浏览器如何存储/重新创建授权令牌？

Question

我正在查看此页面的网络活动：https://helm.csod.com/ux/ats/careersite/4/home?c=helm&lang=de-DE。

特别是在带有名称的帖子请求中：“搜索”。它使用授权令牌。

tldr：以下授权令牌如何存储在客户端？

目标：

我想了解浏览器（客户端）如何存储此授权令牌。我不需要获取数据或知道如何用硒或 sthg 刮擦。我只会对背后的机制感兴趣。

我尝试了什么：

我在页面源中找到了令牌：view-source:https://helm.csod.com/ux/ats/careersite/4/home?c=helm&lang=de-DE。

• 似乎在/player-career-site/1.15.4/pages/home.js 中创建了一个对象csod。
• 然后密钥存储在csod.context。
• 最后，csod.player.initialize(csod.context) 被调用。

不幸的是，我未能深入挖掘代码并找到这些函数，因为initialize 的匹配项太多，而我的 js 技能太差了。 作为存储，我只知道 Cookie。它可能会被转换/加密并存储在 cookie 中？但是在添加到请求Header之前如何恢复到“原始”令牌？

Answer 1

这似乎是一种防止 CSRF 的方法。

token 是在后端使用密钥创建的，它将原始密钥存储在会话中并将令牌发送到客户端。

客户端发送请求时，token以数据作为header或与数据一起post，然后后端获取session中存储的key，用同样的方法生成token并与posted比较令牌。如果它们相等则没有问题，则授予访问权限。

根据算法（sha256、md5 等），您无法解密，因此无需还原

而浏览器不这样做，因为它可以被操纵，没有意义。

Answer 2

这里发送的令牌是JWT(JSON Web Token)。这是一种广泛使用的标准认证机制。 您可以使用 JS、Java、PHP、Python 等任何语言创建自己的令牌。

我正在添加一个基本的身份验证流程：

1. 假设用户出现在表单上。输入他的电子邮件和密码。
2. 现在正在向服务器发送一个带有凭据的 HTTP 请求。后端服务器检查详细信息，如果成功，则返回包含身份验证令牌的响应。
3. 大部分时间此令牌存储在 localstorage 中，有时存储在 cookies 中。
4. 现在，对于每个请求，都会从存储的位置提取令牌并在标头中发送。
5. 在后端，检查请求头是否有详细信息。然后做出相应的回应。
6. 最后，每当有人注销时，该令牌就会从前端移除。

希望对你有帮助！如果您有任何疑问，请告诉我