为什么要使用token,它的作用、好处和token的加密功能是什么以及要如何使用token

已于 2025-04-10 09:51:56 修改
阅读量1.3k 收藏 10
点赞数 20
CC 4.0 BY-SA版权
文章标签: node.js javascript
于 2025-04-10 09:49:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwh0681/article/details/147109700

一、为什么要使用token?

token是现代应用于身份验证和授权的核心工具,主要是解决传统会话管理的痛点。为什么要使用它是因为它在很多方面都有优势比如:

1.代替了传统的Session,实现无状态化

token使服务器无需存储会话数据,只需要验证token的有效性。还支持多服务器的部署适合分布式系统

2.跨域和跨设备支持

token可以存储在客户端,在跨域请求是自动携带token。它还支持多端比如web、移动端、iot设备等

3.提升安全性

防CSRF攻击:Token基本都存储在HTTP头中,可以避免Cookie劫持风险

防篡改:通过签名机制可以确保数据完整性

短时有效:可以设置token过期的时间,减少泄露风险

4.提升性能

token可以减少数据库的查询,在每次使用时服务器无需每次请求都查询会话数据

5.灵活的授权管理

token可以携带用户的角色和权限等一些的信息在获取到token时可直接解析使用

二、token的作用:

token是用于验证用户身份的,在我们使用的每一个软件当中都会有一个登录系统,在用户进行登录之后会生成一个token返回给客户端,在返回客户端时会把token放在HTTP Header当中,这个token会包含用户的角色以及角色的权限,当我们再次进入到这个app时服务器会验证存放的token,获取用户的角色和权限,并决定该角色无法使用什么功能,token还可以实现跨域和跨设备的支持。

三、Token的好处:

1.保护隐私:因为Token不能直接推导出原始信息,所以即使Token被盗,黑客也无法获取敏感数据。 2.减少数据泄露风险:敏感信息被转换成Token后,即便数据库遭到入侵,泄露的也只是无意义的代币,而不是用户的真实数据。 3.便利性:Token可以用来简化支付流程,比如在网上购物时,你不需要每次都输入银行卡号,而是使用Token进行支付

四、token的加密功能

token的加密的核心作用就是保护数据安全,让信息在传输或存储过程中不被窃取、篡改。

1.保护数据安全:

token会保护数据的安全它在加密时会把token变为一串乱码,只有进入到服务器才可以去解开当前的乱码,如果被别人窃取到乱码也看不懂

2.验证身份:

token加密会生成一个独特的身份令牌,只有在本人登录的时候才会获得这个令牌,当系统知道是本人时,不会重复输入密码,直接进入到App当中

3.防止别人篡改本人的消息:

token加密会给消息加一个签名,当我们的消息被别人恶意修改时签名就会失效,在接收方看到时立刻就会知道数据被修改过

4.防止重复的使用:

token加密会让每个Token只能使用一次,用过之后当前的token就会失效,如果在别人获取到我们的token时也无法使用

5.提高效率:

token加密后,系统可以通过token验证快速的识别你的身份和权限,这样可以避免我们每一次进入应用都要进行登录一次

五、使用token的方法

1.使用token首先token有很多的类型比如jwt、Opaque Token等。

jwt类型:

优点:自包含用户信息,无需服务器存储。

缺点:Payload不可加密,敏感信息须谨慎处理

Opaque Token:

优点:安全性高,服务器可完全控制token内容

缺点:需依赖服务器存储验证token

2.一般会使用token的jwt类型实现

为什么会使用jwt类型:主要是因为它提供了无状态性、跨域支持、安全性、性能和扩展性等优势,易于实现和集成到现代应用中。但是开发者需要权衡jwt的优缺点,根据具体需求选择合适的认证和授权机制。

1.生成token:

npm i jsonwebtoken
//导入jsonwebtoken
const jwt = require('jsonwebtoken');
//生成签名的密钥
const secret = 'your-secret-key';
//用户的登录信息
const payload = { userId: 123, role: 'admin' };
//把信息转换为乱码,参数三是设置token存在的时间
const token = jwt.sign(payload, secret, { expiresIn: '1h' });
console.log(token);

2.验证token

下载express-jwt中间件来进行验证

npm i express-jwt
//导入express-jwt
var expressJWT = require("express-jwt");
app.use(expressJWT({
//secret是用于验证jwt签名的密钥
    secret: "123",
//algorithms指定用于签名和验证jwt的算法
    algorithms: ["HS256"]
}).unless({
//unless用于定义不需要进行jwt验证的路径/login是登录接口,/upload是上传接口
    path: ["/login", "/upload", {url: /^\/upload/, methods: ['GET']}]
}))

如果在验证时没有获取到token就会报出403的错误

zwh0681
关注
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
Python接口自动化之Token详解及应用
测试界的彭于晏的博客
02-27 1490
以下介绍Token原理及在自动化中的应用。一、Token基本概念及原理1.Token作用\为了验证用户登录情况以及减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
关于登录,存储token,验证本地token,请求头携带token
weixin_46699908的博客
10-31 9981
1.为什么使用tokentoken是什么? 官方回答: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 我自己理解: token就相当于客户端登录的账号的唯一标识,在做一些数据请求的时候,后台会要求在请求头中携带token,如果没有token,或者token过期了,那么这时候就会对这个客户端进行返回响应的数据,然后前端在解析这些数据,判断是token过期,还是
Token的组成详解:解密数字身份凭证的构造艺术
最新发布
weixin_42788944的博客
05-20 1577
在当今的互联网身份认证体系中,Token如同数字世界的"安全护照",承载着用户的身份信息访问权限。据统计,现代应用中80%以上的身份验证依赖于Token机制。本文将深入解析Token的各个组成部分,通过典型实例揭示其设计原理安全考量,帮助我们全面理解这一关键技术。
为什么要用Token?(初学者学习用)
m0_67441736的博客
07-01 2243
为什么要用Token
需要token的原因----
Yan的博客
12-20 1032
因此,在实际应用中,需要采取一些措施来保护JWT的安全性,例如限制JWT的过期时间、使用HTTPS协议传输等。另外,JWT的负载中可以包含一些敏感信息,如用户的身份权限等,但这些信息不会被篡改,因为JWT的签名保证了其完整性真实性。综上所述,JWT本身是安全的,但在使用过程中需要注意密钥的安全性、JWT的使用场景限制,以及采取适当的措施来保护JWT的安全性。在实际应用中,需要注意JWT的安全性,采取一些措施来保护JWT的安全性,例如限制JWT的过期时间、使用HTTPS协议传输等。
深入理解token作用
char56789的博客
11-08 2552
概要:Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 为什么使用token呢? 因为它能有如下的作用: 1.Token 完全由应用管理,所以它可以避开同源策略 2.Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx) 3.Token 可以是无状态的,可以在多个服务间共享 Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求
什么是tokentoken是用来干嘛的?
weixin_45045252的博客
02-21 4526
作为计算机术语时,是“令牌”的意思Token是服务端生成的一串。
基于acess_tokenrefresh_token实现token续签
03-19
在这个场景下,“基于acess_tokenrefresh_token实现token续签”是一个关键的过程,它涉及到用户登录、权限管理以及令牌的有效性维护。下面将详细阐述这个主题。 首先,我们需要理解`access_token``refresh_...
什么是 TokenToken作用是什么?
Future_yzx的博客
01-25 2963
在许多开发网络应用中,Token这个词会经常出现,但它到底是什么意思?又是用来干什么的?相信很多朋友可能对此还有些疑问。本文将详细介绍 Token 的定义及其作用,希望能帮助大家更好地理解应用。简单来说,Token就是一个“暗号”或“凭证”,用于验证用户身份或者授权访问某些资源。Token 在不同的协议场景中会有不同的应用。最常见的就是在网络通信中,用于替代传统的用户名密码来确保身份的安全。例如,在USB 1.1 协议Token包Data包Handshake包Special包。
Token认证签名加密
09-10
1. **Token**: Token可以被视为一种轻量级的身份证明,它包含了一段由服务端生成的随机字符串,用于在客户端服务端之间交换信息。通常,Token包含了用户的标识(如用户ID)以及一些元数据,如过期时间。JWT(JSON ...
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、Session与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
token作用
wdcsd_的博客
12-09 2509
论文
什么是tokentoken是用来干嘛的?怎么使用
JiangLu7的博客
06-10 1万+
使用token机制的身份验证方法
Android面试题-为什么需要token
JAVA技术博客
04-27 2479
Android面试题
token详解以及应用原理
热门推荐
cmj6706的博客
01-11 2万+
一、我们先解释一下Token的含义1、Token的引入: Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名密码并进行对比,判断用户名密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。2、Token的定义: Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户
为什么使用Token
m0_64253261的博客
09-09 533
token
为什么要用token
LANGZI7758521的专栏
07-15 1921
.Token的来源: 当客户端多次向服务端请求数据时,服务端就需要多次从数据库中查询用户名密码并进行对比,判断用户名密码是否正确,并作出相应提示。但这样无疑会增加服务器端的运行压力,是否可以有一种方式只需要验证用户就是之前的用户而不需要每次在客户端请求数据时都需要查询数据库判断用户名密码是否正确。在这种请求下,引入了token来解决服务器端多次访问数据库问题。 1.什么是TokenToken是服务端端生成的一串字符串,作为客户端进行请求时辨别客户身份的的一个令...
Token作用
bai___DDD的博客
03-06 2911
Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。为什么要用 Token? 要回答这个问题很简单,因为它能解决问题! Token 能解决哪些问题呢?有如下几点: Token 完全由应用管理,所以它可以避开同源策略。 Token 可以避免CSRF攻击(保护ASP.NET 应用免受 CSRF 攻击 - 张善友 - 博客园)。 Token 可以是无状态的,可以在..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值