本文讲述了服务端如何通过Token进行身份验证,包括Token的生成、存储和携带,以及JWT(JsonWebToken)的使用,介绍了HS256、RS256和ES256的不同算法及其适用场景。强调了Token的有效期管理和安全性问题。
##Token
Token 是在服务端产生的一串字符串。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。
基于 Token 的身份验证,在服务端不需要存储用户的登录记录:
####token流程
- 1.客户端使用用户名跟密码请求登录
- 2.服务端收到请求,去验证用户名与密码
- 3.验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 - 4.客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
APP登录的时候发送加密的用户名和密码到服务器,服务器验证用户名和密码,如果成功,以某种方式比如随机生成32位的字符串作为token,存储到服务器中,并返回token到APP,以后APP请求时凡是需要验证的地方都要带上该token,然后服务器端验证token,成功返回所需要的结果,失败返回错误信息,让他重新登录。其中服务器上token设置一个有效期,每次APP请求的时候都验证token和有效期
- Token 都需要设有效期。根据系统的安全需要,尽可能的短
###JWT
JWT (全称:Json Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为 JSON 对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
上面说法比较文绉绉,简单点说就是一种认证机制,让后台知道该请求是来自于受信的客户端。
####algorithms是配置算法
HS256 使用同一个「secret_key」进行签名与验证(对称加密)。一旦 secret_key 泄漏,就毫无安全性可言了。
因此 HS256 只适合集中式认证,签名和验证都必须由可信方进行。
传统的单体应用广泛使用这种算法,但是请不要在任何分布式的架构中使用它!
RS256 是使用 RSA 私钥进行签名,使用 RSA 公钥进行验证。公钥即使泄漏也毫无影响,只要确保私钥安全就行。
RS256 可以将验证委托给其他应用,只要将公钥给他们就行。
ES256 和 RS256 一样,都使用私钥签名,公钥验证。算法速度上差距也不大,但是它的签名长度相对短很多(省流量),并且算法强度和 RS256 差不多
800
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
