token做登录存入redis token为什么要存储在redis中

本文目录一览：

1、API接口安全设计方案(已实现)
2、jwt与token+redis,哪种方案更好用?
3、一般项目为了解决什么问题而使用redis
4、保障接口安全的5种常见方式
5、前后端常见的几种鉴权方式(小结)

API接口安全设计方案(已实现)网络安全方案，主要从数据加密与api接口安全两个方面考虑，数据加密https已经加密了，就不再次加密了；主要从api安全方面考虑。
就像上文所说，token方案重点在于，当用户登录成功之后，我们只需要生成好对应的token，然后将其返回给前端，在下次请求业务接口的时候，需要把token带上。具体的实践，也可以分两种：下面，我们介绍的是第二种实现方式。
API接口，类似 http：//mypay.com/refund/order_id=123&mch_id=123 ，这个请求我以商户mch_id=123的身份给订单号为order_id=123退款，如果服务器不辩别请求发起者的身份直接做相应的操作，那是及其危险的。
每次HTTP请求，都需要加上timestamp参数，然后把timestamp和其他参数一起进行数字签名。
HTTP Basic身份认证安全性较低，必须与HTTPS配合使用。HTTP Digest身份认证可以单独使用，具备中等程度的安全性。HTTP Digest身份认证机制还支持插入用户自定义的加密算法，这样可以进一步提高API的安全性。
jwt与token+redis,哪种方案更好用?Token需要查库验证token是否有效，而JWT不用查库，直接在服务端进行校验，因为用户的信息及加密信息，和过期时间，都在JWT里，只要在服务端进行校验就行，并且校验也是JWT自己实现的。JWT是json web token缩写。
**「客户端 token 的存储方式」在前面 cookie 说过，cookie 并不是客户端存储凭证的唯一方式。token 因为它的「无状态性」，有效期、使用限制都包在 token 内容里，对 cookie 的管理能力依赖较小，客户端存起来就显得更自由。
Redis数据迁移方案推荐使用NineData数据复制工具。相较于传统迁移方案，NineData提供了更强大、更高效的迁移方案。
JSON Web Token是什么 JSON Web Token （JWT）是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式，用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。
一般项目为了解决什么问题而使用redis1、原因就是redis虽然读写很快，但是不适合做数据持久层，主要原因是使用redis做数据落盘是要以效率作为代价的，即每隔制定的时间，redis就要去进行数据备份/落盘，这对于单线程的它来说，势必会因“分心”而影响效率，结果得不偿失。
2、推荐学习：Redis视频教程）通常局限点来说， Redis也以消息队列的形式存在，作为内嵌的List存在，满足实时的高并发需求。
【token做登录存入redis token为什么要存储在redis中】3、Redis支持主从模式，可以配置集群，这样更利于支撑起大型的项目，这也是Redis的一大亮点。
4、五种用途：全页面缓存整页缓存。如果你正在使用服务器端呈现的内容，则不需要为每个单独的请求重新渲染每个页面。
5、redis 有哪些用处？五种用途全页面缓存整页缓存。如果你正在使用服务器端呈现的内容，则不需要为每个单独的请求重新渲染每个页面。
6、我的看法，有足够多的内存，我又想让系统极快。就可以把redis当数据库用，redis可以永久缓存数据，但是这些数据要小于能使用的内存量。小点的项目比较适合，我干过这事。
保障接口安全的5种常见方式通过密码保护管理接口的安全性在思科的网络设备中，默认情况下，控制台是没有设置口令的。为此，作为一种基本的和便于使用的安全措施，网络管理员在启用网络设备后，第一个任务就是应当立即为接口设置密码。
脚本攻击：利用JavaScript 注入到后台数据库中，在通过展示数据加载该脚本该脚本中（使用js获取cookie信息（jwt）将该jwt数据上传黑客服务器（ajax）获取jwt---用户会话信息让后模拟请求形式使用该jwt登录。
后端服务统一拦截接口请求，用接收到的非可空参数根据约定好的规则进行加密，和传入的sign值进行比较。若一致则予以放行，不一致则拒绝请求。由于中间人不知道加密方法，也就不能伪造一个有效的sign 。
确保安全性可以从三个方面去做：对客户端做身份认证，对敏感的数据做加密，并且防止篡改，身份认证之后的授权。
签名计算，可以换成 hamc 方式进行计算，思路大致一样。上面介绍的token和接口签名方案，对外都可以对提供的接口起到保护作用，防止别人篡改请求，或者模拟请求。
前后端常见的几种鉴权方式(小结)1、常用的web鉴权方式有：基本身份验证（Basic Authentication）：这是最基础的一种鉴权方式，通过在HTTP请求头中添加用户名和密码的方式进行验证。这种方式简单易用，但安全性较低，因为密码通常明文传输。
2、由于http 协议是一种无状态的协议，服务器端并不知道客户端的那一头是谁在请求服务器。而且服务器上的资源不一定是对所有人开放，所以需要进行用户对登录鉴权。目前，我们在开发中主要使用过4 种鉴权方式。
3、常用的token鉴权方式的解决方案是JWT ， JWT是通过对带有相关用户信息的json进行加密，加密的方式比较灵活，可以根据需求具体设计，这里就不做过多介绍。
4、Spring 的拦截器（Interceptor）实现这个功能也非常合适。顾名思义，拦截器用于在 Controller 内 Action 被执行前通过一些参数判断是否要执行此方法，要实现一个拦截器，可以实现 Spring 的 HandlerInterceptor 接口。