哪有token比较官方的资料,或者谁能详细讲解讲解什么是token?

pandy_ky 发布于 2017/08/18 16:45
阅读 222
收藏 1

问题描述

  • 公司现在用到csrf-token,但是我看到是从服务器获取过来,然后手工放到请求的header中

  • 在网上查资料,有的说token是每次需要拿,有的说登录时拿的,然后存起来

  • 有的说token是浏览器的功能,不需要手动操作

  • 很多都说可以防止csrf攻击,原因是原来是用cookie来存储数据,可以被获取到,那么存储token不是也可以获取到吗?

在网上查了写资料,说的比较乱,因此希望真正了解的人帮忙解答写,最好给个简单的demo

本人目前是做前端开发,也做过C#后端开发,所以希望可以给我比较详细的demo

问题

  • 究竟什么是token?工作原理是什么

  • token是平台的功能,还是一种解决方案

  • 具体如何使用?

加载中
0
b
black-c

token 有许多种,有用于认证的,也有用于防止csrf攻击的。

有的说登录时拿的,然后存起来

这应该就是用于用户权限认证的token,需要通过登录获取,然后存到本地,每次调用后台需认证的请求之时都需要带上它。

而题主所说的 csrf-token,是用于防止csrf攻击,即"跨站请求伪造"攻击,需要每次在提交表单之前获取此token,然后同表单一起提交到后台。这两个token是完全不一样的,登陆token是可以多次使用的,但是CSRF token仅能使用一次。

这是百度百科关于CSRF攻击介绍,你可以看一下:https://baike.baidu.com/item/CSRF/2735433?fr=aladdin

0
开源中国首席罗纳尔多
开源中国首席罗纳尔多

就是相当于一个秘钥,让你下次请求服务器的时候带上,让服务器识别是你自己而不是别人。

返回顶部
顶部