引用：poiupoiu 发表于 2020-05-02 23:44
服务端不存储信息的话，那么这个token永远都不会变？

要存储，不存储的话token还有什么用

谢谢分享

服务端不存储信息的话，那么这个token永远都不会变？

引用：elan 发表于 2019-11-26 11:02
嗯，安全讲究策略，但是也讲究成本，我比较好奇业界有没有一些通用的最佳实践，token方案目前看基本用JWT ...

没有通用实践，因为真正达到这种安全级别要求的系统和业务场景，通常都已经进化到分布式的规模，而分布式框架下的安全性，显然弹性太大，很难说有什么固定套路

引用：JackJiang 发表于 2019-11-25 19:07
具体的技术实现，没有固定的套路，按照自已的系统要求和应用场景，够用就好了。
还有所谓的安全性也同样 ...

嗯，安全讲究策略，但是也讲究成本，我比较好奇业界有没有一些通用的最佳实践，token方案目前看基本用JWT似乎就可以了

引用：elan 发表于 2019-11-25 18:25
@JackJiang  
站长，请教一下，前后端分离的web是怎么使用token的？
比如页面跳转了？第二次打开浏览器？ ...

具体的技术实现，没有固定的套路，按照自已的系统要求和应用场景，够用就好了。
还有所谓的安全性也同样的是相对的，能达到你系统的设计指标就好了，没有绝对的安全性

@JackJiang  
站长，请教一下，前后端分离的web是怎么使用token的？
比如页面跳转了？第二次打开浏览器？
也是把token和userid写入cookie吗？那我们无法保护cookie中的token和userid吗？

token的使用要求header里要同时放token和userid吗？

如何防止token的盗取？
比如被root的Android中和浏览器端的防护。

盼回复

引用：大马仕格 发表于 2018-06-19 14:42
小白问一下，这里的session是经常跟浏览器那边的cookie这东西一起用的吗？

浏览器端是的

小白问一下，这里的session是经常跟浏览器那边的cookie这东西一起用的吗？

满满的知识，多谢群主整理