token签发_token鉴权流程

只能服务器签发的token是对session的一个升级，只能通过登入获得，需要注册服务器是计算机的一种，它比普通计算机运行更快负载更高价格更贵。

token是计算机术语令牌，令牌是一种能够控制站点占有媒体的特殊帧，以区别数据帧及其他控制帧token其实说的更通俗点可以叫暗号，在一些数据传输之前，要先进行暗号的核对，不同的暗号被授权不同的数据操作基于 Token 的。

Token的主要作用是防止CSRF跨站脚本攻击攻击，确保用户只能访问他们有权访问的网站Token是一种轻量级的令牌化数据传输机制，通常用于实现会话状态的持久化Token通常是由服务端生成的一个独一无二的字符串，用于在用户首次。

如果同时签发了两个都在有效期内，那么我认为是可以同时使用的。

iss jwt签发者 sub jwt所面向的用户 aud 接收jwt的一方 exp jwt的过期时间，这个过期时间必须要大于签发时间 nbf 定义在什么时间之前，该jwt都是不可用的 iat jwt的签发时间 jti jwt的唯一。

对于跨域请求token保存步骤如下1在后端服务器上设置好Token生成逻辑，例如使用JWT签发Token2前端页面通过AJAX发送跨域请求，将用户名和密码等登录信息传递给后端3后端验证用户信息，如果验证成功，则生成Token，并设置。

由于服务器不需要存储 Session 状态，因此使用过程中无法废弃某个 Token 或者更改 Token 的权限也就是说一旦 JWT 签发了，到期之前就会始终有效，除非服务器部署额外的逻辑。

Token是在客户端频繁向服务端请求数据，服务端频繁的去数据库查询用户名和密码并进行对比，判断用户名和密码正确与否，并作出相应提示，在这样的背景下，Token便应运而生Token是服务端生成的一串字符串，以作客户端进行请求。

4客户端收到Token以后可以把它存储起来，比如放在Cookie里或者Local Storage里5客户端每次向服务端请求资源的时候需要带着服务端签发的Token6服务端收到请求，验证密客户端请求里面带着的Token和服务器中保存的Token。

JWT里有一个关键的东东，就是续期TOKEN，即TOKEN快过期时，刷新一个新的TOKEN给客户端办法如下1后端生成TOKEN 原签发TOKEN后10分钟后刷新新的TOKEN 2前端获取TOKEN 注意一点，需要通过过滤器调整FITLER，增加AccessControl。

实现方式二认证中心 实现方式三LocalStorage 跨域 补充域名分级 在 BS 系统中，登录功能通常都是基于 Cookie 来实现的当用户登录成功后，一般会将登录状态记录到 Session 中，或者是给用户签发一个 Token，无论哪。

Token一旦签发，不能主动让它失效，只能等待它有效期过才能失效也就是说就算你修改了密码，之前的 Token 也还是有效的你可以修改后端生成 Token 时使用的密钥，不让之前的 Token 检验通过，但是这就表示之前所有生成。

access_token使用频率高，容易泄露，有效期风险就小refresh_token使用频率低，泄露风险小另外，不是必须要有两个token吧。

以前曾经介绍过关于 KMS的用法 ，其中，提到了它的优点和用处，我们使用的场景有如下几点如果脱离AWS，选择好像还真是不太多，Harshicorp的 Vault 是我仅知道的一个， RatticDB 算半个吧Vault提供了对token，密码，证书。

这类企业使用区块链一般采用私有链或联盟链的方式，他们并不需要Token参与流通，节点也不以匿名形式存在，他们看中的是区块链技术本身在区块链技术的加持下，人工输入政府签发的ID信息将转变为政府签发ID安全储存及验证顾客。

虽然论文中并未出现decentralized去中心化token通证economy经济等概念，但中本聪详细解释了区块Block和链Chain在网络中的工作原理于是，便有了区块链Block Chain 这篇论文，后来成为了“比特神教”的“圣经”，技术成。