簡單理解token機制

7 評論 59823 瀏覽 209 收藏 8 分鐘

簡單理解cookie/session機制這篇文章中,簡要闡述了cookie和session的原理。本文將要簡單闡述另一個同cookie/session同樣重要的技術術語:token。

什么是token

token的意思是“令牌”,是服務端生成的一串字符串,作為客戶端進行請求的一個標識。

當用戶第一次登錄后,服務器生成一個token并將此token返回給客戶端,以后客戶端只需帶上這個token前來請求數據即可,無需再次帶上用戶名和密碼。

簡單token的組成;uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,token的前幾位以哈希算法壓縮成的一定長度的十六進制字符串。為防止token泄露)。

身份認證概述

由于HTTP是一種沒有狀態的協議,它并不知道是誰訪問了我們的應用。這里把用戶看成是客戶端,客戶端使用用戶名還有密碼通過了身份驗證,不過下次這個客戶端再發送請求時候,還得再驗證一下。

通用的解決方法就是,當用戶請求登錄的時候,如果沒有問題,在服務端生成一條記錄,在這個記錄里可以說明登錄的用戶是誰,然后把這條記錄的id發送給客戶端,客戶端收到以后把這個id存儲在cookie里,下次該用戶再次向服務端發送請求的時候,可以帶上這個cookie,這樣服務端會驗證一下cookie里的信息,看能不能在服務端這里找到對應的記錄,如果可以,說明用戶已經通過了身份驗證,就把用戶請求的數據返回給客戶端。

以上所描述的過程就是利用session,那個id值就是sessionid。我們需要在服務端存儲為用戶生成的session,這些session會存儲在內存,磁盤,或者數據庫。

基于token機制的身份認證

使用token機制的身份驗證方法,在服務器端不需要存儲用戶的登錄記錄。大概的流程:

  1. 客戶端使用用戶名和密碼請求登錄。
  2. 服務端收到請求,驗證用戶名和密碼。
  3. 驗證成功后,服務端會生成一個token,然后把這個token發送給客戶端。
  4. 客戶端收到token后把它存儲起來,可以放在cookie或者Local Storage(本地存儲)里。
  5. 客戶端每次向服務端發送請求的時候都需要帶上服務端發給的token。
  6. 服務端收到請求,然后去驗證客戶端請求里面帶著token,如果驗證成功,就向客戶端返回請求的數據。

利用token機制進行登錄認證,可以有以下方式:

a.用設備mac地址作為token

客戶端:客戶端在登錄時獲取設備的mac地址,將其作為參數傳遞到服務端

服務端:服務端接收到該參數后,便用一個變量來接收,同時將其作為token保存在數據庫,并將該token設置到session中??蛻舳嗣看握埱蟮臅r候都要統一攔截,將客戶端傳遞的token和服務器端session中的token進行對比,相同則登錄成功,不同則拒絕。

此方式客戶端和服務端統一了唯一的標識,并且保證每一個設備擁有唯一的標識。缺點是服務器端需要保存mac地址;優點是客戶端無需重新登錄,只要登錄一次以后一直可以使用,對于超時的問題由服務端進行處理。

b.用sessionid作為token

客戶端:客戶端攜帶用戶名和密碼登錄

服務端:接收到用戶名和密碼后進行校驗,正確就將本地獲取的sessionid作為token返回給客戶端,客戶端以后只需帶上請求的數據即可。

此方式的優點是方便,不用存儲數據,缺點就是當session過期時,客戶端必須重新登錄才能請求數據。

當然,對于一些保密性較高的應用,可以采取兩種方式結合的方式,將設備mac地址與用戶名密碼同時作為token進行認證。

APP利用token機制進行身份認證

用戶在登錄APP時,APP端會發送加密的用戶名和密碼到服務器,服務器驗證用戶名和密碼,如果驗證成功,就會生成相應位數的字符產作為token存儲到服務器中,并且將該token返回給APP端。

以后APP再次請求時,凡是需要驗證的地方都要帶上該token,然后服務器端驗證token,成功返回所需要的結果,失敗返回錯誤信息,讓用戶重新登錄。其中,服務器上會給token設置一個有效期,每次APP請求的時候都驗證token和有效期。

token的存儲

token可以存到數據庫中,但是有可能查詢token的時間會過長導致token丟失(其實token丟失了再重新認證一個就好,但是別丟太頻繁,別讓用戶沒事兒就去認證)。

為了避免查詢時間過長,可以將token放到內存中。這樣查詢速度絕對就不是問題了,也不用太擔心占據內存,就算token是一個32位的字符串,應用的用戶量在百萬級或者千萬級,也是占不了多少內存的。

token的加密

token是很容易泄露的,如果不進行加密處理,很容易被惡意拷貝并用來登錄。加密的方式一般有:

  1. 在存儲的時候把token進行對稱加密存儲,用到的時候再解密。
  2. 文章最開始提到的簽名sign:將請求URL、時間戳、token三者合并,通過算法進行加密處理。

最好是兩種方式結合使用。

還有一點,在網絡層面上token使用明文傳輸的話是非常危險的,所以一定要使用HTTPS協議。

總結

以上就是對于token在用戶身份認證過程中的簡單總結。希望沒有技術背景的產品經理們在和開發哥哥溝通的時候不要再被這些技術術語問住了。

 

作者:流年,互聯網產品設計師,4年互聯網產品設計經驗。

本文由 @流年 原創發布于人人都是產品經理。未經許可,禁止轉載。

題圖由作者提供

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
流年
公眾號“流年產品錄”,不定期分享產品工作中的感悟
48篇作品 910269總閱讀量
11-242670 瀏覽
To B業務運營的3大價值
03-2410068 瀏覽
“寺廟游”爆火的背后,這屆年輕人為何愛上香?
06-301345 瀏覽
百萬人打卡煙火氣,直播+擺攤會是一門新生意嗎?
07-123459 瀏覽
重服務的民宿預訂平臺,如何實現精細化運營?
03-3111089 瀏覽
“高速ETC”結算系統詳解
評論
評論請登錄

  1. 可以將token放到內存中。請問這個內存是什么

    來自浙江 回復

  2. 您好,您提到的“token的存儲”是指存儲在服務器端?還是客戶端?

    來自北京 回復

  3. 請問token與session有什么區別或者聯系嗎?session可以有token組成嗎?

    回復

    1. 個人愚見:session是存儲在服務器端的數據,可以包含很多東西,你可以理解為一個數據容器,需要時讀取就行!token相當于通行證(唯一),用于前端向后臺進行數據請求時進行判斷“你”到底是不是“你”,類似于門禁卡!

      來自日本 回復

    2. session是不是存儲了信息,還可用于個性化推送

      來自廣東 回復

    3. 個性化推送是一套算法,實質是:物以類聚、人以群分;基本方法有協同過濾等;這個需要獲取用戶數據(用戶畫像、社交數據、行為數據、上下文數據、標簽等)和產品內容信息之間的關聯度來綜合推薦!用戶行為數據一般不存在session中,主要是用戶基數大;高基數維度比較多;數據量大;時序的特征。

      來自四川 回復

    4. Session 是會話,即login到logout 這一段時間. token是保存credential信息的一種方式,可以用保存Session ID的方式來實現,文中也提到了

      回復