Springboot之登录模块探索（含Token，验证码，网络安全等知识）(2)

意思是标签1和标签2即使是同个URL的网址，里面的数据都是不互通的（这有个毛用）
那么LocalStorage存储的数据如何呢，答案是无限期本地存储
不过后台无法操作这里的数据，只能由js代码操作（至于操作结果，完全看js，后端无法感知，不太可靠），我认为这里不适合保存敏感点的信息，因为前端的功能是展示，状态性的数据应该由后端直接掌控（后端能直接操作Cookie，保证完成任务）
你看英雄所见略同，CSDN网站的用户密码也是存在Cookie的

Token就是登录后的令牌（下一点会讲）
所以用Cookie就对啦，具体实现都很简单，前端多个自动登录的选择，选择后多个参数传给后端，后端根据参数往Cookie里设置加密后的账号密码
等下次访问时，用拦截器Interceptor进行拦截，检测是否要自动登录即可~
3.如何维护前后端登录状态
大家最先想到是用Session来维护，登录后在Session中存放用户信息，不过对分布式很不友好（什么，你说你用不到分布式，我也没用到，可是梦想还是要有的嘛），需要维护个分布式数据库来进行数据同步才行
于是我用Token实现的，Token就是一串字符串，最适合API鉴权（例如SSO单点登录这种），俗称令牌
好处就是账号密码用户输入一次就够了，特别是多个系统之间（一张身份的凭证都通用）
当用户登录后，服务器就会生成一个Token放在Cookie中，之后用户的所有操作都带这个Token访问（将Token放入http头部）
为什么要将Token放入头部
1.能抵挡下简单的CSRF攻击
2.浏览器跨域问题
什么是CSRF攻击
举个例子：我登录了A网站，A网站给我返回了一些Cookie信息，然后我再同一浏览器的另外标签访问了B网站，谁知这个B网站返回了一些攻击代码（向A网站发起一些请求，比如转钱给你，这时候由于是访问A网站，会附带A网站的Cookie，让一切都好像是我在访问一样），这个就是CSRF攻击