Token的生成方式或常見樣式有：

• 隨機字符串（UUID）
• 按照JWT標準生成（按一定標準生成加密串）
• 直接將相關信息做加密
• SpringSecurity生成：在過濾器中過濾請求，生成或校驗Token，默認用UUID生成，并將Token存于Cookie或Session中

Token常見作用：

• 防止表單重復提交，保證請求的冪等性：

處理一個請求，將其Token存入“已處理請求”中，再次進來的請求，如果其Token已在“已處理請求中”，則不再重復處理（該Token需要盡量保證全局唯一）

• CSRF防御：

Token由服務端返回，將Token存入Cookie或者Session中，并存入到返回的html中表單的hidden字段中，等提交表單時，服務端對比表單提交的請求參數中的token與cookie或session中存儲的token是否一致。

場景：服務端收到訪問/login頁面請求時

1. 先檢查Cookie或Session中是否已經存在Token，存在則直接將該Token存入返回的html表單中；不存在則通過SpringSecurity生成（其他方式生成也行），將Token存入Cookie或Session中，并將該Token存入返回的html表單中
2. 瀏覽器顯示/login的頁面
3. 在/login中提交表單，會把隱藏字段中的Token一并提交
4. 服務端校驗請求參數中的Token與Cookie或Session中存儲的Token是否一致

Token是動態變化的，CSRF的表單無法確定當前的Token是什么，也就無法提前準備請求參數，一定程度上實現了CSRF的防御。

• 單點登錄（SSO）

初次登陸，服務端按照指定字段生成Token（直接加密，或者用JWT標準加密都行），并返回，下次訪問時請求中帶上指定字段和Token，服務端將Token解密，如果解密結果與請求中攜帶的指定字段一致，則允許訪問。（此Token存于請求頭中，因此跨域訪問也會生效，如果存在Cookie中，跨域訪問Cookie會失效）

以加密方式生成Token的好處：

分布式中，每個服務端存儲加密算法及密鑰即可，無需通過Session存儲，減輕服務端壓力。

使用加密算法的注意點：

無論是JWT標準中的加密，還是用AES或者3DES等加密算法，加密后都需要用base32，或者base64編碼，同理解密前，也要先用base解碼，再解密。

因為，加密后的字符串有很多計算機無法顯示的亂碼，通過url返回時，甚至后續如果要將加密串存入數據庫，這些計算機無法識別的字符都有可能出現問題，因此需要用base編碼。

同時也要注意，用base64編碼時，主要base64中的‘+’、‘/’及最后自動生成的占位符‘=’，這些都是在url中的特殊字符，在存入url時會產生異議，因此需要做額外的特殊處理。