HTTP 是一个无状态的协议，一次请求结束后，下次在发送服务器就不知道这个请求是谁发来的了（同一个 IP 不代表同一个用户），在 Web 应用中，用户的认证和鉴权是非常重要的一环，实践中有多种可用方案 ...

最近在做公司的认证系统，总结了如下一番心得。 传统的认证方式一般采用cookie/session来实现，这是我们的出发点。 1.为什么选用token而不选用cookie/session？ 本质上token和cookie/session都是字符串，然而token是自带加密算法和用户信息(比如用 ...

　　access token 是在 Oauth2.0 协议中，客户端访问资源服务器的令牌（其实就是一段全局唯一的随机字符串）。拥有这个令牌代表着得到用户的授权。它里面包含哪些信息呢？答案是： 　　哪个用户 在什么时候 授权给哪个客户端 去做什么事情 　　对于 Oauth2.0 ...

前言 上一篇已经介绍了identity的注册，登录，获取jwt token，本篇来完成refresh token。 开始 开始之前先说明一下为什么需要refresh token。 虽然jwt token有很多优点，但是它的缺点也是非常明显。由于jwt无状态的特性，所以jwt一旦颁发 ...

前言 我在项目上写了个配置页面，之前很简单直接登录，毕竟配置页面自己人用就没有做token机制，后来公司的安全审核不过，现在要加上token和刷新机制。小结一下。 token和刷新机制 token机制就是在登录成功后返回一个token，并缓存起来，之后每个请求头里带上token，后端验证 ...

实现原理： 在access_token里加入refresh_token标识，给access_token设置短时间的期限（例如一天），给refresh_token设置长时间的期限（例如七天）。当活动用户（拥有access_token）发起request时，在权限验证里，对于requeset ...

主要代码 JwtUtil.generateToken方法 一些概念 JSON Web Token(JWT)，是目前最流行的跨域认证解决方案。 JWT的原理 服务器认证以后，生成一个JSON格式的对象返回给客户端。之后客户端与服务端通信的时候，都要发回 ...

支持跨域访问，无状态认证 token特点 token基本原理 Request指在一次请求的全过程中有效，即从http请求到服务器处理结束，返回响应的整个过程，存放在HttpServletRequest对象中。 Session是用户全局变量，在整个会话期间都有效。只要页面不关闭就一直有效 ...