认识达内从这里开始

认真做教育专心促就业

基于token的验证方式都有哪些优缺点

发布：太原达内教育官网
来源：互联网
时间：2020-09-04 08:34

随着互联网的不断发展，越来越多的用户都是通过互联网来获取信息的，而为了对用户的身份有一个正确的识别，认证功能就此出现，而今天我们就一起来了解一下，基于token的验证方式都有哪些优缺点。

基于token的验证方式都有哪些优缺点

把认证信息保存在客户端，关键点就是安全的验证，如果能解决认证信息的安全性问题，完全可以把认证信息保存在客户端，服务端完全无认证状态，这样的话服务端扩展起来要方便很多。关于信息的安全解决方案，现在普遍的做法就是签名机制，像微信公众接口的验证方式就基于签名机制。

签名，就是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

当用户成功登陆系统并成功验证有效之后，服务器会利用某种机制产生一个token字符串，这个token中可以包含很多信息，例如来源IP，过期时间，用户信息等，把这个字符串下发给客户端，客户端在之后的每次请求中都携带着这个token，携带方式其实很自由，无论是cookie方式还是其他方式都可以，但是必须和服务端协商一致才可以。当然这里我不推荐cookie。当服务端收到请求，取出token进行验证(可以验证来源ip，过期时间等信息)，如果合法则允许进行操作。

基于token的验证方式也是现代互联网普通使用的认证方式，那它有什么优点吗?

支持跨域访问，Cookie是不允许垮域访问的，这一点对Token机制是不存在的，前提是传输的用户认证信息通过HTTP头传输.

无状态:Token机制在服务端不需要存储session信息，因为Token自身包含了所有登录用户的信息，只需要在客户端的cookie或本地介质存储状态信息.

解耦不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成，只要在你的API被调用的时候，你可以进行Token生成调用即可.

适用性更广：只要是支持http协议的客户端，就可以使用token认证。

服务端只需要验证token的安全，不必再去获取登录用户信息，因为用户的登录信息已经在token信息中。

基于标准化:你的API可以采用标准化的JSONWebToken(JWT).这个标准已经存在多个后端库(.NET,Ruby,Java,Python,PHP)和多家公司的支持(如：Firebase,Google,Microsoft).

那基于token的认证方式有哪些缺点呢?

网络传输的数据量增大：由于token中存储了大量的用户和安全相关的信息，所以比单纯的cookie信息要大很多，传输过程中需要消耗更多流量，占用更多带宽，

和所有的客户端认证方式一样，如果想要在服务端控制token的注销有难度，而且也很难解决客户端的劫持问题。

由于token信息在服务端增加了一次验证数据完整性的操作，所以比session的认证方式增加了cpu的开销。

【免责声明】：本内容转载于网络，转载目的在于传递信息。文章内容为作者个人意见，本平台对文中陈述、观点保持中立，不对所包含内容的准确性、可靠性与完整性提供形式地保证。请读者仅作参考。更多内容请在707945861群中学习了解。