简单聊一聊Cookie、Session、Token、JWT的区别和作用 - SegmentFault 思否
Token 认证的来龙去脉:Token 认证的来龙去脉 - SegmentFault 思否 首看
JSON Web Token 入门教程:JSON Web Token 入门教程 - 阮一峰的网络日志
OAuth 2.0 获取令牌的四种方式: OAuth 2.0 的四种方式 - 阮一峰的网络日志
跨域资源共享 CORS 详解:跨域资源共享 CORS 详解 - 阮一峰的网络日志
XSS攻击进阶篇:【干货分享】XSS攻击进阶篇——那些年我们看不懂的XSS – 绿盟科技技术博客
跨域:不要再问我跨域的问题了 - SegmentFault 思否
Token和JWT的区别_风神修罗使的博客-CSDN博客_jwt和token
前后端分离实践: 前后端分离实践 - SegmentFault 思否
基于django-rest-framework的JWT的登陆与认证流程:https://blog.csdn.net/Newbietan/article/details/80505403
后续。。。。。
token组成:uid(用户唯一的身份标识)+time(当前时间的时间戳)+sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,防止第三方恶意拼接token请求服务器)
公钥和私钥是成对的,它们互相解密,1:公钥加密,私钥解密,2:私钥数字签名,公钥验证
签名过程:
发送报文时,将报文文本用哈希函数生成报文摘要,用私钥对报文摘要加密后作为报文的数字签名,接收时,在用相同的哈希函数对接收到的报文进行运算得到摘要,再用公钥对签名解密,比较两个摘要是否相同。
令牌(token)与密码(password)区别
1:令牌是短期的,到期会自动失效,用户自己无法修改,密码一般长期有效,用户不修改,就不会发生变化。
2:令牌可以被数据所有者撤销,会立即失效。
3:令牌有权限范围,对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。
注意,只要知道了令牌,就能进入系统。系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的。 这也是为什么令牌的有效期,一般都设置得很短的原因,OAuth 2.0 对于如何颁发令牌的细节,规定得非常详细。具体来说,一共分成四种授权类型(authorization grant),即四种颁发令牌的方式。