token必传、token burn

两种使用方式用设备号设备mac地址作为Token推荐客户端客户端在登录的时候获取设备的设备号mac地址，并将其作为参数传递到服务端服务端服务端接收到该参数后，便用一个变量来接收同时将其作为Token保存在数据库，并将该Token设置到session中，客户端每次请求的时候都要统一拦截，并将客户端；最近在做第三方接口对接的一些工作，考虑到交互的安全性也为了不让数据在传输中“裸奔”，所以签名和权鉴是必不可少的了21从登录验证说起 在我们内部项目之间进行的接口调用中一般会用到这种 用户登录生成token并保存接口请求验证token ，这里也可以把token做成全局的用以单点登录22。

设置token的原因是为了保证系统的安全性和稳定性，防止未经授权的用户访问系统资源，同时也可以提高系统的数据传输效率和可靠性Token机制是一种基于令牌的用户身份验证方式，它可以避免传统的基于cookie的验证方式中存在的一些安全漏洞和缺陷，具有更高的安全性和可靠性在实际应用中，我们还需要注意一些安全；token就是令牌，比如你授权登录一个程序时，他就是个依据，判断你是否已经授权该软件cookie就是写在客户端的一个txt文件，里面包括你登录信息之类的，这样你下次在登录某个网站，就会自动调用cookie自动登录用户名session和cookie差不多，只是session是写在服务器端的文件，也需要在客户端写入cookie文件，但是文件里是你。

JWT是由三个部分组成的头部Header负载Payload和签名Signature头部包含有关令牌的元数据，如所使用的加密算法和令牌类型负载包含有效负载数据，即实际传输的信息签名是对头部和负载进行加密签名以验证其完整性和真实性的部分Token是一种用于身份验证和授权的凭据，通常在用户登录后由；而token一般指翻译成令牌，一般是用于验证表明身份的数据或是别的口令数据可以用url传参，也可以用post提交，也可以夹在。

.token_bzh

1、通证，是token的常规翻译“代币”之外的另一种翻译，为什么有两种翻译呢很简单，因为国内链圈目前还没有对token的认知达成统一共识很多人把Token译为“代币”，Coin也叫“代币”，甚至一提到区块链，就与比特币划等号比特币的神话，外加各类空气币传销币和鸡肋币的出现，让数字货币变得浑浊不堪。

2、当然这里需要注意的地方是保证客户端和服务端的“当前时间”是一致的，我们采取的对齐方式是客户端第一次连接服务端时请求一个接口获取服务端的当前时间A1，再和客户端的当前时间B1做一个差异化计算A1B1=AB，得出差异值AB，客户端再后面的请求中都是传B1+AB给到服务端3 API签名机制 将“。

3、3在其他接口调用前，判断token是否正确，正确则继续，错误则让用户重新登陆，具体的原因是因为APP端没有和PC端一样的session机制，所以无法判断用户是否登陆，以及无法保持用户状态，所以就需要一种机制来实现session，这就是token的作用token是用户登陆的唯一票据，只要APP传来的token和服务器端一致。

4、1支持跨域访问，Cookie是不允许垮访问的，这一点对Token机制是不存在的，前提是传输的用户认证信息通过解耦 不需要绑定到一个特定的身份验证方案。

5、token是个凭条，不过它比门票温柔多了，门票丢了重新花钱买，token丢了重新操作下认证一个就可以了，因此token丢失的代价是可以忍受的前提是你别丢太频繁，要是让用户隔三差五就认证一次那就损失用户体验了\x0d\x0a\x0d\x0a客户端方面这个除非你有一个非常安全的办法，比如操作系统提供的。

6、因此，quottokenquot 和 quotuserldquot 至少传一个的含义是，应用程序需要验证用户的身份和授权用户访问特定资源如果参数中没有 quottokenquot 或 quotuserldquot，应用程序将无法验证用户身份，从而无法授权用户访问受保护的资源。

token burn

token失败的解决方法重新登录更新Token重新生成Token1重新登录 有些应用程序在长时间不使用后，可能会自动使Token失效，以保护用户的账户安全在这种情况下，重新登录应用程序或使用应用程序重新生成Token即可2更新Token 如果Token已经过期，需要更新Token一些应用程序可能会提供一个刷新Token的。

session是属于cookie的在APP下使用Token更加方便而且考虑到授权传递的话，维护Cookie就同时麻烦了两边了App通常用restful api跟server打交道Rest是stateless的，也就是app不需要像browser那样用cookie来保存session， 因此用session token来标示自己就够了，sessionstate由api server的逻辑处理如果你的。

一登录返回token 1如下图的这个登录，无cookies 2但是登录成功后有返回token 二请求头带token 1登录成功后继续操作其它页面，发现post请求的请求头，都会带token参数 2这种请求其实比cookie更简单，直接把登录后的token放到头部就行 三token关联 1用脚本实现登录，获取token参数，获取后传参。

如未过期，检查缓存中是否有refresh\_token是否被废除，如果有，则生成新的access\_token并返回给客户端，客户端接着携带新的access_token重新调用上面的资源接口 4客户端退出登录或修改密码后，调用中间件注销旧的token中间件删除access\_token和refresh\_token废除，同时清空客户端侧的access\_token和refresh。