问题是旧的,技术已经发展,这是目前的状态:
JSON Web Token(JWT)是一种基于JSON的开放标准(RFC 7519),用于在Web应用程序环境中的各方之间传递声明。令牌设计紧凑,URL安全,尤其适用于Web浏览器单点登录(SSO)环境。
https://en.wikipedia.org/wiki/JSON_Web_Token
的 基于令牌(安全/认证) 强>
意味着为了让我们证明我们可以访问,我们首先必须接收令牌。在现实生活中,令牌可能是建筑物的入口卡,它可能是锁定房屋的钥匙。为了让您检索办公室的钥匙卡或家中的钥匙,您首先需要证明您的身份,并且您实际上确实可以访问该令牌。它可能就像向某人显示您的ID或给他们一个秘密密码一样简单。所以想象一下,我需要进入我的办公室。我去安全办公室,向他们展示我的身份证,他们给了我这个令牌,让我进入大楼。现在,只要我有我的令牌,我就可以不受限制地在建筑物内做任何我想做的事情。
的 基于令牌的安全性有什么好处? 强>
如果我们回想一下不安全的API,我们在这种情况下必须做的就是我们必须为我们想做的一切提供密码。
的 想像 强> 每当我们进入办公室的门时,我们都必须给坐在门口的每个人密码。现在这将是非常糟糕的,因为这意味着我们办公室内的任何人都可以拿走我们的密码并冒充我们,这非常糟糕。相反,我们所做的是我们检索令牌,当然还有密码,但我们从一个人那里检索。然后我们可以在建筑物内的任何地方使用此标记。当然,如果我们丢失令牌,我们就会遇到同样的问题,就好像其他人知道我们的密码一样,但这会导致我们如何确保如果我们丢失令牌,我们可以撤销访问权限,也可能撤销令牌不应该活超过24小时,所以第二天我们来办公室,我们需要再次显示我们的身份证。但是,我们只会向一个人展示身份证,这就是我们检索令牌的保安人员。
它只是与数据库中的用户或其他方式相关联的哈希。该令牌可用于授权用户访问应用程序的其他相关内容。要在客户端登录检索此令牌,则需要登录。首次登录后,您需要保存检索到的令牌而不是任何其他数据,如会话,会话ID,因为这里所有内容都是令牌以访问其他应用程序资源。
令牌用于确保用户的真实性。
当您注册新网站时,通常会向您发送一封电子邮件以激活您的帐户。该电子邮件通常包含单击的链接。该链接的一部分包含令牌,服务器知道此令牌并可将其与您的帐户相关联。令牌通常具有与之关联的到期日期,因此您可能只有一个小时点击该链接并激活您的帐户。对于cookie或会话变量,这一切都不可能,因为它不知道客户用来检查电子邮件的设备或浏览器。
一个 token 只是一个数据 Server X 可能已经创建,并且包含足够的数据来识别特定用户。
token
Server X
您可以提供您的登录信息并询问 Server X 为一个 token ;然后你可以展示你的 token 并问 Server X 执行一些特定于用户的操作。
Token 使用来自密码学领域的各种技术的各种组合以及来自更广泛的安全研究领域的输入来创建s。如果你决定去创建自己的 token 系统,你最好是非常聪明。
Token
我认为这是很好的解释 这里 - 仅引用长文章的关键句子:
背后的一般概念 基于令牌的身份验证系统 简单。允许用户输入他们的 用户名和密码以便 获得允许他们的令牌 获取特定资源 - 没有 使用他们的用户名和密码。 获得令牌后, 用户可以提供令牌 - 哪个 提供对特定资源的访问 一段时间 - 到遥控器 现场。
换句话说:为身份验证添加一个间接级别 - 而不是必须使用每个受保护资源的用户名和密码进行身份验证,用户验证一次(在有限持续时间的会话内),获得时间限制令牌作为回报,并在会话期间使用该令牌进行进一步的身份验证。
优点很多 - 例如,用户可以在获得令牌后将令牌传递给他们愿意在有限时间和有限资源集合中信任的其他自动化系统,但是 的 不 强> 愿意信任他们的用户名和密码(即,他们被允许访问的所有资源,永远或至少在他们更改密码之前)。
如果仍然不清楚,请编辑您的问题以澄清您不是100%明确的,我相信我们可以进一步帮助您。
从 Auth0.com
基于令牌的身份验证依赖于发送到的签名令牌 每个请求上的服务器。 使用基于令牌的方法有什么好处? 的 跨域/ CORS: 强> cookies + CORS在不同的域中不能很好地发挥作用。基于令牌的方法允许您制作AJAX 因为您使用HTTP标头,所以在任何域上调用任何服务器 传输用户信息。 的 无状态(a.k.a.服务器端可扩展性): 强> 不需要保留会话存储,令牌是一个传递所有用户信息的自包含实体。该州的其他地方居住在客户端的cookie或本地存储中。 的 CDN: 强> 您可以通过CDN(例如javascript,HTML,图片等)提供应用的所有资源,而您的服务器端只是API。 的 解耦: 强> 您不依赖于任何特定的身份验证方案。令牌可能在任何地方生成,因此您的API可以 可以通过单一方式对这些进行身份验证 调用。 的 移动就绪: 强> 当你开始在原生平台(iOS,Android,Windows 8等)上工作时,使用cookie时,cookie并不理想 基于令牌的方法简化了这一过程。 的 CSRF: 强> 由于您不依赖于cookie,因此您无需防止跨站点请求(例如,不可能 同步您的站点,生成POST请求并重新使用现有的身份验证cookie,因为没有)。 的 性能: 强> 我们这里没有提出任何硬性的基准测试,而是网络往返(例如在数据库上查找会话) 可能比计算HMACSHA256需要更多的时间 验证令牌并解析其内容。
基于令牌的身份验证依赖于发送到的签名令牌 每个请求上的服务器。
使用基于令牌的方法有什么好处?
的 跨域/ CORS: 强> cookies + CORS在不同的域中不能很好地发挥作用。基于令牌的方法允许您制作AJAX 因为您使用HTTP标头,所以在任何域上调用任何服务器 传输用户信息。
的 无状态(a.k.a.服务器端可扩展性): 强> 不需要保留会话存储,令牌是一个传递所有用户信息的自包含实体。该州的其他地方居住在客户端的cookie或本地存储中。
的 CDN: 强> 您可以通过CDN(例如javascript,HTML,图片等)提供应用的所有资源,而您的服务器端只是API。
的 解耦: 强> 您不依赖于任何特定的身份验证方案。令牌可能在任何地方生成,因此您的API可以 可以通过单一方式对这些进行身份验证 调用。
的 移动就绪: 强> 当你开始在原生平台(iOS,Android,Windows 8等)上工作时,使用cookie时,cookie并不理想 基于令牌的方法简化了这一过程。
的 CSRF: 强> 由于您不依赖于cookie,因此您无需防止跨站点请求(例如,不可能 同步您的站点,生成POST请求并重新使用现有的身份验证cookie,因为没有)。
的 性能: 强> 我们这里没有提出任何硬性的基准测试,而是网络往返(例如在数据库上查找会话) 可能比计算HMACSHA256需要更多的时间 验证令牌并解析其内容。
令牌是由服务器创建的一段数据,包含用于标识特定用户和令牌有效性的信息。令牌将包含用户的信息,以及用户可以使用支持身份验证的每种方法传递给服务器的特殊令牌代码,而不是直接传递用户名和密码。
基于令牌的身份验证是一种安全技术,它使用服务器提供的安全令牌对尝试登录服务器,网络或其他安全系统的用户进行身份验证。
如果用户可以通过传递安全令牌向服务器证明他或她是有效用户,则认证成功。该服务验证安全令牌并处理用户请求。
在服务验证令牌之后,它用于为客户端建立安全上下文,因此服务可以为连续的用户请求做出授权决策或审计活动。
访问来源