Token总结

最新推荐文章于 2021-12-24 11:10:51 发布
最新推荐文章于 2021-12-24 11:10:51 发布
阅读量472 收藏 1
点赞数

转载自:https://mp.weixin.qq.com/s/DkwfpZibKdllfm0lpxukWg

 

Token 能解决哪些问题呢?有如下几点:

  • Token 完全由应用管理,所以它可以避开同源策略。

  • Token 可以避免 CSRF 攻击(http://dwz.cn/7joLzx)。

  • Token 可以是无状态的,可以在多个服务间共享。

 

解决token失效问题

  •     方案一:在服务器端保存 Token 状态,用户每次操作都会自动刷新(推迟) Token 的过期时间(Session也是这样干的

        同时通过把 Token 的过期时保存在缓存或者内存中,来提升效率

  •    方案二: 使用 Refresh Token,它可以避免频繁的读写操作。 一旦 Token 过期,就反馈给前端,前端使用 Refresh Token 申请一个全新 Token 继续使用

 

有状态token: 在服务端需要保存并记录相关属性

无状态token: 把所有状态信息都附加在 Token上, 服务器就可以不保存。但是服务端仍然需要认证 Token 有效。

    只要服务端能确认是自己签发的 Token,而且其信息未被改动过,那就可以认为 Token 有效——用“签名”作保证

    签名: 一方签发,另一方验证,用非对称加密算法

        改进: 签发和验证都是同一方,用 对称加密算法就行

            改进: 对称加密算法除了加密,还带有还原加密内容的功能,而token验证不需要解密,使用摘要(散列)算法                      HMAC更好。

            JWT 已经定义了详细的规范,不需要自己实现

   

无状态token: 服务端虽然不保存有效的 Token 了,却需要保存未到期却已注销的 Token。

解决方法:

    1. 在前端可控的情况下, 可以协商:前端一旦注销成功,就丢掉本地保存(比如保存在内存、Local Storage 等)的 Token     和 Refresh Token。

    2. 如果前端不可控的情况, 需要尽量缩短 Token 的有效期,而且必须在用户主动注销的情况下让 Refresh Token 无效

 

在使用无状态 Token 的时候,有两点需要注意:

  • Refresh Token 有效时间较长,所以它应该在服务器端有状态,以增强安全性,确保用户注销时可控。

  • 应该考虑使用二次认证来增强敏感操作的安全性。


分离认证服务

    认证服务器和业务服务器采用相同的密钥和算法来来认证token( 建立在认证服务器信任业务服务器的前提下 )

 

不受信的业务服务器

   认证服务器使用密钥 1 签发,业务服务器使用密钥 2 验证---- 非对称加密签名

    认证服务器自己使用私钥对 Token 签名,公开公钥。信任这个认证服务器的业务服务器保存公钥,用于验证签名。

    JWT 可使用 RSA(一种非对称加密算法)签名。

    存在问题: 多个业务服务器之间使用相同的 Token 对用户来说是不安全的。

    解决方案: 在认证服务器产生 Token 的时候,把使用该 Token 的业务服务器的信息记录在 Token 中。 另一个业务服务器         可以发现它不是自己应该验证的 Token

    存在问题: 用户的不信任问题,用户无法确定自己要授权的应用是否安全

    解决方案: 认证服器不公开公钥,要求业务服务先申请注册并通过审核, 只有通过审核的业务服务器才能得到认证服务为它         创建的,仅供它使用的公钥。(比如QQ互联)

    如果用户还是不够信任,认证服务甚至可以问,某某某业务服务需要请求  A、B、C 三项个人数据,其中 A 是必须的,不然      它不工作,是否允许授权?如果你授权,我就把你授权的几项数据加密放在 Token 中……(就是token中的scope字段)

废话了这么多,有没有似曾相识……对了,这类似开放式 API 的认证过程。开式 API 多采用 OAuth 认证,而关于 OAuth 的探讨资源非常丰富,这里就不深究了。

jintian1529
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Token学习小结
Jerry的专栏
11-03 881
前言最近一段时间研究了Django中基于token的用户验证机制,在Django的文档中,只是简单的提到可以通过token自定义用户验证系统,于是在github上找到Django-tokenapi,将它在自己的项目上进行了安装与测试,同事详细读了它的代码。Django-tokenapi中token的加密方式代码分析在token生成中,可以有不同的构成方式,在Django-tokenapi中源码如下
token
qq_820648091的博客
06-03 460
Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token? 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? Token 完全由...
Token验证登录状态的简单实现
qq_28358461的博客
08-17 428
https://www.jianshu.com/p/25402229376e
Token笔记
zero_cctv的博客
03-24 208
博客园大佬
深入理解token
一摩尔自由的博客
02-11 1392
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Toke...
cookie、session、token、JWT
weixin_42728957的博客
07-08 631
HTTP是无状态的协议,就是说他对事务处理没有记忆能力,每次客户端和服务端话完成时,服务端不保存任何话信息。每个请求都是完全独立的,服务端无法确认当前访问者身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。 所以服务器与浏览器为了进行话跟踪(知道是谁在访问我?),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自于同一个浏览器,而这个状态需要通过cookie或者session去实现。 cookie cookie是一种记录服务器和客户端话状态的...
tokentokentoken
最新发布
04-09
总结来说,"Token"是现代Web应用和API安全中的重要概念,它涉及到用户话的持续性、身份验证的安全性以及用户体验。理解和实现有效的Token机制对于任何IT专业人员来说都是至关重要的。
基于acess_token和refresh_token实现token续签
03-19
总结,基于acess_token和refresh_token的续签机制提供了一种平衡安全性和用户体验的方式。它允许用户在不重输入凭证的情况下保持话活跃,同时限制了令牌被盗用的风险。在实际应用中,开发者应根据应用的具体需求...
JWT Token生成及验证
07-16
### 总结 JWT Token在C#中的生成与验证涉及到JWT标准的原理、C#库的使用以及安全实践。理解并正确实施这些概念,对于构建安全、高效的Web应用至关重要。通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在...
PHP token验证生成原理实例分析
10-16
总结来说,PHP中的Token验证是一个关键的安全措施,通过生成和验证随机字符串,确保请求的合法性,从而保护Web应用程序免受CSRF攻击。开发者在实现Token验证时,应考虑到时效性、一次性以及与服务器端数据的匹配,...
爬虫技术之跟踪各大网站的生成token的js代码.zip
12-23
爬虫技术之跟踪各大网站的生成token的js代码.zip 京东,百度,腾讯QQ,linkedin
JWT Token生成及验证(源码)
04-12
JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,广泛...总结来说,这个压缩包包含了一个关于JWT Token生成和验证的示例项目,你可以通过研究代码来学习如何在实际应用中安全地使用JWT进行身份验证和授权。
token失效自动刷
qq_42024195的博客
12-29 3308
前言 在开发过程中,我们都接触到token(令牌),为什么要用token呢?主要的作用就是为了安全,用户登录时,服务器返回一个有时效性的token,用户的每一次请求都需要携带上token,服务器验证token的有效性。 需求 在用户登录后给前端发送一个token,并且有效期为72个小时。当token失效时: 1、用户处于非活跃状态(关闭浏览器),当用户再次访问网站时,需要重登录。 ...
安全开发 | 如何让Django框架中的CSRF_Token的值每次请求都不一样
weixin_30312659的博客
10-12 418
前言 用过Django 进行开发的同学都知道,Django框架天然支持对CSRF攻击的防护,因为其内置了一个名为CsrfViewMiddleware的中间件,其基于Cookie方式的防护原理,相比基于session的方式,更适合目前前后端分离的业务场景,但美中不足的是,其生成的csrf_token一个session周期中是不变,这对于一些特定的业务场景,显然有点遗憾。 为了弥补这个遗憾,本文...
cookie、session、token
JohnZhongJob的博客
09-07 359
首先我们需要了解,HTTP是一个无状态协议。也就是说,这一次请求和上一次请求时没有任何关联的。这种无状态的好处是快速,缺点是我们想要不两次请求联系起来必须另外的手段或者工具了。 cookie和session 由于http的无状态性,为了使某个域名下的所有网页能够共享某些数据,session和cookie出现了。客户端访问服务器的流程如下: 首先,客户端发送一个http请求到服务器端...
token过期机制
qq_44677753的博客
12-24 5934
第一种方案:在服务器端保存 Token 状态,用户每次操作都自动刷(推迟) Token 的过期时间。 该方案在前后端分离的情况下,每秒可能发起很多次请求,每次都去刷过期时间产生非常大的代价。如果 Token 的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率,减少消耗,Token 的过期时保存在缓存或者内存中。 第二种方案:使用 Refresh Token,它可以避免频繁的读写操作。这种方案中,服务端不需要刷 Token 的过期时间,一旦 Token 过期,就反馈给
Token 认证的来龙去脉
weixin_33777877的博客
11-06 549
不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token? 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? Token 完全由应用管理,所以它可以避开同源策略 Token 可以避免CSRF 攻击 Token...
token身份验证,解决refresh_token多次刷问题
m0_55141616的博客
11-02 1万+
基于Token的身份验证的基本过程如下: 1.用户通过用户名和密码发送请求。 2.服务器端程序验证。 3.服务器端程序返回一个带签名的token给客户端。 4.客户端储存token,并且每次访问都携带token到服务器端的。 5.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码跳转重登录。 使用refresh token的身份验证操作: 但是如果用户在正常操作的过程中,token过期失效了,要求用户重登录,对用户的体验很不好。 使用refresh token
Token的作用及原理
热门推荐
StarFishing
12-12 1万+
Token 是在服务端产生的,如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 为什么要用 Token? 要回答这个问题很简单,因为它能解决问题! Token 能解决哪些问题呢?有如下几点: Token 完全由应用管理,所以它可以避开同源策略。 Token 可以避免 CSRF 攻击(ht...
SpringSecurity 校验token
08-30
Spring Security可以通过校验token来实现权限的校验。在Spring Security中,可以通过自定义实现UserDetailsService接口的类来加载用户信息,并在loadUserByUsername方法中进行token的验证。具体步骤如下: 1. 创建一个实现UserDetailsService接口的类,在该类中重写loadUserByUsername方法,方法参数为token。 2. 在loadUserByUsername方法中,可以根据token从数据库或其他存储中获取用户信息,并创建一个UserDetails对象。可以使用token来验证用户的身份并获取相应的用户权限。 3. 在loadUserByUsername方法中,可以通过调用UserDetails对象的相关方法来设置用户的权限和其他相关信息。 4. 将创建好的UserDetails对象返回。 通过以上步骤,Spring Security就可以通过校验token来实现权限的校验。需要注意的是,具体的token校验逻辑和存储方式可以根据项目需求进行自定义实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [SpringSecurity](https://download.csdn.net/download/weixin_42561846/12879985)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [spring security多种校验方式及自实现token总结](https://blog.csdn.net/earthsomeday/article/details/90314067)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值