Token是什么?
所谓Token,其实就是服务端生成的一串加密字符串、以作客户端进行请求的一个“令牌”。
当用户第一次使用账号密码成功进行登录后,服务器便生成一个Token及Token失效时间并将此返回给客户端,若成功登陆,以后客户端只需在有效时间内带上这个Token前来请求数据即可,无需再次带上用户名和密码。
图:来源于网络
拿实际过程举例,当你下载QQ或微信后第一次用账号和密码成功登录后,Token就为我们免去了每次打开应用都要输入账号跟密码的过程。
为什么要使用Token?
为什么要使用Token?这个问题其实很好回答——因为它能解决问题!
当下用户对产品的使用体验要求在逐渐提高,从产品体验方面来讲,Token带来的体验更容易能让用户接受。
那么Token都可以解决哪些问题呢?
Token具有随机性、不可预测性、时效性、无状态、跨域等特点。
Token完全由应用管理,所以它可以避开同源策略。
Token可以避免CSRF攻击。
Token可以是无状态的,可以在多个服务间共享。
Token是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回Token给前端。前端可以在每次请求的时候带上Token证明自己的合法地位。如果这个Token在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。
当然说到这里大家可能会想到,用服务器的session_id存储到cookies中也能做到,为什么非要用Token呢?
网上有许多对比Token和session的文章,在此就不再赘述。其实小编觉得,如果是开发web应用的话,用两者都可以,但如果是开发API接口,前后端分离,最好使用Token,因为session+cookies是基于web的,但针对API接口可能会考虑到移动端,app是没有cookies和session的。
Token的生命周期
用户未登录
用户执行注册/登录
→
一旦基础数据校验成功,后端生成Token,并且Token包含此次注册/登录用户的用户名并通过JsonResponse返回给前端。
→
前端拿到返回的Token后,存入浏览器本地存储。
用户每次访问博客页面
从本地存储中拿出Token
→
JS将Token 放入request的Authorization头,发送http请求向后端索要数据。
→
服务器接到前端请求(当前URL加了loging_check,并且请求方法在methods参数中),进行校验。
→
从requestAuthorization头拿出Token。
→
校验
→
校验不通过,返回前端异常代码/校验通过,正常执行对应的视图函数。
→
前端一旦接到关于Token的异常码,则删除本地存储中的Token,且将用户转至登录界面。
如何设置Token的有效期?
其实Token作为一个概念模型,开发者完全可以针对自己开发的应用自定义Token,只要能做到不让不法分子钻系统漏洞即可。
那么为Token设置有效期还有必要吗?
对于这个问题,大家不妨先看两个例子:
例1:登录密码
登录密码一般要求定期改变密码,以防止泄漏,所以密码是有有效期的。
例2:安全证书
SSL安全证书都有有效期,目的是为了解决吊销的问题。
所以无论是从安全的角度考虑,还是从吊销的角度考虑,Token都需要设有效期。
那么,Token的有效期多长合适呢?
一般来说,基于系统安全的需要当然需要尽可能的短,但也不能短得离谱:如果在用户正常操作的过程中,Token过期失效要求重新登录,用户体验岂不是很糟糕?
为了解决在操作过程不让用户感到Token失效的问题,有一种方案是在服务器端保存Token状态,用户每次操作都会自动刷新(推迟)Token的过期时间。
如此操作会存在一个问题,即在前后端分离、单页App等情况下,每秒可能发起多次请求,如果每次都去刷新过期时间会产生非常大的代价,同样地,如果Token的过期时间被持久化到数据库或文件,代价就更大了。
所以通常为了提升效率、减少消耗,会把Token的过期时保存在缓存或者内存中。
另一种方案是使用RefreshToken,它可以避免频繁的读写操作。
这种方案中,服务端无需刷新Token的过期时间,一旦Token过期,就反馈给前端,前端使用RefreshToken申请一个全新Token继续使用。
这种方案中,服务端只需要在客户端请求更新Token的时候对RefreshToken的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。
当然RefreshToken也是有有效期的,但是这个有效期就可以长一点了。
使用 Token 和 Refresh Token 的时序图如下:
1)登录
图:来源于网络
2)业务请求
图:来源于网络
3)Token 过期,刷新 Token
图:来源于网络
网友评论