Token用于身份验证,不直接传递用户信息,而是携带服务器签发的唯一证明。它由header、payload和signature三部分组成,其中signature确保内容未被篡改。相比cookie,token在AJAX请求中更安全,不会在所有请求中自动发送。
安全性
token不用来直接传递用户信息,而是携带一个服务器发布的唯一性证明(即令牌)来识别身份。(类似你去店家,不用再次敲门开门芝麻开门;只需拿出店家上次给你的,有你名字或id的卡刷一下就能进,卡的安全性防伪性由店家进行设计实现) 保证了用户关键信息的安全性。
token原理
token一般都3部分组成:
- header头部:保存JWT加密算法如HS256、类型
- payload荷载:保存用户特征信息,如昵称、id,默认还携带令牌签发时间iat。但是不要保存关键隐私信息,如密码。因为这段的加密并不是关键,可能被破解
- signature签名:服务器提供一个secretKey,加上base64加密过的header和payload,再用header中声明的加密算法进行整体加密。具体公式如下:
signature = HMACSHA256(base64Url(header)+.+base64Url(payload),secretKey)
这3部分通过’.'连接,组成完整token。一个使用JWT生成的token如下:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjEiLCJ1c2VybmFtZSI6IjIiLCJhZG1pbiI6ZmFsc2UsImlhdCI6MTY4OTczOTQxNX0.V8h9ubpEpP49Ip2ADhINunx7yUB9zsQsYgbiVXg-5nI
可靠性
根据token的原理来说, 前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致,服务器可以通过对比用户携带的token和服务器根据用户信息查找到的token比对,从而确定身份正确性。
可靠性由服务器保存的加密关键字进行确认
相较cookie认证
cookie也可以存储用户信息,但是在请求任意网址的时候都会被携带,容易被虚假钓鱼网站引诱泄露cookie中的关键信息。
而token可以在ajax请求中选择携带。
扫一扫
390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
