有一个问题困扰好久,希望大大们解答

夜色镇歌 2015-07-07 03:43:45
最近准备做一个系统。其中有个独立的web api,所有的逻辑都通过web api处理,考虑到授权认证的问题,一般的做法好像都是传入用户名和密码 系统会返回一个token 然后拿着token访问所有的接口,可是为什么要这样做呢,何不每次请求都传入用户名和密码呢?
...全文
597 35 打赏 收藏 转发到动态 举报
写回复
用AI写文章
35 条回复
切换为时间正序
请发表友善的回复…
发表回复
以专业开发人员为伍 2015-07-12
  • 打赏
  • 举报
 回复
其实asp.net中的 aspnet_SessionID 就是这个东西。只不过我们叫做 Token 比较时髦了而已。
以专业开发人员为伍 2015-07-12
  • 打赏
  • 举报
 回复
引用 33 楼 xuunique 的回复:
弄个密文存在数据库,每次比对密文(解密)是否可行?
你可以想想“密文” 是用来干什么的,就明白了。你的密文只是用来对比的对吧?那么这就不叫做密文,这叫签名,你给一个长串的随机(唯一)的token就行了。
xuunique 2015-07-12
  • 打赏
  • 举报
 回复
弄个密文存在数据库,每次比对密文(解密)是否可行?
二孩子 2015-07-11
  • 打赏
  • 举报
 回复
引用 7 楼 Z65443344 的回复:
这就好比你进入考场,必须先"验明正身",看你的准考证和身份证,还有你的脸,一致,才让进入考场 之后就不用每答一道题都要看一遍这些信息了
真特么精辟,笑死我了,哈哈哈哈
夜色镇歌 2015-07-10
  • 打赏
  • 举报
 回复
引用 26 楼 zhuankeshumo 的回复:
[quote=引用 16 楼 a346729576 的回复:] [quote=引用 10 楼 starfd 的回复:] token一般是存缓存(或者内存数据库)的,当然不排除有人存数据库
引用 11 楼 sp1234 的回复:
存哪里不重要,想明白了当(众多)客户端应用与服务器进行跨进程消息调用的也许需求,能保证即使客户端运行100个小时也能正常访问token,甚至服务器即使用20秒钟重启之后客户端也还能用token正常访问,那么你随便存哪里都行。而且今天存A处、明天重构到B处,也没有说你。
token访问一次是不是需要把过期时间+20min?
引用 15 楼 zhuankeshumo 的回复:
[quote=引用 14 楼 a346729576 的回复:] [quote=引用 13 楼 zhuankeshumo 的回复:] 可以用rsa加密密码等信息后作为token 况且 密码每次都验证的话是多么不安全(如果没有加密或者https的话)而且要查数据库 即使加密的话 算法解密的话一般花的时间也长 可以用rsa算法生成一个token(12个小时)放在redis里面 ps:话说你现在在哪了
还在苏州[/quote]在哪家公司?[/quote] 离TC不远,你在哪里[/quote]刚毕业 试用期呢 卖菜的[/quote] 还招人不
yinlu5215211 2015-07-10
  • 打赏
  • 举报
 回复
第一次传进来用户名和密码 返回给你一个token(ID) 来关系到你的User配置 加密并保存, 在以后的访问里, 你可以直接用你ID 来取得你自己的信息,这样 不用每次传入用户名和密码来查询你的 配置信息来降低 效率。
Q40355098 2015-07-10
  • 打赏
  • 举报
 回复
好处理点,拿着用户名密码到处飞安全方面本身就是个问题
aa2310320 2015-07-10
  • 打赏
  • 举报
 回复
概念性的东西 确实需要去专研。 加油, 好好提升
sinat_26759389 2015-07-09
  • 打赏
  • 举报
 回复
这个,我不太懂呢。
newtee 2015-07-09
  • 打赏
  • 举报
 回复
引用 16 楼 a346729576 的回复:
[quote=引用 10 楼 starfd 的回复:] token一般是存缓存(或者内存数据库)的,当然不排除有人存数据库
引用 11 楼 sp1234 的回复:
存哪里不重要,想明白了当(众多)客户端应用与服务器进行跨进程消息调用的也许需求,能保证即使客户端运行100个小时也能正常访问token,甚至服务器即使用20秒钟重启之后客户端也还能用token正常访问,那么你随便存哪里都行。而且今天存A处、明天重构到B处,也没有说你。
token访问一次是不是需要把过期时间+20min?
引用 15 楼 zhuankeshumo 的回复:
[quote=引用 14 楼 a346729576 的回复:] [quote=引用 13 楼 zhuankeshumo 的回复:] 可以用rsa加密密码等信息后作为token 况且 密码每次都验证的话是多么不安全(如果没有加密或者https的话)而且要查数据库 即使加密的话 算法解密的话一般花的时间也长 可以用rsa算法生成一个token(12个小时)放在redis里面 ps:话说你现在在哪了
还在苏州[/quote]在哪家公司?[/quote] 离TC不远,你在哪里[/quote]刚毕业 试用期呢 卖菜的
江南小鱼 2015-07-09
  • 打赏
  • 举报
 回复
1、每次请求都输入用户名和密码,就要每次都验证用户名、密码是否匹配,频繁交互,这个有点多余 2、AccessToken(访问令牌),有一个有效期(默认好像是7200s),在有效期内,无需重复验证用户名和密码,一定程度上提示效率
nitaiyoucala 2015-07-09
  • 打赏
  • 举报
 回复
判断token是否有效
AGOGD 2015-07-09
  • 打赏
  • 举报
 回复
这个和淘宝api的授权是一样的。
JsonLu 2015-07-09
  • 打赏
  • 举报
 回复
session对称讲的话可以理解为token
tyrival 2015-07-09
  • 打赏
  • 举报
 回复
用session就行啦
newtee 2015-07-08
  • 打赏
  • 举报
 回复
引用 14 楼 a346729576 的回复:
[quote=引用 13 楼 zhuankeshumo 的回复:] 可以用rsa加密密码等信息后作为token 况且 密码每次都验证的话是多么不安全(如果没有加密或者https的话)而且要查数据库 即使加密的话 算法解密的话一般花的时间也长 可以用rsa算法生成一个token(12个小时)放在redis里面 ps:话说你现在在哪了
还在苏州[/quote]在哪家公司?
qwertxp 2015-07-08
  • 打赏
  • 举报
 回复
可以理解为session。生成token的主要目的是授权第三方使用。比如你想请你朋友用你的账号做一些特定的事,然后你又不想告诉你朋友你的密码,那么这个时候只需要给你朋友token就行了。
夜色镇歌 2015-07-08
  • 打赏
  • 举报
 回复
引用 17 楼 Z65443344 的回复:
token访问一次是不是需要把过期时间+20min? 应该不需要.正常应该是类似session的机制,一直保持活跃就永远不过期 如果不通信了那么20min就过期 即使是一直通信也20min过期,又有什么关系,过期了就重新提交信息,获取新的token也没什么问题啊
session感觉也是这样的啊,只要活跃就是一个新的20min.... token这种机制我也没有在实际项目中用过,不知道一般是怎么处理的,忘记以前调用淘宝API的时候会不会调用着调用着就过期了,然后需要重新获取..可是正在用着突然就需要再获取一次会不会感觉怪怪的...
老李家的小二 2015-07-08
  • 打赏
  • 举报
 回复
过来补补脑
於黾 2015-07-08
  • 打赏
  • 举报
 回复
token访问一次是不是需要把过期时间+20min? 应该不需要.正常应该是类似session的机制,一直保持活跃就永远不过期 如果不通信了那么20min就过期 即使是一直通信也20min过期,又有什么关系,过期了就重新提交信息,获取新的token也没什么问题啊
加载更多回复(15)
神笔马良强制码字软件2.0版-神笔马良软件唯一正版-进小黑屋写文字
为您创造一个安宁的写作环境,极大地提高写作效率! 店主默认隐身在线,方便的话也可以加QQ群(61024634)私聊 本软件为原创制作,文稿安全有保障,非网上流传的其他同类软件的破解! 软件更新记录 2013年3月26号,神笔马良强制码字软件推出 V2.0 更新版本,主要更新记录如下: 全新界面,结构全新优化重装上线。 编辑器增加保存、另存为、重做、撤销等多重功能菜单,方便编辑文档。 修改文档打开方式,打开更快捷,占用内存更小。 增加统计菜单,能统计一天总共打了多少字,工作了多少时间。 增加界面配置菜单,能随自己喜好改变编辑器背景、字体大小、软件界面。 重新制作搜索、替换菜单,使用更方便。 设计制作浏览器菜单窗口,并且限制了只能浏览百度,方便及时查找资料。 重新设计制作软件短消息窗口,对各种操作做出及时的回应提示。 2013年2月16号,神笔马良强制码字软件推出 V1.0.1.0 更新版本,主要更新记录如下: 为了系统稳定、文稿安全,去除滚屏浏览模式,防止了在使用低配置电脑时,大文件滚屏时引起的死机情况,保留了一键至顶和一键至底快捷键。 增加“复制”“粘贴”“剪切”等右键菜单,方便编辑文档。 修改数据传送模式,保证了数据在粘贴板、编辑器、保存文档之间传输时的统一。 2013年2月7号,神笔马良强制码字软件推出 V1.0.0.9 更新版本,主要更新记录如下: 修改关键字搜索中向上排查出现失误的情况,更正搜索的方式方法,使关键字搜索更快捷更准确! 2013年2月7号,应读者要求,推出神笔马良阅览版版本。阅览版本默认以阅览模式打开网络小说,打开的小说不能编辑,保留滚屏等快捷键,纯粹方便阅览使用!下载! 2013年2月1号,神笔马良强制码字软件推出 V1.0.0.8 更新版本,主要更新记录如下: 增加滚屏功能,增加直接滚动到文档顶部和底部的快捷键(付费用户专用) 增加限制不能在压缩包里运行,因为在压缩包里运行,系统配置文件会保存在window临时文件夹,在压缩包关闭后,会导致丢失文档! 电脑关机按钮修改为选项菜单,增加电脑休眠、电脑注销、电脑重启选项 电脑关机设置为强制关机,去除了关机后电脑出现的取消关机选项。 淘宝付费链接上线,点此付费 2013年1月26号,神笔马良强制码字软件推出 V1.0.0.6 更新版本,主要更新记录如下: 改进文稿保存方式,增设“另存为菜单”,可以方便地把文稿另存到别处。 改进文稿打开方式,创新采用分卷追加模式打开文稿,文稿打开速度更快且不死机。 在编辑层全面采用分卷模式,解决了前版本录入文稿时导致假死的问题。 更改了文稿保存方式,在有新文字录入后,不仅能每秒保存,而且对文稿录入速度无影响。 引进文稿副本形式,全面保障文稿的安全 2013年1月19号,神笔马良强制码字软件正式推出测试版本! 功能介绍: 锁定   您可以设定锁定的时间或者字数,在未达到您限定的时间或字数之前,您将不可以退出这个软件,即便关机重启亦如此!人都有一种惰性,世界喧闹多彩,风声雨声难免入耳心不静。您完全可以进入神笔马良强制码字软件创造的密闭空间,心境如幽潭,笔锋如细水,写出一个或任侠狂放或小窗幽情的迷人故事,让书友一饱眼福!   在这个空间里,您能做的事情,只有码字码字再码字,尽书心中所想,尽展胸中沟壑!   您当然可以对着电脑发愣,或者出去逛街,或者结朋聚友以消磨时间,但我不得不告诉您,神笔马良强制码字软件创造的空间自成一界,时间流速并非恒古不变。假如您心存幻想任意随性,没有在编辑框里输入一个字符写下一个片段,空间中的时间流速将是现实世界的几亿分之一,即便您设定了1分钟,即便现实世界已经过去了24小时,锁定也不会解除!   人要想有所成就,就要对自己狠一点!   当然您够聪明,您会ctrl+c和ctrl+v,您妄图用大量的复制军团冲垮这个锁定的空间,但我不得不告诉您,空间既已锁定,您的行为将完全没有意义。   神说,系统锁定的,复制必将无用。   那些谵妄轻浮的人必将坚强,那些坚强持恒的人必将挣脱牢笼!   鲜花已在心中盛开,光明即将绽放!   唯有努力! 界面   默认是蔚蓝的,如天空,像心灵之窗,象征永恒的坚守!我始终认为写作是个快乐的事情,像蓝天下放牧青牛一样惬意,像碧湖旁写生时有青鸟掠空一般静怡。只有安静而乐观的心态才会写出让己快乐让人快乐的作品,只有放松而慎独的姿势才能忘记时间的流逝,让作品永恒。写作最大的敌人是心态,希望这个蔚蓝界面能让您沉浸入一个既杀伐果断又快乐坚毅的空间,为您的成功构筑坚实的基础。   也有黑色。黑色界面加上翠兰笔迹,如夜空,像流星划过,是冷酷,是力量!最大的敌人是自己,黑色的夜空,只有你一个人,只有一支笔,虽千万万人,我往矣! 本软件的界面定制功能为首创,可以自由定制各个部分、上中下左右各个方面的背景颜色。在本软件里,默认设置了三套界面模式:其他同类软件所有的黑底绿字界面,小说站常用的浅蓝底黑色界面及仿微软word软件经典界面,懒得设置的话,可以直接使用这三个界面其中之一。 文稿的安全   最重视的就是安全,我们深知辛苦几小时一瞬间丢失文稿的痛苦,所以神笔马良强制码字软件专门设置了临时文件夹,默认每分钟保存一次。即便退出时您忘记了保存,神笔马良强制码字软件也会默认给你保存一次!即便您保存时出现了失误,神笔马良强制码字软件也会不分青红皂白蛮横地把您的整篇文稿复制黏贴到临时文件夹!   当然,系统没有自动发送到邮箱的设置,即便这个功能做起来非常简单。但我讨厌邮箱,每天有无数的垃圾邮件投入其中,我也不喜欢那些要求以邮箱为用户名来注册的网站,因为无数的垃圾邮件就是从这些网站发出。   我当然不收集邮箱,我亦不做这个功能! 分卷   在您写出百万字的巨著成为大神时,神笔马良强制码字软件会默认以虚拟分卷形式打开,在编辑框里永远是30万字为上限的文本,让您轻装上阵。您可能有这样的体验,打开一个几百万字的文档,打开缓慢不说,好不容易打开了,还没写出一个字软件就崩溃了!   本软件不会!   您体会一下就会知道,神笔马良强制码字软件的打开(即便是打开千万万字的文档)速度远超同类,编辑大文档的能力也远远大于同类软件。 虚拟分卷为本软件首创功能,极大地维护了文稿的安全及提高了系统运行的快捷,无论在软件内如何分卷,不会影响真实文档。 阅览模式   阅览模式是相对于编辑模式而言的。在您处理大文档时,神笔马良强制码字软件默认会以分卷形式打开,您看到的内容将是分卷中的某一卷,这样对您卡文时通览全篇无疑是不利的。所以系统设置了阅览模式和分卷模式的转换,您可以随时进入阅览模式,您也可以随时进入编辑模式。   当然进入阅览模式时,为了系统的轻便,您是不能编辑的。 一键排版   只按一个键,便可以将您的文档整理成网络小说最流行的排版格式。这将大大的提高您的工作效率。 注:神笔马良强制码字软件不提供光盘,所以在拍下的时候记得在留言里面写上您的一个邮箱,或者通过旺旺发给店主也行。然后我们会将软件发到您的邮箱里面,同时提示找特征码的方法,有了特征码,再把注册码发给您。 常见问题解答 1、神笔马良强制码字软件必须付费吗? 不是的。神笔马良码字软件作为免费软件和共享软件两种形式同时存在。 http://shenbi.dnbcw.info官网可以下载到神笔马良强制码字软件。下载之后,就可以免费使用了。功能上面有一些限制,比如锁定的时间字数的上限有限制,但是基本的功能都没有做任何的限制。 所以,您完全可以免费使用。只要是官网下载的软件,不论有没有注册,都是正版。 只有在您需要神笔马良强制码字软件的限制功能的时候,才有必要购买注册码。 当然了,假如你们喜欢神笔马良强制码字软件,希望神笔马良强制码字软件走得更快更远,愿意到这里付费,我只能对你们说声谢谢,对神笔马良强制码字软件愈加精于求精。 2、注册版和未注册版,有什么不同? 注册版锁定没有限制,未注册版锁定有锁定的上限,最多锁定1000字,60分钟。 注册版有滚屏功能,方便阅览大体量文字,免费版只有相关的快捷键,在易用上稍逊一筹。 更多功能正在推出…… 3、我想付费,该如何做呢? 只要在本页面拍下付费,在留言中留下您的邮箱,我们会主动联系您给您发送注册版软件。依据我们的提示,你们会很容易找到注册使用的注册码,很快完成注册! 需要说明的是,神笔马良强制码字软件是绑定机子的,一个机子一用户,请务必在您的常用电脑上获取特征码进行注册! 4、听说,注册码使用的期限是一年。有没有这回事儿。 没有! 神笔马良强制码字软件是绑定机子的,没有没有任何的时间限制。也就是说,只要不换机子,注册码可以一直使用。 5、我下载的神笔马良强制码字软件杀毒软件说有木马,怎么办? 只要您在神笔马良强制码字软件官网下载的尽可放心使用,现在我们在努力地争取各种杀软的认证。尽最大努力,为神笔马良强制码字软件用户避免困扰。 有报毒的情况,请不要随便使用,通过联系方式联系我们,告诉我们是哪个杀毒软件,以便我们进行专门的测试处理。 官网软件下载地址:http://shenbi.dnbcw.info
【创业】如何产生一个足以成立公司的「创意」呢?
如何产生一个足以成立公司的「创意」呢?如果从预先确定的想法开始构思,你将无法理解问题的实质,而且问题会变得非常个人化,以至于你很难将真正的机会与自己的渴望区分开。 你很可能会陷入下面的错误场景中: 你的客户研究受到诸如“你是否会使用这个服务或产品?”之类的问题困扰,实际上这些问题并不能帮助你了解客户的问题; 你的定价基于询问人们是否愿意为你的假想产品付费,而实际上只有在人们付钱给你时,这个问题才能真正得到解答; 在产品打开市场前,你筹集了太多的资金,投资者的兴趣并不一定意味着用户会喜欢你的产品;
birt报表中使用多个数据集。
这个问题困扰了几天,也没搜到答案,由于工作需要,创建了两个数据集和两个表格,第一个数据集和表格之间没有任何问题。但是第二个数据集拖过去就显示不可用,除非拖到表格外面,当然也就没用了。一朋友说拖一个网格过来,然后把在网格里拖几个表,这样就可以使用多个数据集了。从而也大大减小了写一条sql的难度,因为可以写多段简短的sql了。 在birt中写sql,假如sql语句中用到了case w...
关于vue的前端代理跨域问题总结
这几天在学习vue进行前后端交互时出现了跨域问题,也是经历查文章查文档和自己实践总结才最终解决。这篇文章就对此进行总结,以防忘记,同时也希望能对正在经历该问题困扰的同学们有所帮助。注意:这里讲解的是vue2.x版本的方法! 第一 首先我们需要先确定我们所使用的接口名,我这里使用的自己Java后端的接口和python后端的接口 http://localhost:8081/articles/findArticlePage http://127.0.0.1:5000//api/tryChat 可以看到我这里使
GO语言官方问题解答
此外,Go 中的方法比 C++ 或 Java 中的方法更通用:它们可以为任何类型的数据定义,甚至是内置类型,例如普通的“未装箱”整数。为了实现这个目标,Go 借鉴了 BCPL 的技巧:分隔语句的分号在正式语法中,但由词法分析器在任何可能是语句结尾的行的末尾自动注入,无需前瞻。一个例外是 Go 的。不同的编译器会针对不同的情况做出不同的选择。经过长时间的讨论,我们决定映射的典型使用不需要从多个 goroutine 进行安全访问,并且在需要安全访问的情况下,映射可能是已经同步的某些较大数据结构或计算的一部分。
.NET社区

62,040

社区成员

669,051

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章