简书的文章
https://www.jianshu.com/p/e0ac7c3067eb
Token机制
在这样的流程下,我们需要考虑下面几个问题:
- 服务端如何根据token获取用户的信息?
- 如何确保识别伪造的token?
这里是指token不是经过服务端来生成的。 - 如何应付冒充的情况?
非法客户端拦截了合法客户端的token,然后使用这个token向服务端发送请求,冒充合法客户端。
防伪造
一般情况下,建议放入token的数据是不敏感的数据,这样只要服务端使用私钥对数据生成签名,然后和数据拼接起来,作为token的一部分即可。比如JWT,参考JSON Web Token - 在Web应用间安全地传递信息。
在我知道JWT之前,我先了解的是另一种模式。基于加密的算法,对数据进行加密,把加密的结果作为token。
本文主要讨论后一种模式。
防冒充
加干扰码
服务端在生成token时,使用了客户端的UA作为干扰码对数据加密,客户端进行请求时,会同时传入token、UA,服务端使用UA对token解密,从而验证用户的身份。
如果只是把token拷贝到另一个客户端使用,不同的UA会导致在服务端解析token失败,从而实现了一定程度的防冒充。但是攻击者如果猜到服务端使用UA作为加密钥,他可以修改自己的UA。
有效期
给token加上有效期,即使被冒充也只是在一定的时间段内有效。这不是完美的防御措施,只是尽量减少损失。
服务端在生成token时,加入有效期。每次服务端接收到请求,解析token之后,判断是否已过期,如果过期就拒绝服务。
token刷新
如果token过期了,客户端应该对token续期或者重新生成token。这取决于token的过期机制。
- 服务器缓存token及对应的过期时间
这个时候就可以采用续期的方式,服务器更新过期时间,token再次有效。 - token中含有过期时间
这个时候需要重新生成token。
在token续期或者重新生成token的时候,需要额外加入数据来验证身份。因为token已经过期了,即token已经不能用来验证用户的身份了。这个时候可以请求用户重新输入账号和密码,但是用户体验稍差。
另一种方式是使用摘要。服务端生成token,同时生成token的摘要,然后一起返回给客户端。客户端保存摘要,一般请求只需要用到token,在刷新token时,才需要用到摘要。服务端验证摘要,来验证用户的身份。因为摘要不会频繁的在客户端和服务端之间传输,所以被截取的概率较小。
作者:heyikan
链接:https://www.jianshu.com/p/e0ac7c3067eb
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
作者:heyikan
链接:https://www.jianshu.com/p/e0ac7c3067eb
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
外国人的博文(关于 Token,你应该知道的十件事)
https://auth0.com/blog/ten-things-you-should-know-about-tokens-and-cookies/
翻译成中文
http://ju.outofmemory.cn/entry/134189
网友的讨论
更多的详见:
http://www.slideshare.net/derekperkins/authentication-cookies-vs-jwts-and-why-youre-doing-it-wrong