token 的作用及实现原理
1:首先,先了解一下 request 和 session 的区别
request 指在一次请求的全过程中有效,即从 http 请求到服务器处理结束,返回响应的整个过程,存放在 HttpServletRequest 对象中。在这个过程中可以使用 forward 方式跳转多个 jsp。在这些页面里你都可以使用这个变量。request 是用户请求访问的当前组件,以及和当前 web 组件共享同一用户请求的 web 组件。如:被请求的 jsp 页面和该页面用指令包含的页面以及标记包含的其它 jsp 页面;
Session 是用户全局变量,在整个会话期间都有效。只要页面不关闭就一直有效(或者直到用户一直未活动导致会话过期,默认 session 过期时间为 30 分钟,或调用 HttpSession 的 invalidate() 方法)。存放在 HttpSession 对象中 ,同一个 http 会话中的 web 组件共享它。
2:token 主要有两个作用:①:防止表单重复提交 (防止表单重复提交一般还是使用前后端都限制的方式,比如:在前端点击提交之后,将按钮置为灰色,不可再次点击,然后客户端和服务端的 token 各自独立存储,客户端存储在 Cookie 或者 Form 的隐藏域(放在 Form 隐藏域中的时候,需要每个表单)中,服务端存储在 Session(单机系统中可以使用)或者其他缓存系统(分布式系统可以使用)中。)
//在页面初始化的时候调用后端代码像前端返回token
public String initLogin(ModelMap model, HttpSession session, String loginUrl) {
model.put("extLoginView", clientManager.getExtLoginView());
// 生成token
String token = UUID.randomUUID().toString().substring(0,16);
model.put(LOGIN_TOKEN, token);
//返回地址与方法的 String loginUrl一致,即初始化的时候调用完方法后,又回到初始化页面
return loginUrl;
}
②:用来作身份验证
3:防止表单重复提交,主要的理念是,客户端初始化的时候,一般就是刚刚进入页面的时候就调用后端代码,后端代码生成一个 token, 返回给客户端,客户端储存 token(可以在前台使用 Form 表单中使用隐藏域来存储这个 Token,也可以使用 cookie), 然后就将 request(请求) 中的 token 与(session)中的 token 进行比较:
//跳转到添加页面
@RequestMapping("/add.do")
public String add(HttpServletRequestrequest,HttpServletResponse response){
//生成token
UUID token=UUID.randomUUID();
System.out.println("token的值"+token);
//放入session中
request.getSession().setAttribute("token",token.toString());
//放入request作用域中传到前台
request.setAttribute("token",token);
return "add";
}
//前台传过来的token进行比对
@RequestMapping("/addMessage.do")
public synchronized String addMessage(HttpServletRequest request){
//获取session中的token
Objecttoken1=request.getSession().getAttribute("token");
//获取前台穿过来的token
String token=request.getParameter("token");
System.out.println("token1的值"+token1);
if(token1==null){
System.out.println("提交出错");
}
else if(!token1.equals(token)){
System.out.println("提交出错");
}else{
System.out.println("提交成功");
//移除session 防止重复提交
request.getSession().removeAttribute("token");
} return "";
}
4:使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
客户端使用用户名跟密码请求登录
服务端收到请求,去验证用户名与密码
验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
5:
ajax 中传递 token 的几种方式
方法一:放在请求头中
$.ajax({
type: "POST",
headers: {
Accept: "application/json; charset=utf-8",
userToken: "" + userToken
},
url: "/index",
data: JSON.stringify(mytable.params),
contentType: "application/json",
dataType: "json",
success:function(data){
},error:function(data){
}
});
方法二:使用 beforeSend 方法设置请求头
$.ajax({
type: "POST",
url: "/index",
data: JSON.stringify(mytable.params),
contentType: "application/json",
dataType: "json",
beforeSend: function(request) {
request.setRequestHeader("Authorization", token);
},
success: function(data) {
},
error: function(data) {
}
});