什么是token token用在哪 token放在哪比较好

1. token 其实就是访问资源的凭证,一般是用户通过用户名和密码登录成功之后,服务器将登录凭证做数字签名,加密之后得到的字符串作为token

2. token用在用户登录城后之后会返回给客户端,

3. token主要存储有:
   3.1 存储在localStorage、sessionStorage中,每次调用接口的时候发送给服务端(每次调用接口放在HTTP请求头的Authorization字段里)
       优点:可以跨域
  	   缺点:没有任何安全防御,很容易受到xss攻击(简单理解在输入框输入js代码)导致token被盗取,因此要做好xss防御
   3.2 存储在cookie中,可以自动发送给服务端
       优点:可以指定httponly,来防止xss,也可以指定secure,来保证token只能在HTTPS下传输
       缺点:不能跨域,而且不符合Restful最佳实践,易受CSRF攻击(简单来说攻击者盗用已经认证过的用户信息,以用户的名义进行一些操作(发邮件、转账等)CSRF不能拿到用户信息,他只是盗用用户的凭证去进行操作)。

你可能感兴趣的:(日常开发问题总结与反思,restful,安全,后端)