相信很多從事計(jì)算機(jī)行業(yè)的朋友都聽說過token這么個(gè)東西，但是其他行業(yè)的人就很少了解到token，下面萬商云集小編就給大家來詳細(xì)介紹一下token是什么意思  token是用來干嘛的這一塊的內(nèi)容，希望能幫助到大家。

　　token是什么意思

　　token其實(shí)說的更通俗點(diǎn)可以叫暗號(hào)，在一些數(shù)據(jù)傳輸之前，要先進(jìn)行暗號(hào)的核對(duì)，不同的暗號(hào)被授權(quán)不同的數(shù)據(jù)操作。例如在USB1.1協(xié)議中定義了4類數(shù)據(jù)包：token包、data包、handshake包和special包。主機(jī)和USB設(shè)備之間連續(xù)數(shù)據(jù)的交換可以分為三個(gè)階段，第一個(gè)階段由主機(jī)發(fā)送token包，不同的token包內(nèi)容不一樣（暗號(hào)不一樣）可以告訴設(shè)備做不同的工作，第二個(gè)階段發(fā)送data包，第三個(gè)階段由設(shè)備返回一個(gè)handshake包。

　　token是用來干嘛的

　　使用token機(jī)制的身份驗(yàn)證方法，在服務(wù)器端不需要存儲(chǔ)用戶的登錄記錄。大概的流程：

　　客戶端使用用戶名和密碼請(qǐng)求登錄。

　　服務(wù)端收到請(qǐng)求，驗(yàn)證用戶名和密碼。

　　驗(yàn)證成功后，服務(wù)端會(huì)生成一個(gè)token，然后把這個(gè)token發(fā)送給客戶端。

　　客戶端收到token后把它存儲(chǔ)起來，可以放在cookie或者Local Storage（本地存儲(chǔ)）里。

　　客戶端每次向服務(wù)端發(fā)送請(qǐng)求的時(shí)候都需要帶上服務(wù)端發(fā)給的token。

　　服務(wù)端收到請(qǐng)求，然后去驗(yàn)證客戶端請(qǐng)求里面帶著token，如果驗(yàn)證成功，就向客戶端返回請(qǐng)求的數(shù)據(jù)。

　　利用token機(jī)制進(jìn)行登錄認(rèn)證，可以有以下方式：

　　a.用設(shè)備mac地址作為token

　　客戶端：客戶端在登錄時(shí)獲取設(shè)備的mac地址，將其作為參數(shù)傳遞到服務(wù)端

　　服務(wù)端：服務(wù)端接收到該參數(shù)后，便用一個(gè)變量來接收，同時(shí)將其作為token保存在數(shù)據(jù)庫，并將該token設(shè)置到session中。客戶端每次請(qǐng)求的時(shí)候都要統(tǒng)一攔截，將客戶端傳遞的token和服務(wù)器端session中的token進(jìn)行對(duì)比，相同則登錄成功，不同則拒絕。

　　此方式客戶端和服務(wù)端統(tǒng)一了唯一的標(biāo)識(shí)，并且保證每一個(gè)設(shè)備擁有唯一的標(biāo)識(shí)。缺點(diǎn)是服務(wù)器端需要保存mac地址；優(yōu)點(diǎn)是客戶端無需重新登錄，只要登錄一次以后一直可以使用，對(duì)于超時(shí)的問題由服務(wù)端進(jìn)行處理。

　　b.用sessionid作為token

　　客戶端：客戶端攜帶用戶名和密碼登錄

　　服務(wù)端：接收到用戶名和密碼后進(jìn)行校驗(yàn)，正確就將本地獲取的sessionid作為token返回給客戶端，客戶端以后只需帶上請(qǐng)求的數(shù)據(jù)即可。

　　此方式的優(yōu)點(diǎn)是方便，不用存儲(chǔ)數(shù)據(jù)，缺點(diǎn)就是當(dāng)session過期時(shí)，客戶端必須重新登錄才能請(qǐng)求數(shù)據(jù)。

　　當(dāng)然，對(duì)于一些保密性較高的應(yīng)用，可以采取兩種方式結(jié)合的方式，將設(shè)備mac地址與用戶名密碼同時(shí)作為token進(jìn)行認(rèn)證。

　　APP利用token機(jī)制進(jìn)行身份認(rèn)證

　　用戶在登錄APP時(shí)，APP端會(huì)發(fā)送加密的用戶名和密碼到服務(wù)器，服務(wù)器驗(yàn)證用戶名和密碼，如果驗(yàn)證成功，就會(huì)生成相應(yīng)位數(shù)的字符產(chǎn)作為token存儲(chǔ)到服務(wù)器中，并且將該token返回給APP端。

　　以后APP再次請(qǐng)求時(shí)，凡是需要驗(yàn)證的地方都要帶上該token，然后服務(wù)器端驗(yàn)證token，成功返回所需要的結(jié)果，失敗返回錯(cuò)誤信息，讓用戶重新登錄。其中，服務(wù)器上會(huì)給token設(shè)置一個(gè)有效期，每次APP請(qǐng)求的時(shí)候都驗(yàn)證token和有效期。

　　token的存儲(chǔ)

　　token可以存到數(shù)據(jù)庫中，但是有可能查詢token的時(shí)間會(huì)過長(zhǎng)導(dǎo)致token丟失（其實(shí)token丟失了再重新認(rèn)證一個(gè)就好，但是別丟太頻繁，別讓用戶沒事兒就去認(rèn)證）。

　　為了避免查詢時(shí)間過長(zhǎng)，可以將token放到內(nèi)存中。這樣查詢速度絕對(duì)就不是問題了，也不用太擔(dān)心占據(jù)內(nèi)存，就算token是一個(gè)32位的字符串，應(yīng)用的用戶量在百萬級(jí)或者千萬級(jí)，也是占不了多少內(nèi)存的。

　　token的加密

　　token是很容易泄露的，如果不進(jìn)行加密處理，很容易被惡意拷貝并用來登錄。加密的方式一般有：

　　在存儲(chǔ)的時(shí)候把token進(jìn)行對(duì)稱加密存儲(chǔ)，用到的時(shí)候再解密。

　　文章最開始提到的簽名sign：將請(qǐng)求URL、時(shí)間戳、token三者合并，通過算法進(jìn)行加密處理。

　　最好是兩種方式結(jié)合使用。

　　還有一點(diǎn)，在網(wǎng)絡(luò)層面上token使用明文傳輸?shù)脑捠欠浅ＮｋU(xiǎn)的，所以一定要使用HTTPS協(xié)議。

上面就是關(guān)于token是什么意思  token是用來干嘛的的全部?jī)?nèi)容，希望通過上面的內(nèi)容介紹大家能明白這一塊的相關(guān)知識(shí)。

本文關(guān)鍵詞：

電腦軟件