GET 方法有没办法传递 token

再发明一个浏览器插件就可以实现了。。。

类似 ModHeader 这样的浏览器插件或者代理，用代理往请求里面塞 header

你没见过尾巴有个 ?token=xxxx 之类的 url 嘛？

没太懂。
1 、手动输入网址？那这个 token 哪来的？
2 、如果是 token 预先就知道，直接写在 url 里传参不就 ok 了？

header 、URL

整一个中间页 处理一下？

@kop1989 #5 token 在 localstorage 里面，如果是 post，就可以拦截请求，然后插入一个 token 到头部了，但是 get 就没办法了

@IvanLi127 #4 这样会泄漏自己的 token，复制链接给别人就知道 token 了

直接用 HTTP 验证不好吗

直接在地址栏里面输入的话只有作为查询参数带过去了，没有其他方法了

GET 请求也可以带有 header 啊。。。

请忽视我刚才的发言。。。 没看清题目

@Yourshell #10 能具体说一下吗？

有这样的浏览器插件, 可以加 header, 还可以改变 UA

@Yourshell 详看二楼的链接

axios 的请求拦截器把 token 塞进去

类似 S3 的签名可以吗?
就如果需要访问某一个地址,根据这个地址生成一个有时效的签名?

抱歉没注意看详细需求

token 存进 cookies

这标题取的，你这种情况和 get post 没关系啊，只是浏览器地址栏只能 get，是接口就放尾巴上，不过打开一个接口这是什么需求？？如果打开网页，还可以将这个网页放行，里边的接口再用 js 加上吧

@yeqizhang #21 是服务端渲染页面，第一次 get 请求时就需要知道是否有权限访问，没 token 就没法判断

@balabalaguguji 那只能加尾巴或者 cookie 了

@malaohu #7 嗯，整个中间页应该是可以的

@yitingbai #15 面对所有用户的网页，不能依赖插件

@Yourshell #16 这个方式好像是弹出系统的登录框？怎么设置 token 到头部还是没看懂

cookie 被设计出来就是干这个的

jwt?

在古代，cookie 还没有被发明的时候，程序员就是在 URL 后面加上 sid=xxxxxxxxx 这样的方式记录登录状态的。

当然，这样是安全性极差的。

GET 请求也是可以有 body 的，不过默认浏览器不会用。你写个浏览器就可以了。。

你倒是说为啥不用 session+cookie 啊

等等…就算是服务器渲染也可以加脚本吧。现在还有不用 xhr 的网站？

让用户装插件不现实，我觉得你可以把 token 拆成几部分，混淆到 url 里，取的时候按照一定规则取就好了，有需要的话，再将这种 token 失效时间搞的短一点。

URL 里加参数啊

我也很烦在 head 里面设置 token 的接口,

每次出问题，想调试起来非常不方便。

但是后端大佬定的，没得法

感觉这种自动添加的浏览器打开 URL 的好像只有 cookie 的方式，cookie 会每次请求自动添加到 header，其他的好像都需要处理

@balabalaguguji 不能做加密操作？

然后至于 token 的放在 URL 里面被窃取，我觉得有两种方式

一种，加上 token 和 IP 绑定，这样如果 token 被窃取，但是网络环境不一样可以防御一些，但是无法防御在同一公网出口的情况

另一种就是 vue 的方式，加载统一入口，然后通过 ajax 获取动态路由或者其他的路由方法鉴别权限，这样不用拦截前端界面，由前端自行判断拦截，后端主要做接口拦截，前端在统一做接口处理，如果未授权就跳转无权限界面，如果未登录跳转登录界面

我们公司有个后台就是需要在浏览器插件里面添加 header，应该是一个样。

@xiadong1994 #31 因为网站一早就是用的 token 现在某些页面改为服务端渲染才遇到这个问题，另外 token 更好做负载均衡等

连接后面加 jwt 认证，token 加密在里面

@liyunyang #41 没看清题目哦，不能放链接后面，不管有没加密。

我一般丢 URL 。简单粗暴，确保 SSL 环境即可。时效一般不长。如果要提高安全性，就结合唯一指纹，时间，拆分伪装。

@Felldeadbird #43 如果已经登录过了，第二天用户输入 url 后还要自己输入自己的 token，多不现实。

@balabalaguguji session 是基于 cookie 的..早期一些移动设备不支持 cookie 的,那么 tooken 就诞生了...


PS:没登录不应该是提示没权限么..怎么就白屏了..

用不用 token 跟用不用 cookie 是两码事，token 可以存放在 cookie，也可以存放在 local storage 。

听大家的 先搞懂 cookie , session, token 的概念

@lusi1990 #47 你先读懂题目

你的 url 是直接走的接口？不是的话，应该是前端页面吧，到了你页面，你在页面内 js 去处理就行了啊。虽然不太熟悉现在 vue 什么的的逻辑。但是写过老式的 jq 那套，可以在页面 load 的时候，去读取 localstorage，判断有没有 token 啊。拿到了 token 再去请求后端接口。没有去登录页面，难道不都是这么做的？

@xwayway #49 是服务端渲染的页面，所以第一步是到了服务端，得判断是否有权限然后才决定是否渲染数据。

token 为啥不能放进链接里？放哪儿不都会泄露？我们理解的 token 是用户输入自己的秘钥之后，服务端返回的有时效性的一个 Id.
如果你要限制 token 的使用范围，不希望复制就会泄露，那很简单啊，服务端对 token 做管理，ip mac 限定这个 token 必须和申请时相同就行。

业务场景是啥，你这可能是 XY 问题

@pkoukk #51 复制页面地址给别人后，是不是 token 就泄露了，地址是可以方便复制分享的。

服务器点对点访问，代理一波，nginx 开放访问，通过 lua 或者手动修改 header 请求头，追加参数

这是要获取页面的那个 get 请求也能携带身份信息吧，这个请求一般是浏览器自己发出的吧，不用 cookie 还真不知道有啥办法。。。

@NillSpake #54 没了解过，但是这样你怎么拿到 token，特别是用过了几天后再来访问，localstorage 里面是还有 token 的，nginx 里面你怎么拿到

@Anshi #55 直接输入地址要在头部带东西，似乎只有 cookie 了。不然就做中间页做判断。

Basic Auth

你最好补充一个说明，目前不知道你的问题是哪一种。是通过地址栏输入 URL 第一次访问的时候 Header 中没有 Token，还是因为服务器端渲染每个 GET 请求都没 TOKEN 。

@passerbytiny #59 已经补充了，看上面 append 。已经登录过了，后面手动输入地址在浏览器访问时如何自动设置 token 到头部。

需求的核心逻辑不清楚 没法给可用方案

@balabalaguguji 肯定不用用户手动输入了。以小程序为例，我是放在 local storage 。里面有时效和设备信息。然后和小程序官网的设备信息校验。

在鉴权方面，根据接口的情况，选用 GET OR POST 形式把 TOKEN 从 local storage 带过去。一般来说，会封装好一个请求方法，里面自带鉴权 TOKEN 提交。

浏览器里域名对应的储存不就是 cookie 和 storage 数据库，但是只有 cookie 是浏览器自动添加的，你不想用 cookie 。用户浏览器输入的域名又不会走脚本，不就只有访问到的这个地址去进行操作。判断跳转中间页那个实现方法比较现实点

@balabalaguguji 中间件，redis 等等。。，你可以后台操作 token 时效

有一说一，拦截 get 请求、附加 header 用 service worker 能实现
只是这需求，放着 cookie 不用干嘛

@balabalaguguji 非要这么搞的话，我觉得可以用 cookie 了，后端加个兼容逻辑就行了，header 取不到 token，再取 cookie 中的嘛，都没有才走认证逻辑

@balabalaguguji 也不一定是后端做，在 nginx 做就行了，如果 header 中没有 token，从 cookie 中取出来，放 header 里面就行了

@balabalaguguji 你的真实问题是不是：GET 时，怎么将 localstorage 中保存的 Token，带到 Header 上。

地址栏输入地址的 GET，跟代码调起来的 GET，大概也就这一点区别。而且这问题不只发生在地址栏访问上，点击超链接的跳转同样会发生该问题。

@xwayway 我也觉得这个业务场景，cookie 就可以满足了，不用 token 了

把 token 放在 cookie 里不行吗？一样是在 header 里面传给后端。

一个 SPA 改 SSR ？

服务器在浏览器上存数据，就是 cookies localstorage idb 三剑客，后面两个只能 js 访问

没权限就白屏，还 SEO，那搜索引擎的 spider 哪来的权限呢？
你就当没权限的渲染，然后渐进地提供需要 token 的部分啊？

套一个 iframe 行吗

@no1xsyzy #71 按他这么说，就必须一开始就有 token，不然这网页没得玩。我实在没理解他的需求。难道本不应该就存在没权限情况下的判断嘛，按那个逻辑继续处理不就行了？

@zhaol #73 没登录过就直接跳转到登录页面了，这个没什么争论所以不讨论。只讨论已登录情况

@falcon05 #46 之前是放在 localstorage 里的，嗯，我应该把它改为放在 cookie 就可以了。

@xwayway #66 嗯，cookie 中多存一份 token，这种方式感觉挺好。不过还有个问题，我分享项目时用的是分享 token 每个项目都会有一个，如果也用 cookie 来存储这些分享 token，打开很多个项目的分享页面后 token 就会很多了。

@ysc3839 #70 嗯，你点醒了我，我之前一直想着 cookie 是配合 session 用的，用来存储 session id 的，怎么就没想到可以存 token 呢（哭）

@balabalaguguji #74 根据附言 2，你不是在做 SEO 吗？
可是搜索引擎的 spider 访问你，你直接跳转登录界面了，那不是白瞎？也就是说实际情况，如果我猜的没错的话，是「部分页面需要权限，则跳转登录页，部分页面公开访问，需要做 SEO 」
那我还是推荐一下渐进式体验。

#76 你可以把所有的项目分二级域名或者子目录，cookies token 存到对应下面。

用 url 传也可以，但是 token 做成动态的，类似 2fa

@no1xsyzy #78 是的，部分页面是完全公开不需要授权的