当前位置：首页 > article >正文

Token：解决 Cookie+Session 痛点的新一代「身份凭证」

article 2026/3/24 23:41:56

一、为什么会出现 Token1. Cookie Session 的天生痛点服务器压力大Session 存在服务器内存 / Redis用户越多占用越大。分布式集群麻烦必须做 Session 共享Redis 同步、IP 绑定等。跨域 / 跨端不友好Cookie 受同源策略限制APP、小程序、第三方跨域场景难用。安全风险自动携带 Cookie易受 CSRF 攻击。2. Token 要解决的核心问题服务器无状态不存用户会话信息天然支持分布式 / 跨域更安全、更灵活适合Web、APP、小程序、微服务、第三方授权二、Token 基本概念1. 什么是 TokenToken 令牌 / 凭证是服务器生成的一串加密字符串代表用户身份和权限。客户端自己保存每次请求主动带上服务器验证后即可识别身份。2. 核心特点无状态Stateless服务器不存任何 Session信息全部存在 Token 里。跨端友好不依赖 Cookie可放在 Header、Param 等任意位置。自包含Token 里可直接存用户 ID、权限、过期时间等。可加密签名防止篡改、伪造。三、Token 完整登录流程经典用户登录客户端提交用户名密码服务器验证验证通过后生成 Token包含用户信息签名返回 Token服务器把 Token 发给客户端客户端保存存在localStorage / sessionStorageCookie手动设置不依赖自动携带APP 本地存储后续请求客户端主动在请求头带上plaintextAuthorization: Bearer token服务器验证解析 Token → 验签名 → 查过期 → 拿到用户信息不需要查 Session/Redis基础 JWT 场景四、Token 主流实现JWT1. JWT JSON Web Token目前最标准、最常用的 Token 格式。2. JWT 结构三段式用.分隔plaintextHeader.Payload.Signature① Header头声明算法类型示例json{ alg: HS256, typ: JWT }② Payload负载存放实际数据用户信息、过期时间等官方标准字段推荐iss签发者sub用户 IDexp过期时间iat签发时间注意Payload 只是 Base64 编码不是加密不要存密码等敏感信息。③ Signature签名保证 Token不被篡改公式plaintextSignature HMACSHA256( Base64(Header) . Base64(Payload), 服务器密钥 )只要密钥不泄露别人就无法伪造 Token。五、Token 与 Cookie/Session 核心对比面试必背表格维度Cookie SessionTokenJWT存储位置Session 存服务器信息存在客户端自身状态有状态无状态分布式支持需要共享方案Redis 等天然支持跨域 / 跨端弱受同源策略限制强支持 Web/APP/ 小程序 / 微服务性能服务器查表量大有压力直接验签无 IO性能更好CSRF 风险高自动带 Cookie低需主动携带可控制安全性依赖 Cookie 配置签名防篡改可加密失效控制服务器可直接删 Session无法主动作废只能等过期可用黑名单六、Token 的优点无状态减轻服务器存储压力天然支持水平扩展适合微服务、集群跨域跨端友好不依赖 Cookie防 CSRF不自动发送可控制来源可自包含权限适合第三方授权OAuth2七、Token 的缺点与解决方案1. 无法主动作废最大痛点Token 一旦签发只能等到期。解决方案Redis 黑名单作废的 Token 存入 Redis请求时先校验短有效期刷新 TokenRefresh Token2. 长度比 SessionId 大每次请求携带数据稍多可忽略。3. Payload 可被解码不要存密码、手机号明文等敏感信息。八、Token 携带方式实战推荐请求头 AuthorizationplaintextAuthorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...放在 URL 参数不推荐放在 POST 参数放在自定义 Header如token: xxx九、双 Token 方案企业级常用为了解决安全和体验平衡Access Token有效期短5~30 分钟用于正常接口请求Refresh Token有效期长几天几周仅用于刷新 Access Token泄露风险相对可控流程登录 → 返回 AT RTAT 过期 → 用 RT 换新 ATRT 过期 → 重新登录十、安全最佳实践必须用 HTTPS防止 Token 被抓包窃取。签名密钥严格保密密钥泄露所有人可伪造 Token。设置合理过期时间避免长期有效。敏感信息不放入 Payload只放用户 ID、角色不放密码。开启 Redis 黑名单支持强制下线、改密后作废旧 Token。避免存在 localStorage 被 XSS 窃取可存在HttpOnly Cookie里仍用 JWT 逻辑只是借用存储。十一、高频面试题极简答案Token 解决了 Session 什么问题无状态、天然分布式、跨端友好、降低服务器压力、防 CSRF。JWT 由哪三部分组成Header、Payload、Signature。JWT 能存密码吗不能Payload 只是 Base64 编码可解码。Token 怎么防止篡改通过签名Signature服务端验签即可判断是否被修改。Token 如何实现主动退出使用 Redis 黑名单将 Token 加入黑名单即作废。Token 比 Session 更安全吗在防 CSRF、防劫持可控性上更安全但 XSS 风险需要自己防护。十二、全文总结CookieSession有状态、服务器存储、集群麻烦、适合传统 Web。TokenJWT无状态、自包含、天然分布式、跨端神器。核心思想把 “身份凭证” 交给客户端自己保管服务器只负责验签不负责存储。现代架构前后端分离、APP、小程序、微服务 →首选 Token。

Token：解决 Cookie+Session 痛点的新一代「身份凭证」

相关文章：

Token：解决 Cookie+Session 痛点的新一代「身份凭证」

The Riemannian Geometry of Conceptual Spaces: Behavioral Evidence for Cognitive Manifolds

Z-Image-Turbo_Sugar脸部Lora企业级部署：Nginx反向代理+HTTPS安全访问配置

ControlNet-v1-1 FP16模型深度解析：SD1.5兼容性与性能优化终极指南

HoloCubic商业模式探索：从开源项目到商业化产品的完整转型指南

Bounce.js 插件开发终极指南：3步打造自定义CSS3动画扩展

3个核心优势：asmr-downloader如何解决ASMR资源管理难题

TLV320音频编解码器WAV播放库设计与嵌入式实现

BotMan附件处理终极指南：5种类型附件接收与处理技巧

长尾关键词在SEO中优化关键词策略的应用与效果分析

RabbitMQ云原生持久化终极指南：Ceph与GlusterFS存储方案完全解析

解决STM32使用ST-LINK时勾选Reset and Run仍无法复位运行的调试技巧

GraphQL Java 异常处理终极指南：深度解析 ExceptionWhileDataFetching

Android USB OTG相机实战指南：从设备连接到高级应用的完整解决方案

扩散模型如何重塑时间序列预测的未来格局

巴菲特-芒格的电动汽车产业链投资：全面布局未来出行

FlutterBoost持续集成终极指南：自动化测试与质量监控最佳实践

自动化API版本管理:AI简化接口演进

Kafka-Docker与Azure AKS集成：Kubernetes服务部署终极指南

机械键盘防抖神器：告别连击烦恼的终极解决方案

别再手动连线了！用Tessent IJTAG的SIB和TDR，5分钟搞定复杂芯片的DFT网络分区

RabbitMQ消息优先级终极指南：如何实现多级队列与紧急消息处理

桥接模式下的银河麒麟V10 SP1安装避坑手册：VMware磁盘分配与网络配置详解

终极Pry配色指南：如何配置256色与真彩色主题让Ruby开发更高效

Windows Defender彻底移除指南：释放系统资源，告别安全软件干扰

Kafka-Docker 元数据管理终极指南：掌握主题与分区操作技巧

Janus-Pro-7B在嵌入式AI中的轻量化部署实践

建议收藏｜高效论文写作全流程AI论文平台推荐（2026 最新）

HTTP协议与Web服务器详解

复盘B端拓客号码核验：困境、革新与行业发展启示氪迹科技法人股东号码核验筛选系统，阶梯式价格