移動客戶端和服務器端在用戶登錄上經常使用的是一個叫做token的認證方法
token是什么?
token顧名思義, 令牌, 意思就是說,第一次用戶登錄驗證之后,服務器返回一個token令牌,之后客戶端與服務器的每一次交互不需要再使用用戶名和密碼了,直接用token,就能進行驗證。
為什么要用token?
如果不用token,每次交互,用戶名和密碼這樣的重要信息都要明目張膽的在數據流中傳輸,非常的不安全,被有意圖的人截獲, 如果該用戶還習慣不同的賬戶用一個密碼,其收到的損失就更大了。如果使用token的話,就算被截獲,token是具有一定的時效性的,過了有效期,這個token就沒有用了, 所以必須要實時的截獲,這樣的難度極大而且繁瑣。所以token的使用能增加對用戶信息的保護。
token是怎么生成的?
Header{ "alg" : "HS256", "typ" : "JWT"
。
。
。 }
Payload{
"loggedInAs" : "admin",
"iat" : 1422779638
。
。
。
}
signature:
HMAC-SHA256(
encodeBase64Url(header) + '.' + encodeBase64Url(payload) + '.' + secret )
token由這三部分的編碼組成,中間用句號隔開
auth0-JWT包的使用詳見:
https://github.com/auth0/java-jwt