-
移动端为什么使用token
-
token是什么
-
安全隐患
-
成熟的方案
autho2.0
其实token和session不是同一个领域的概念。token是一个字符串,而session是指一个会话,两者既不冲突又不可互相替代。
Token本身由oauth系列引入后才大规模普及的。主要目的是支持SSO,也就是单点登录。
token是服务端生成的一串字符串,以作客户端进行请求的一个令牌。当第一次登陆后,服务器生成一个token便将此token返回个客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码
app登录后,服务端返回一个token,app存在客户端,下次再打开app时,直接读token,传token到服务端做验证,免去重新输入用户密码的麻烦,这个token存储在header里,目前看大多数app都是这样做,但如果黑客抓包获取到token,伪造http 请求,对服务器做操作,那岂不是很不安全
对于敏感的api接口,需使用https协议 ,https是在http超文本传输协议加入SSL层,它在网络间通信是加密的,所以需要加密证书。https协议需要ca证书,一般需要交费。
转载于:https://my.oschina.net/coder1234/blog/1553080