注册
登录
云鉴权
在nodejs中生存令牌的安全时间
返回
在nodejs中生存令牌的安全时间
作者:
故人
发布时间:
2024-12-11 08:53:30 (2月前)
转自:
<div class =“excerpt”> 我在nodejs中实现了a <span class =“result-highlight”> 安全 </跨度> <span class =“result-highlight”> 代币 </跨度> 对于仅通过ajax请求进行通信的API。 每次请求一个 <span class =“result-highlight”> 安全 </跨度> <span class =“result-highlight”> 代币 </跨度> 发送,如果这样 <span class =“result-highlight”> 代币 </跨度> 存在,生成并发送一个新的...和B),它们都发送相同的 <span class =“result-highlight”> 安全 </跨度> <span class =“result-highlight”> 代币 </跨度> ,A在B之前结束,从而更新 <span class =“result-highlight”> 代币 </跨度> 因此,在B之前 <span class =“result-highlight”> 代币 </跨度> 传递给B的是在这种情况下无效,因为它被A无效。 我怎样才能克服这个问题? 我该如何重新实现呢? ... </DIV>
收藏
举报
2 条回复
0#
回复此人
尼拉。
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您可以使用由两部分构成的令牌:一个在客户端和服务器之间共享,另一个基于某个外部参数。 <BR/> 你甚至不必 <EM> 更新 </EM> 它。 </p> <P> 例如,假设客户端和服务器共享一个名为的数字令牌 <code> t </code> 并且他们在第一次通话期间(登录,用户创建,无论你想要什么)同意该令牌。 <BR/> 当他们创建令牌时,他们也设置了一个计数器 <code> c </code> 至 <code> 0 </code> 并创造一对夫妇 <code> p = <t, c> </code> 那就是 <EM> 当前 </EM> 令牌(或更好,最后见过)。 <BR/> 他们绝不能在任何请求中明确地发送令牌或计数器。 </p> <P> 当客户端想要向服务器发送消息时,步骤如下: </p> <UL> <LI> 创建新值 <code> v = t*c </code> </LI> <LI> 更新 <code> p </code> 如 <code> <t,c+1> </code> </LI> <LI> 使用生成的令牌发送请求 <code> v </code> </LI> </UL> <P> 每个请求都有一个唯一的实际令牌。 </p> <P> 要验证服务器上的令牌,步骤如下: </p> <UL> <LI> 计算一套 <EM> 接受代币 </EM> <code> aN </code> 如下: <UL> <LI> <code> a0 = v*(c-N/2) </code> (哪里 <code> c' = (c-N/2) </code> ) </LI> <LI> <code> a1 = v*(c-N/2+1) </code> </LI> <LI> ... </LI> <LI> <code> aN = v*(c+N/2-1) </code> </LI> </UL> </LI> <LI> 如果存在 <code> aM </code> 等于收到的令牌,然后接受请求 </LI> <LI> 如果请求已被接受,请相应地更新计数器服务器端 <code> c' </code> 用来创造所选择的 <code> aM </code> 大于当前 <code> c </code> </LI> </UL> <P> 这样,可以很好地处理并发请求,并且您不必显式更新令牌。 </p> <P> 每当请求失败时,客户端都可以决定重置共享令牌 <code> t </code> 和柜台 <code> c </code> 以某种方式使用专用端点。 <BR/> 服务器可以简单地拒绝不存在有效的请求 <code> aM </code> 在计算集中,这就是全部。 </p> <P> 当然,你必须能够以某种方式存储这些令牌。 </p> </DIV>
编辑
登录
后才能参与评论
