基于Token的身份验证流程

作者：weixin_40725706 | 2024-05-22 21:14:48

踩

基于Token的身份验证流程

                    
                    用户首次登录，将输入的账号和密码提交给服务器。
服务器对输入内容进行校验，若账号和密码匹配则验证通过，登录成功。服务器会生成一个Token（如JWT），这个Token包含了用户的身份信息、有效期等，并且会被签名以保证其完整性和真实性。然后服务器将这个Token返回给客户端。
客户端拿到返回的Token后，将其保存在本地（如cookie/localStorage）。作为公共参数，以后每次请求服务器时都携带该Token（通常放在HTTP请求的Header中，如Authorization字段），提交给服务器进行校验。
服务器接收到请求后，首先验证请求中是否携带Token。若携带，则对Token进行验证，包括检查其签名和有效期。如果Token验证通过（即签名正确且未过期），则认为用户已验证，当前处于登录状态，服务器正常处理请求并返回数据。如果Token不存在、已过期或签名不正确，服务器会拒绝请求并返回错误状态码，提示用户需要重新登录。
当Token过期时，用户需要重新登录以获取新的Token。但为了避免用户频繁登录，有些应用会采用刷新令牌（Refresh Token）的机制。在这种机制中，服务器除了返回一个访问令牌（Access Token）外，还会返回一个刷新令牌（Refresh Token）。访问令牌具有较短的有效期，而刷新令牌具有较长的有效期。当访问令牌过期时，客户端可以使用刷新令牌向服务器请求一个新的访问令牌，而无需用户重新输入凭据。这样用户可以在不重新登录的情况下继续访问应用。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/weixin_40725706/article/detail/609933