正儿八经的目录吐槽token是什么？设计思路（点击方法可跳转原文档）代码操作操作演示1、不存在本地缓存、不存在redis记录演示2、不存在本地缓存演示3、服务器端不存在redis记录演示如何进行token鉴权thinkphp5redis补充总结吐槽写本篇的原因是因为之前开发用的都不是微信小程序给的session作为token鉴权的，这次开发打算使用多端同步的uniapp开发小程序，方便后面转多端，所以我想尝试新的东西，另外在热榜中我看到一篇文章用"access_token作为token来请求验证接口、checkSession用来检测access_token有无过期"，不得不使我感叹，现在的技术

正儿八经的目录吐槽token是什么？设计思路（点击方法可跳转原文档）代码操作操作演示1、不存在本地缓存、不存在redis记录演示2、不存在本地缓存演示3、服务器端不存在redis记录演示如何进行token鉴权thinkphp5redis补充总结吐槽写本篇的原因是因为之前开发用的都不是微信小程序给的session作为token鉴权的，这次开发打算使用多端同步的uniapp开发小程序，方便后面转多端，所以我想尝试新的东西，另外在热榜中我看到一篇文章用"access_token作为token来请求验证接口、checkSession用来检测access_token有无过期"，不得不使我感叹，现在的技术

K哥之前写过一篇关于百度翻译逆向的文章，也在bilibili上出过相应的视频，最近在K哥爬虫交流群中有群友提出，百度翻译新增了一个请求头参数Acs-Token，如果不携带该参数，直接按照以前的方法进行处理，会出现1022报错，并且如果直接将Acs-Token写成定值，前几次可能能成功，多查询几次也会报同样的错误，现对其进行逆向分析，对往期代码进行重构。与此同时，K哥发现百度指数的某些接口有个Cipher-Text参数，与百度翻译的Acs-Token加密方式差不多，所以就一起分析一波。声明本文章中所有内容仅供学习交流使用，不用于其他任何目的，不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱

K哥之前写过一篇关于百度翻译逆向的文章，也在bilibili上出过相应的视频，最近在K哥爬虫交流群中有群友提出，百度翻译新增了一个请求头参数Acs-Token，如果不携带该参数，直接按照以前的方法进行处理，会出现1022报错，并且如果直接将Acs-Token写成定值，前几次可能能成功，多查询几次也会报同样的错误，现对其进行逆向分析，对往期代码进行重构。与此同时，K哥发现百度指数的某些接口有个Cipher-Text参数，与百度翻译的Acs-Token加密方式差不多，所以就一起分析一波。声明本文章中所有内容仅供学习交流使用，不用于其他任何目的，不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱

发展史1.早期的时候，网站都没有保存用户功能的需求，所有用户访问网站返回的结果都是一样的，比如新闻、文章等网站！2.但是，随着网站的发展，出现了一些需要保存用户信息的网站，比如：淘宝、京东、个人博客等！3.以登录功能为例，如果不保存用户登录的信息，就意味着用户每次都需要重新登录网站，为此非常的麻烦。4.为了解决上述的麻烦，便产生了cookie和session1.cookie1.1什么是cookie当用户第一次登录之后，浏览器会将您登录之后的用户名和密码保存到用户浏览器，让其保存在本地，之后再次访问网站的时候，浏览器会帮您自动的将保存的用户名和密码发送到浏览器，这样就省去了登录的操作！装逼小技巧

发展史1.早期的时候，网站都没有保存用户功能的需求，所有用户访问网站返回的结果都是一样的，比如新闻、文章等网站！2.但是，随着网站的发展，出现了一些需要保存用户信息的网站，比如：淘宝、京东、个人博客等！3.以登录功能为例，如果不保存用户登录的信息，就意味着用户每次都需要重新登录网站，为此非常的麻烦。4.为了解决上述的麻烦，便产生了cookie和session1.cookie1.1什么是cookie当用户第一次登录之后，浏览器会将您登录之后的用户名和密码保存到用户浏览器，让其保存在本地，之后再次访问网站的时候，浏览器会帮您自动的将保存的用户名和密码发送到浏览器，这样就省去了登录的操作！装逼小技巧

csrfCSRF（Cross-SiteRequestForgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之下的操作，具有很大的危害性。具体来讲，可以这样理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。什么是CSRF攻击首先用户C浏览并登录了受信任站点A；登录信息验证通过以后，站点A会在返回给浏览器的信息中带上已登

csrfCSRF（Cross-SiteRequestForgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之下的操作，具有很大的危害性。具体来讲，可以这样理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。什么是CSRF攻击首先用户C浏览并登录了受信任站点A；登录信息验证通过以后，站点A会在返回给浏览器的信息中带上已登

LoginController类具体代码/***app登录*/@AnonymousAccess@PostMapping("login")publicAjaxResultlogin(@RequestBodyLoginBodyloginBody){AjaxResultajax=AjaxResult.success();//生成令牌Stringtoken=loginService.login(loginBody.getUsername(),loginBody.getPassword());ajax.put(Constants.TOKEN,token);returnajax;}登录校验——AppLog

LoginController类具体代码/***app登录*/@AnonymousAccess@PostMapping("login")publicAjaxResultlogin(@RequestBodyLoginBodyloginBody){AjaxResultajax=AjaxResult.success();//生成令牌Stringtoken=loginService.login(loginBody.getUsername(),loginBody.getPassword());ajax.put(Constants.TOKEN,token);returnajax;}登录校验——AppLog