token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 token 给前端。前端可以在每次请求的时候带上 token 证明自己的合法地位 (推荐学习:phpstorm)
可以解决哪些问题呢?
token 完全由应用管理,所以它可以避开同源策略
token 可以避免 csrf 攻击(http://dwz.cn/7jolzx)
token 可以是无状态的,可以在多个服务间共享
token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 token 给前端。
前端可以在每次请求的时候带上 token 证明自己的合法地位。如果这个 token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。
无论是从安全的角度考虑,还是从吊销的角度考虑,token 都需要设有效期。
那么有效期多长合适呢?
只能说,根据系统的安全需要,尽可能的短,但也不能短得离谱——想像一下手机的自动熄屏时间,如果设置为 10 秒钟无操作自动熄屏,再次点亮需要输入密码,会不会疯?
如果你觉得不会,那就亲自试一试,设置成可以设置的最短时间,坚持一周就好(不排除有人适应这个时间,毕竟手机厂商也是有用户体验研究的)。
然后新问题产生了,如果用户在正常操作的过程中,token 过期失效了,要求用户重新登录……用户体验岂不是很糟糕?
为了解决在操作过程不能让用户感到 token 失效这个问题,有一种方案是在服务器端保存 token 状态,用户每次操作都会自动刷新(推迟) token 的过期时间——session 就是采用这种策略来保持用户登录状态的。
然而仍然存在这样一个问题,在前后端分离、单页 app 这些情况下,每秒种可能发起很多次请求,每次都去刷新过期时间会产生非常大的代价。
如果 token 的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,会把 token 的过期时保存在缓存或者内存中。
以上就是token error什么意思的详细内容。