前言:
今天同学们对“ajax表单token”大体比较关切,我们都想要知道一些“ajax表单token”的相关资讯。那么小编同时在网摘上网罗了一些对于“ajax表单token””的相关资讯,希望咱们能喜欢,我们快快来学习一下吧!前言
在学 Javaweb 的时候,我们就一直被强调 javaweb 中有四大作用域:pageContext域,request域,session域和 application域。
pageContext域里的变量只能在当前页面使用。request域中对象的有效范围是当前的请求范围。session域中对象的有效范围是当前的会话范围。application域中对象的有效范围是整个应用活跃的范围。
了解基本概念后,综上我们可以得出若要进行网络通信,我们一般都要使用到 request 和 session。由于 request 的作用域只是在请求范围内有效,每次请求后数据就会自动销毁。但有时候我们有想要存储一些能够存储久的数据,例如登录信息,用户信息等,request域是做不到的。
服务端的 session 和 客户端(浏览器)的 cookie 的性质很相似,例如他们都能存储一定期限的数据。如果说Cookie机制是客户身上的“通行证”,那么Session机制就是多个“通行证”组成的“客户明细表”。「从理论上讲,这两个内存间是联系不到一块的。但是由于这两者相似的性质, java 的 jsp ,spring 的 thymeleaf模板就将他们关联了起来。让人们产生 session和 cookie 是一致的。」 以 jsp 为例,jsp 是一个特殊的 servlet 程序,虽然我们在里面编写的是 html 语句,但他实际上是会通过 servlet 的一些手段从而转变为前端页面。而 spring 和 thymeleaf 模板也用了这样的方式。因为 session 能够存储时间久的数据,故我们能够用 session 来存储 登录信息和用户信息等。
session/cookie 的弊端:cookie 不是很安全,别人可以分析存放在本地的 cookie 并进行 cookie 欺骗。单个 cookie 在客户端的限制是 3K,就是说一个站点在客户端存放的 cookie 不能超过 3k。session 会在一定时间内保存在服务器上。当访问量增多,会占用服务器的性能。如果是在服务器集群下,或者跨域的服务导向架构,就要求 session 域中的数据共享,即每台服务器都能够读取 session。这个时候我们就只能将 session 数据持久化,这是一个非常糟糕的办法。更加重大的问题
如果用户在浏览器的设置里禁用了 cookie;或者你的网站是使用前后分离的技术来实现。根本就无法简单地使用 session 就能解决了。一是由于浏览器中没了 cookie,你的数据无法存储了,二是前后端的联系被撕裂了,单独设置服务端的 session 无法同步到 浏览器的 cookie 中。此时我们就需要用另一个思想:自己在前后端都分别开辟一个空间来存储用户信息。
token 就是这样的一种思想。其流程为:
客户端使用用户名跟密码请求登录。服务端收到请求,去验证用户名与密码。验证成功后,服务端再生成一个独一无二的字符串(Token 令牌),并且将这个令牌保存到服务器的缓存中,再把这个 令牌发送给客户端。客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 LocalStorage 里。客户端每次向服务端请求资源的时候需要带着服务端签发的 Token。服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。
token 带来的好处
此外,token 除了能解决这个现实问题,也带来了许多的好处。
无状态,可扩展:在客户端存储的 tokens 是无状态的,并且能够被扩展。基于这种无状态和不存储 session 信息,负载均衡器能够将用户信息从一个服务器传到其他服务器上。安全:请求中发送 token 而不再发送 cookie,能够防止 CSRF(跨站请求伪造)。即使在客户端使用 cookie 存储 token,cookie 也仅仅是一个存储机制而不是用于认证。并且 token 是有时效的,一段时间后用户需要重新验证。可扩展性:能够与其他程序共享数据。多平台跨域:每次都是携带绑定自己信息的令牌访问服务器,当在服务集群环境时,不是只能访问某一台指定的服务器,而是通过从缓存服务器中拿出数据,并更具负载均衡器来选择处理的服务器。
Token 的实现
准备阶段使用 Mysql 数据库开启 Redis 缓存使用 Springboot 框架代码段1. 登录
<form id="login_form" class="login_form"> 用户名:<input type="text" name="username"> <br> 密码:<input type="password" name="password"> <br> <input type="button" value="提交" onclick="login()"></form><script type="application/javascript"> function login(){ $.ajax({ type:"post", // post 请求 dataType:"json", // 返回 json 格式 url:";, // 请求路径 data:$("#login_form").serialize(), // 表单序列化 success: function(result){ console.log(result) // 打印结果 if(result.code == 200){ // 存储 token localStorage.token = result.data; // 将 token 存到 localStorage 里 location.href = "/index"; // 跳转到首页 } },fail:function(err){ console.log(err) } }); }</script>
@ResourceRedisTemplate<String, Object> redisTemplate; // redis 缓存模板@RequestMapping(value = "/login", method = RequestMethod.POST)@ResponseBodypublic Result login(String username, String password){ System.out.println(username); System.out.println(password); User user = userService.getUser(username, password); if(user != null){ // 登录成功,生成 token 令牌 String token = UUID.randomUUID() + ""; // 使用 uuid 生成唯一 key,以此作为 token 令牌 redisTemplate.opsForValue().set(token, user, Duration.ofMinutes(30L)); // 将 token 放到 redis 缓存中,存半个小时 return new Result(200, "请求成功", token); } return new Result(400, "请求失败", null);}2. 资源访问请求
function requestToken(){ $.ajax({ type:"get", // 请求方式 dataType: "json", // 返回格式 url:";, // 请求地址 headers : { "token" : localStorage.token // 设置 header 头,将 token 放到请求头中更加安全 }, success:function(result){ console.log(result) } })}
@RequestMapping("/getUser")@ResponseBodypublic Result getUserOfLogin(HttpServletRequest request){ String token = request.getHeader("token"); // 从请求头中获取 token Object user = redisTemplate.opsForValue().get(token); // 在 redis 缓存中寻找 token 对应的信息 if(user != null){ // 获取成功,封装返回值 return new Result(200, "请求成功", user); } return new Result(400, "找不到用户信息", null); // 可能没存在这个 token 或者 token 以过期}3. 注销
function logout(){ $.ajax({ type:"get", url:";, dataType:"json", headers:{ "token":localStorage.token }, success:function(result){ localStorage.removeItem("token"); // 在浏览器端清除 token },fail : function(err){ console.log(err) } })}
@RequestMapping("/logout")@ResponseBodypublic Result logout(HttpServletRequest request){ String token = request.getHeader("token"); // 从请求头中获取 token Boolean delete = redisTemplate.delete(token); // 根据 token 删除 redis 缓存里对应的信息 if(delete){ return new Result(200, "注销成功", null); }else{ return new Result(400, "注销失败", null); }}
标签: #ajax表单token