用户登录后,返回一个token,之后,前端用户要做什么操作,就是靠Token来获取,那么,之前写的比如说:评论,那么,之前是通过用户Id,去增加一条评论,那么如果用了Token的话,就是接收Token了,就是将用户Id换成了用户的Token了哦?
登录后返回的 token 是用户标识,后端根据这个标识判断是哪个用户在调用接口,因此前端登录获取到 token 后,以后的请求都需要携带这个 token,通常情况下会放到 header 中。
通常,后端应该认为前端是不可信的,如果用户标识由前端通过ID传到后端,如果请求被拦截或者一些不怀好意的人发现,将用户ID替换成其他值,会有一些安全问题, token 可以用来替代前端传递的用户ID参数。
具体是否将用户ID字段的值替换为 token 值,要看后端接口的设计,一般会放请求头的。
如果有帮助,请采纳。
前端拿到token后,只需要将token放到请求头中的header中即可。
先预设一个场景:你买了两张电影票打算陪女朋友去电影院看电影。
电影票:token。
你带着票去电影院:前端携带token向后端发送请求。
检票员:后端网关(过滤器或拦截器)
当你拿着电影票去看电影时,检票员不会去检查你的身份证判断你是否买票(也就是说它不需要知道具体是哪个用户),而是直接看你的票是否正确(只会校验token是否合法),也就是说,不管你的票是偷的还是抢的,只要它没有被撕毁或者是伪造的,那你就可以进去看电影。
后端也是这样,在你执行登录的时候后端会返回一个token给你,同时它内部也会存一份(或者通过其他算法机制来校验),当你带着token去发起其他请求时,他就会核对你的token是否存在于它的库里,如果存在,说明这token确实是后端给你的,如果不存在,就说明这token是你自己伪造的,后端不认。
通过这种简单的校验方式可以提高用户信息的安全性,当然如果需要实现更加安全的token,那就需要后端通过一定的算法去解析token(类似于给票加水印,防止简单伪造)。