如何理解Token以及它的安全性

最新推荐文章于 2024-06-27 12:55:49 发布
最新推荐文章于 2024-06-27 12:55:49 发布
阅读量1.8k 收藏 3
点赞数 3
文章标签: 后端 网络安全 http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59602613/article/details/126173113
版权

这里有关为什么使用token而不是session等我就不再一一赘述啦。我主要是想从它的格式以及安全机制两方面入手进行说明。

格式

众所周知,token由三部分组成——头部(head)、荷载(payload)、签名(signature)。

未经过编码的token格式:x.y.z(这里xyz表示三种不同字符串)

header

经过解码后,头部就是一个json格式数据,alg表示使用的加密算法 typ表示使用的token的类型,使用base64加密(能被解密)。

这里可以再补充一下什么是base64加密吧!

 payload

这里面的内容就是比较多的了,可以分为3种类型

        1、官方预定义

       2、使用者自定义

我们可以将用户的一些基本信息放在其中,例如唯一标识等字段

       3、私密使用者自定义

可以传输一些线下约定好的数据(其实这里我也不知道是什么意思)

signature

这就是核心部分,能够由头部+荷载+公私钥组成,能够选择算法进行加密。一般推荐不可逆算法如:MD5,RSA等

安全机制

是否存在获取token信息可能?

        在https中应该不是大可能的,如果在http中,首先我们需要知道payload中放的大都是唯一标识,设备号等信息,那么我们可以考虑使用密钥将整个token进行加密,接收方再通过密钥进行解密(需要线下商量)

如果篡改token信息怎么办?

        这里我提供的思路是:首先将第一次颁发的token的签名用redis存储起来(过期时间可以与token一致),在后续通信中获取签名,也就是上面所说的z部分,因为一旦涉及到修改数据就会导致签名发生改变。我们在服务端将拿到的token经行加密,与redis中指定的签名进行比对校验。

这里再说一嘴:在学习过程中遇到了两款还不错的token框架auth0和jsonwebtoken,下面附上两者的区别和优缺点

Token插件:Auto0和jsonwebtoken对比 - it610.com

还在路上的咩
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
mgc token钱包安全性说明
04-11
安全性的角度阐述mgc token的价值,让用户更加放心使用
WEB安全之Token浅谈
sum_rain的专栏
07-05 7797
Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件
前端面试题-token的存放位置
最新发布
m0_62300955的博客
06-27 576
前端面试题:token
token安全性和可靠性
dbeidouxingf的博客
07-19 540
只需拿出店家上次给你的,有你名字或id的卡刷一下就能进,卡的安全性防伪性由店家进行设计实现) 保证了用户关键信息的安全性。根据token的原理来说, 前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致,服务器可以通过对比用户携带的token和服务器根据用户信息查找到的token比对,从而确定身份正确性。cookie也可以存储用户信息,但是在请求任意网址的时候都会被携带,容易被虚假钓鱼网站引诱泄露cookie中的关键信息。而token可以在ajax请求中选择携带。
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 2383
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token安全性
如何保证token的安全
z_ssyy的博客
04-27 1242
客户端第一次访问时,将签名sign存放到缓存服务器中,超时时间设定为跟时间戳的超时时间一致,二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次。将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。如果有人劫持了请求,并对请求中的参数进行了修改,签名就无法通过;
WebApi安全性 使用TOKEN+签名验证.zip
07-19
做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api  3.服务器端每次接收到请求就获取对应用户的...
Token生成规则以及工具相关代码
06-26
3. **有效期**:Token通常有一个过期时间,过期后需要重新获取,增加了安全性,防止长期未使用的Token被滥用。 4. **数据加密**:Token的内容可能需要经过加密处理,确保即使Token被盗取,也无法解读其中的信息。 ...
token刷新token刷新token刷新
04-09
总结来说,"Token刷新"是现代Web应用和API安全中的重要概念,它涉及到用户会话的持续性、身份验证的安全性以及用户体验。理解和实现有效的Token刷新机制对于任何IT专业人员来说都是至关重要的。
JWT 网关TOKEN 加密
05-15
本文将探讨一种针对网关TOKEN的加解密方案,旨在在不对系统造成过多侵入的情况下提高安全性。 首先,我们需要了解当前系统中的问题。在现有的JWT令牌中,它通常由三部分组成:头部、载荷和签名。这些部分可以被分解...
token机制详说
Blue
03-09 2173
token机制详说
十次方——加密与初识JWT
哈喽羊
03-29 587
一. BCrypt密码加密 任何应用考虑到安全,绝不能明文的方式保存密码。密码应该通过哈希算法进行加密。有很多标准的算法比如SHA或者MD5,结合salt(盐)是一个不错的选择。 Spring Security提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强哈希方法来加密密码。BCrypt强哈希方法 每次加密的结...
需要token的原因----
kjl536566的博客
12-20 635
因此,在实际应用中,需要采取一些措施来保护JWT的安全性,例如限制JWT的过期时间、使用HTTPS协议传输等。另外,JWT的负载中可以包含一些敏感信息,如用户的身份和权限等,但这些信息不会被篡改,因为JWT的签名保证了其完整性和真实性。综上所述,JWT本身是安全的,但在使用过程中需要注意密钥的安全性、JWT的使用场景和限制,以及采取适当的措施来保护JWT的安全性。在实际应用中,需要注意JWT的安全性,采取一些措施来保护JWT的安全性,例如限制JWT的过期时间、使用HTTPS协议传输等。
彻底搞懂Cookie、Session、Token到底是什么?
Java 架构师之路
06-30 1320
作者:不学无数的程序员来源:http://39sd.cn/DC6C6Cookie洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛...
Token介绍
magic_hat的博客
08-14 8378
Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识
stoken 的使用
小青青的技术之家
02-23 4930
点击打开链接 原型编辑 char *strtok(char s[], const char *delim); 2功能编辑 分解字符串为一组字符串。s为要分解的字符串,delim为分隔符字符串。 例如:strtok("abc,def,ghi",","),最后可以分割成为abc def ghi.尤其在点分十进制的IP中提取应用较多。 3说明编辑 strtok()用来将字符串分
基于token的认证
最大努力的博客
08-06 4202
传统的认证系统 1.用户在登录域输入用户名和密码,然后点击登录 2.请求发送之后,通过在后端查询数据库验证用户的合法性。如果请求有效,使用在数据库得到的信息创建一个session,然后在响应头信息中返回这个session的信息,目的是把这个session ID存储在浏览器中 3.在访问应用中受限制的后端服务器提供这个session信息 4.如果session信息有效,允许用户访问受限制的后...
Cookie的理解
liulang68的博客
10-03 387
Web应用程序是使用HTTP协议传输数据的。而HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话,无法辨别这个请求是哪一个用户发出的,这样的话就会造成数据混乱,用户的数据没有安全的保障,整个程序处于混乱的状态,这显然是不行的——于是会话跟踪技术应运而生,弥补了HTTP协议的不足之处。 会话跟踪是web程序中最常用的技术,通过跟踪用户的整个会话,来辨别是否是同一用户,用于确认用户的身份,保证用户所有的请求操作都属于同
Token安全性和有效期管理怎么实现
07-13
为了确保Token安全性和有效期管理,可以考虑以下几个方面的实现方法: 1. 使用加密算法:在生成Token时,可以使用加密算法对Token进行加密,增加Token安全性。常见的加密算法包括MD5、SHA1、SHA256等。在验证Token时,需要对传入的Token进行解密并比对。 2. 设置Token的有效期:可以为Token设置一个有效期,超过有效期的Token将被认为是无效的。可以通过在Token中添加过期时间字段或者在服务端进行定时清理来实现。 3. 使用JWT(JSON Web Token):JWT是一种轻量级的身份验证和授权机制,它将用户信息以JSON格式存储在Token中,并使用签名保证Token的完整性和安全性。JWT中包含了过期时间等信息,可以轻松实现Token的有效期管理。 4. 使用黑名单机制:当用户注销或者修改密码时,可以将相应的Token加入到黑名单中,禁止该Token继续使用。 5. 监控和限制Token的使用频率:可以通过监控Token的使用情况,限制同一个Token在一段时间内的请求次数,以防止恶意攻击或滥用。 6. HTTPS协议:在传输Token时,使用HTTPS协议加密通信,以防止Token被拦截和篡改。 综合考虑以上安全措施,可以提高Token安全性和有效期管理。同时,根据具体应用场景和安全需求,可能需要结合其他方式来进一步加强Token安全性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值