guò)了，但是下一次這個(gè)客戶(hù)端發(fā)送請(qǐng)求的時(shí)候需要再次驗(yàn)證。

解決方案是，當(dāng)用戶(hù)請(qǐng)求登錄時(shí)，如果沒(méi)有問(wèn)題，我們會(huì)在服務(wù)器上生成一條記錄，可以說(shuō)明登錄的用戶(hù)是誰(shuí)，然后把這條記錄的ID號(hào)發(fā)送給客戶(hù)端?？蛻?hù)端收到后會(huì)將這個(gè)ID號(hào)存儲(chǔ)在一個(gè)Cookie中，下次用戶(hù)向服務(wù)器發(fā)送請(qǐng)求時(shí)可以帶上這個(gè)Cookie，這樣服務(wù)器就會(huì)驗(yàn)證這個(gè)Cookie中的信息，看看在服務(wù)器上是否能找到對(duì)應(yīng)的記錄。如果有，如果有，服務(wù)器可以。數(shù)據(jù)被返回給客戶(hù)端。

以上是會(huì)話。我們需要在服務(wù)器上存儲(chǔ)為登錄用戶(hù)生成的會(huì)話。這些會(huì)話可以存儲(chǔ)在內(nèi)存、磁盤(pán)或數(shù)據(jù)庫(kù)中。我們可能需要定期清理服務(wù)器上的過(guò)期會(huì)話。

基于令牌的認(rèn)證方法

使用基于令牌的認(rèn)證方法，不需要存儲(chǔ)用戶(hù) 服務(wù)器上的登錄記錄。一般流程如下:

客戶(hù)端請(qǐng)求使用用戶(hù)名和密碼登錄。

服務(wù)器收到驗(yàn)證用戶(hù)名和密碼的請(qǐng)求。

驗(yàn)證成功后，服務(wù)器會(huì)頒發(fā)一個(gè)令牌，然后發(fā)送給客戶(hù)端。

收到令牌后，客戶(hù)端可以將其存儲(chǔ)在Cookie或LocalStorage中。

每次客戶(hù)端向服務(wù)器請(qǐng)求資源時(shí)，都需要攜帶服務(wù)器頒發(fā)的令牌。

服務(wù)器接收請(qǐng)求，然后驗(yàn)證客戶(hù)端請(qǐng)求中的令牌，如果驗(yàn)證成功，則向客戶(hù)端返回所請(qǐng)求數(shù)據(jù)切片的來(lái)源。

最早的Tiles是在Struts1.1中組裝的，主要目的是使用多個(gè)jsp頁(yè)面作為新頁(yè)面功能的一部分，然后將它們組合成一個(gè)最終的呈現(xiàn)頁(yè)面。通過(guò)這種，可以方便地更改和維護(hù)頁(yè)面的功能。

現(xiàn)在Tiles已經(jīng)作為Apache的一個(gè)獨(dú)立開(kāi)源項(xiàng)目維護(hù)。

如果你發(fā)現(xiàn)自己在每個(gè)頁(yè)面上寫(xiě)了三行相同的JSP代碼，或者如果你想輕松定義一個(gè)復(fù)雜的模板布局，那么我相信學(xué)習(xí)Tiles框架會(huì)對(duì)你有所幫助。

2.知識(shí)分析

傳統(tǒng)身份驗(yàn)證方法

HTTP是一個(gè)無(wú)狀態(tài)協(xié)議，也就是說(shuō)，它不 我不知道誰(shuí)在訪問(wèn)這個(gè)應(yīng)用程序。這里我們把用戶(hù)看成一個(gè)客戶(hù)端，客戶(hù)端使用用戶(hù)名和密碼認(rèn)證通過(guò)了，但是下一次這個(gè)客戶(hù)端發(fā)送請(qǐng)求的時(shí)候需要再次驗(yàn)證。

解決方案是，當(dāng)用戶(hù)請(qǐng)求登錄時(shí)，如果沒(méi)有問(wèn)題，我們會(huì)在服務(wù)器上生成一條記錄，可以說(shuō)明登錄的用戶(hù)是誰(shuí)，然后把這條記錄的ID號(hào)發(fā)送給客戶(hù)端?？蛻?hù)端收到后，將這個(gè)ID號(hào)存儲(chǔ)在一個(gè)Cookie中，下次用戶(hù)向服務(wù)器發(fā)送請(qǐng)求時(shí)，可以隨身攜帶這個(gè)Cookie。這樣，服務(wù)器將驗(yàn)證這個(gè)Cookie中的信息，看是否能在服務(wù)器上找到相應(yīng)的記錄。如果可以，說(shuō)明用戶(hù)通過(guò)了認(rèn)證，然后將用戶(hù)請(qǐng)求的數(shù)據(jù)返回給客戶(hù)端。

以上是會(huì)話。我們需要在服務(wù)器上存儲(chǔ)為登錄用戶(hù)生成的會(huì)話。這些會(huì)話可以存儲(chǔ)在內(nèi)存、磁盤(pán)或數(shù)據(jù)庫(kù)中。我們可能需要定期清理服務(wù)器上的過(guò)期會(huì)話。

基于令牌的認(rèn)證方法

使用基于t的Oken 的認(rèn)證方法不需要存儲(chǔ)用戶(hù) 服務(wù)器上的登錄記錄。一般流程如下:

客戶(hù)端請(qǐng)求使用用戶(hù)名和密碼登錄。

服務(wù)器收到驗(yàn)證用戶(hù)名和密碼的請(qǐng)求。

驗(yàn)證成功后，服務(wù)器會(huì)頒發(fā)一個(gè)令牌，然后發(fā)送給客戶(hù)端。

收到令牌后，客戶(hù)端可以將其存儲(chǔ)在Cookie或LocalStorage中。

每次客戶(hù)端向服務(wù)器請(qǐng)求資源時(shí)，都需要攜帶服務(wù)器頒發(fā)的令牌。

服務(wù)器接收請(qǐng)求，然后驗(yàn)證客戶(hù)端請(qǐng)求中攜帶的令牌，如果驗(yàn)證成功，則向客戶(hù)端返回請(qǐng)求的數(shù)據(jù)。

傳統(tǒng)身份驗(yàn)證方法

HTTP是一個(gè)無(wú)狀態(tài)協(xié)議，也就是說(shuō)，它不 我不知道誰(shuí)在訪問(wèn)這個(gè)應(yīng)用程序。這里我們把用戶(hù)看成一個(gè)客戶(hù)端，客戶(hù)端使用用戶(hù)名和密碼認(rèn)證通過(guò)了，但是下一次這個(gè)客戶(hù)端發(fā)送請(qǐng)求的時(shí)候需要再次驗(yàn)證。

解決方案是，當(dāng)用戶(hù)請(qǐng)求登錄時(shí)，如果沒(méi)有問(wèn)題，我們會(huì)在服務(wù)器上生成一條記錄，可以說(shuō)明登錄的用戶(hù)是誰(shuí)，然后把這條記錄的ID號(hào)發(fā)送給客戶(hù)端?？蛻?hù)端收到后，將這個(gè)ID號(hào)存儲(chǔ)在一個(gè)Cookie中，下次用戶(hù)向服務(wù)器發(fā)送請(qǐng)求時(shí)，可以隨身攜帶這個(gè)Cookie。這樣，服務(wù)器將驗(yàn)證這個(gè)Cookie中的信息，看是否能在服務(wù)器上找到相應(yīng)的記錄。如果可以，說(shuō)明用戶(hù)通過(guò)了認(rèn)證，然后將用戶(hù)請(qǐng)求的數(shù)據(jù)返回給客戶(hù)端。

以上是會(huì)話。我們需要在服務(wù)器上存儲(chǔ)為登錄用戶(hù)生成的會(huì)話。這些會(huì)話可以存儲(chǔ)在內(nèi)存、磁盤(pán)或數(shù)據(jù)庫(kù)中。我們可能需要定期清理服務(wù)器上的過(guò)期會(huì)話。

基于令牌的認(rèn)證方法

使用基于令牌的認(rèn)證方法，不需要存儲(chǔ)用戶(hù) 服務(wù)器上的登錄記錄。一般流程如下:

客戶(hù)端請(qǐng)求使用用戶(hù)名和密碼登錄。

服務(wù)器收到驗(yàn)證用戶(hù)名和密碼的請(qǐng)求。

驗(yàn)證成功后，服務(wù)器會(huì)頒發(fā)一個(gè)令牌，然后發(fā)送給客戶(hù)端。

收到令牌后，客戶(hù)端可以將其存儲(chǔ)在Cookie或LocalStorage中。

每次客戶(hù)端向服務(wù)器請(qǐng)求資源時(shí)，都需要攜帶服務(wù)器頒發(fā)的令牌。

服務(wù)器接收請(qǐng)求，然后驗(yàn)證客戶(hù)端請(qǐng)求中攜帶的令牌，如果驗(yàn)證成功，則向客戶(hù)端返回請(qǐng)求的數(shù)據(jù)。

3.常見(jiàn)問(wèn)題

基于服務(wù)器的身份驗(yàn)證方法暴露的一些問(wèn)題

每次經(jīng)過(guò)身份驗(yàn)證的用戶(hù)發(fā)出請(qǐng)求時(shí)，服務(wù)器都需要?jiǎng)?chuàng)建一個(gè)記錄來(lái)存儲(chǔ)信息。當(dāng)越來(lái)越多的用戶(hù)發(fā)送請(qǐng)求時(shí)，內(nèi)存的開(kāi)銷(xiāo)也會(huì)增加。

2.可伸縮性:在服務(wù)器中使用Seesion在內(nèi)存中存儲(chǔ)登錄信息，伴隨而來(lái)的是可擴(kuò)展性問(wèn)題。

(跨域資源共享):當(dāng)我們需要跨多個(gè)移動(dòng)設(shè)備使用數(shù)據(jù)時(shí)，跨域資源共享會(huì)是一件很頭疼的事情。當(dāng)使用Ajax從另一個(gè)域獲取資源時(shí)，可以禁止請(qǐng)求。

4.CSRF(跨站請(qǐng)求偽造):當(dāng)用戶(hù)訪問(wèn)銀行網(wǎng)站時(shí)，很容易受到跨站請(qǐng)求偽造的攻擊，并可用于訪問(wèn)其他網(wǎng)站。在這些問(wèn)題中，可擴(kuò)展行是最突出的。因此，我們有必要找到一種更有效的方法。

第四步:解決方案

基于令牌的認(rèn)證過(guò)程如下，:。

1.用戶(hù)通過(guò)用戶(hù)名和密碼發(fā)送請(qǐng)求。

2.程序驗(yàn)證。

3.程序向客戶(hù)端返回一個(gè)簽名的令牌。

4.客戶(hù)端存儲(chǔ)令牌，并在每次發(fā)送請(qǐng)求時(shí)使用它。

5.服務(wù)器驗(yàn)證令牌并返回?cái)?shù)據(jù)。

令牌有一定的時(shí)間限制。到期后，您需要重新進(jìn)行身份認(rèn)證才能登錄并獲得新令牌。

移動(dòng)客戶(hù)端登錄服務(wù)器時(shí)，需要提供包含令牌的認(rèn)證，服務(wù)器需要向通道認(rèn)證包含令牌的認(rèn)證信息。如果通道返回有效，則移動(dòng)客戶(hù)端被認(rèn)為是合法的。

在這個(gè)過(guò)程中，經(jīng)常會(huì)斷開(kāi)連接，然后重新連接。每次重新連接過(guò)程相當(dāng)于登錄服務(wù)器一次，服務(wù)器會(huì)向通道服務(wù)器認(rèn)證令牌。但由于令牌的時(shí)效性，一段時(shí)間后斷開(kāi)的重新連接會(huì)被拒絕。

一種解決方案是:每次斷開(kāi)連接重新連接時(shí)，登錄服務(wù)器，申請(qǐng)新的令牌；；另一種是:當(dāng)服務(wù)器反饋是令牌已經(jīng)過(guò)期，那么通知客戶(hù)端再次從通道服務(wù)器獲取，然后斷開(kāi)連接，重新連接新的令牌。相對(duì)于可能的頻繁獲取令牌，更傾向于第二種方法。從體驗(yàn)來(lái)看，大部分代幣的時(shí)效都是按照小時(shí)來(lái)計(jì)算的。