token是什么意思通俗点(token参数是什么意思)

喽大家好,今天继续给大家说测试那些事。上期我们说到了三审提到了它是存在于服务器的,例如说是内存里边,但是用它的话会引发一些问题。第一个,当越来越多的用户发送请求的时候,那内存的一个开销会不断地增加。第二个的话,当服务器采用一个分布式或者是集群的时候,三审就会面对一个负载均衡的问题。而负载均衡多服务器的情况下,是不好确认当前用户是否登录了,因为多服务其实不共享一个三审的。

那这种情况之下,token就产生了 token 是什么?它其实也会被称作一个令牌由服务端生成的一串字符串。而这串字符串生成的规则是由一个 UID 就用户的唯一身份标识还有一个 time 就是当前时间。还有赞是一个签名,使用一个哈拉希压缩成一个定长的 16 制的字符串,以防止第三方恶意拼接。

最后是加一个固定参数,这个参数你可以加也可以不加。 token 的一个认证方式,它其实就类似于一个临时的证书签名,并且是一种服务端无状态的一个认证方式。状态其实说我服务端并不会保存身份认证相关的一个数据。 token 在客户端一般的话是存放在一个 log storage 也就是一个本地存储 cookie 或者是 session storage 中,在服务器的话一般是存在于数据库中。

那整个 token 的一个认证流程是怎样的?第一个的话就是用户首先通过用户名和密码发送一个请求。然后第二个是服务端进行一个验证,成功后的话服务器会返回一个 token 给到一个客户端。第三个的话就是客户端收到数据后保存在一个客户端。第四个就是客户端再次访问服务端,请求的时候会带上一个 token 第五个的话是服务器端校验,一个 token 校验成功的话那就会返回一个请求,数据校验失败就会返回一个错误状态码。

那说了这么多,我们实际 token 的一个应用是在哪方面呢?其实主要是两个。第一一个的话是可以抵抗 CI RI 也就是一个跨站请求伪造。用户在访问银行网站的时候,他们是很容易受到一个跨站请求伪造的攻击,并且能够被利用其访问其他的一个网站。假如说我表单提交的 SRC 是一个北京点 com 就是一个北京银行北京点 com 然后它后缀的话会加上一个 user from 是假如说是张帆 out 是一个黑客,那我 amos 就是一个金钱是 1000 的话。对这针对刚才的一个表单去提交 SRC 那如果是一个三审和 cookie 的形式的话,用户打开网页的时候其实就已经转给了一个黑客 1000 元了。

因为 from 发起的一个 post 的请求是并不受到浏览器的一个同源策略的一个限制,因此可以任意的使用它其他域的一个 cookie 向其他域发送一个 post 的请求,形成一个 CSRF 的一个攻击。在 post 的请求的一瞬间,cookie会被浏览器自动添加到一个请求头里边。但是 token 它是不同的 token 它是开发者为了防晒这个而进行特别设计的一个令牌,浏览器不会说自动添加到一个 header 头里边,攻击者也是无法访问用户的一个 token 所以提交的表单是无法通过服务器进行一个过滤的,也就无法形成一个攻击。

这个应用可以实现一个 CORS 也是一个跨域资源共享。如果说我公司内部有多个系统的时候,那么我就可以通过 token 来实现一个免登录资源共享。另比如说我一个 QQ 登录之后,然后 QQ 空间它可能也就已经登录了,其实是在 QQ 登录 QQ 之后生成了一个 token 那这个 token 不仅可以在一个 Q 系统进行使用,在腾讯旗下的任何一个系统都能使用。只要其他系统的开发对 token 进行了一个解析,那这个解析规则的话是提前进行沟通。好的,那正是因为有这个特性,所以 token 也是被用作业一个单点登录的一种实现方式。那具体单点登录是什么?然后它是有哪些实现方式?我们下一期给大家说好,今天就到这里,感谢大家的观看。喜欢我就请点赞关注,拜拜。

发表评论

登录后才能评论