(token,Spring Security)
发布时间 2024-01-10 15:42:54作者: 卡皮巴拉
- 认证:让服务器认识客户端
- 之前使用session记录登录用户的信息,之后每次请求都验证session对象中是否有登录用户的信息(Filter)
- token认证:用户登录成功,服务端会给这个客户端(浏览器)签发一个token(字符串),客户端接收到这个token,存入到容器中(sessionStorage或者是LocalStorage),浏览器每次访问该服务器,都要带着签发的token,服务器来验证token是否是该服务器签发
- token失效了,应该怎么办:
- 原令牌验证,(只是取消了是否过期的验证),验证成功,重新生成一个令牌token,之后浏览器每次携带新的令牌;
- 签发一个刷新令牌(token)
- 认证成功,签发token,保存用户的userDetail定义的方法使用token和userDetail关联
- 将token回应,前端记录,每次访问携带;
- 在后端spring security中定义过滤器,过滤请求验证token,通过token获取userDetail,将userDetail交给Springsecurity认证管理器;