什么是基于令牌的认证?什么是基于令牌的认证?(What is token based authent

2019-05-08 14:59发布

我想了解基于令牌的认证有什么手段。 我在网上搜索,但找不到任何可以理解的。

Answer 1:

我认为这是很好的解释在这里 -只是引用了长篇文章的关键语句:

后面的基于令牌的认证系统的一般概念很简单。 允许用户为了获得一个凭证,以便让他们获取特定的资源输入自己的用户名和密码 - 不使用自己的用户名和密码。 一旦得到他们的令牌,用户可以提供令牌 - 它提供了访问某个时间段特定的资源 - 到远程站点。

换句话说:加一层间接认证 - 不必为每个受保护的资源的用户名和密码进行身份验证,用户验证这样一次(限期在会话中),作为回报获得一个有时间限制的令牌,并使用该令牌进一步验证在会议期间。

有许多优势-例如,用户可以通过该令牌,一旦他们知道的话,就到一些其他自动系统,他们愿意在有限的时间和有限的资源的信任,但不会愿意用自己的用户名和密码,以信托基金(即每他们允许访问的资源,直到永远,或者至少直到他们改变密码)。

如果有什么还不清楚,请编辑您的问题,以澄清究竟是不是100%清楚你,我很肯定我们可以进一步帮助您。



Answer 2:

从Auth0.com

基于令牌的认证,依赖于被发送到每个请求的服务器签署的令牌。

什么是使用基于令牌的方法的好处是什么?

  • 跨域/ CORS:饼干+ CORS不跨越不同领域发挥出色。 基于令牌的方法允许你做AJAX调用到任何服务器,在任何领域,因为你使用的HTTP标头发送的用户信息。

  • 无状态(也就是服务器端扩展):没有必要保持会话存储,令牌是传达所有用户信息的自包含的实体。 国家的其余部分生活在cookie或在客户端本地存储。

  • CDN:你可以为你的应用程序从一个CDN(如,JavaScript,HTML,图像等)的全部资产,你的服务器端仅仅是个API。

  • 去耦:你是不依赖于任何特定的认证方案。 令牌可能在任何地方发生,因此您的API可以从任何地方调用验证这些电话的单一方式。

  • 手机做准备:当你开始在本地平台的工作(的iOS,安卓,Windows 8的等)消耗基于令牌的方法简化这个了很多,当饼干是不理想的。

  • CSRF:因为你不是靠饼干,你并不需要,以防止跨站请求(例如,它不可能给同胞家网站,生成一个POST请求,并重新使用现有的身份验证Cookie,因为将有没有)。

  • 性能:我们这里没有显示任何硬PERF基准,但网络往返(例如,发现数据库会话)可能需要更多的时间比计算HMACSHA256验证令牌和分析其内容。



Answer 3:

token是一块仅数据Server X也可能已经创建,并且其包含足够的数据以识别一个特定的用户。

你可能会呈现您的登录信息,并要求Server Xtoken ; 然后你可以展示你的token ,并要求Server X执行一些用户特定的动作。

Token s的使用各种技术的各种组合,从密码学领域,以及与从安全研究的更广泛的领域输入创建。 如果你决定去创建自己的token系统,你最好是很聪明的。



Answer 4:

令牌是一块由服务器创建的数据的,并且包含的​​信息来识别一个特定的用户和令牌有效性。 该令牌将包含用户的信息,以及一个特殊的标记代码,用户可以传递给服务器支持验证每一个方法,而不是直接通过用户名和密码。

基于令牌的认证是一种安全技术,验证谁尝试登录到服务器,网络或其他一些安全系统的用户来说,使用由服务器提供的安全令牌。

认证是成功的,如果用户可以证明一个服务器,他或她是一个有效的用户通过传递安全令牌。 该服务验证安全令牌并处理用户请求。

令牌是由服务验证后,它被用来建立安全上下文的客户端,因此该服务可以做出授权决定或审计活动连续用户请求。

访问来源



Answer 5:

基于令牌(安全/验证)

意味着为了让我们能够证明我们已经进入我们首先要收到令牌。 在真实的生活场景,令牌可以是一个准入证的建筑,它可能是把锁的钥匙给你的房子。 为了让你获得一个关键的卡为您的办公室或关键看你的家,你首先需要证明你是谁,你其实也可以使用该令牌。 这可能是为别人展示你的ID或者给他们一个秘密口令简单的事情。 所以,想象我需要让我的办公室访问。 我下到保安办公室,我告诉他们我的ID,他们给我这个道理,这让我进入大楼。 现在我有不受限制的访问做任何我想做的建筑物内,只要我有我与我的令牌。

什么是基于令牌的安全性有什么好处?

如果我们回想不安全的API,我们不得不在这种情况下,做的是,我们必须为我们想要做的一切为我们的密码。

试想一下 ,每次我们在我们的办公室进门的时候,我们要给大家坐在旁边的门我们的密码。 现在,这将是非常糟糕的,因为这意味着我们的办公室内任何人都可以把我们的密码,并模仿我们,这是非常糟糕的。 取而代之的是,我们所要做的是,我们通过密码取回的道理,当然在一起,但我们检索从一个人。 然后的地方,我们要在建筑物内部,我们可以使用此标记。 当然,如果我们失去了道理,我们有同样的问题,因为如果别人知道我们的密码,而是引导我们进入之类的东西怎么办,我们要确保,如果我们失去了道理,我们可以撤销的访问,也许令牌不应该活长于24小时,所以第二天我们到办公室来,我们需要再次显示我们的ID。 但尽管如此,这里只有一个人,我们会显示ID来,这是保安坐在那里,我们获取的令牌。



Answer 6:

现在的问题是旧的和技术的进步,这里是当前的状态:

JSON网络令牌(JWT)是一种基于JSON的开放标准(RFC 7519),用于Web应用程序环境当事人之间传递索赔。 该令牌被设计为紧凑,网址安全和可用尤其是在Web浏览器的单点登录(SSO)环境。

https://en.wikipedia.org/wiki/JSON_Web_Token



Answer 7:

这是它与用户数据库或其他方式相关联刚散。 该令牌可用于授权用户访问应用程序的其它相关内容。 要检索客户端登录此令牌是必需的。 第一次登录后需要保存令牌检索不是任何其他数据,如会话,会话ID,因为这里的一切是令牌应用程序的访问其他资源。

令牌被用于确保用户的真实性。



Answer 8:

当您注册一个新的网站,往往你会收到一封电子邮件,以激活您的帐户。 该电子邮件通常包含一个链接,点击。 该链接的一部分,包含一个令牌,服务器知道此令牌,并可以将它与您的帐户关联起来。 令牌通常将具有与其相关联的到期日,所以你可能只需要一个小时,点击链接,激活您的帐户。 什么设备或浏览器的客户使用,以检查电子邮件的这一切将有可能使用cookie或会话变量,因为它的未知。



文章来源: What is token based authentication?