什么是token及怎樣生成token


什么是token?

   Token是服務端生成的一串字符串,以作客戶端進行請求的一個令牌,當第一次登錄后,服務器生成一個Token便將此Token返回給客戶端,以后客戶端只需帶上這個Token前來請求數據即可,無需再次帶上用戶名和密碼。
 
基於 Token 的身份驗證
  1. 使用基於 Token 的身份驗證方法,在服務端不需要存儲用戶的登錄記錄。流程是這樣的:
  2. 客戶端使用用戶名跟密碼請求登錄
  3. 服務端收到請求,去驗證用戶名與密碼
  4. 驗證成功后,服務端會簽發一個 Token,再把這個 Token 發送給客戶端
  5. 客戶端收到 Token 以后可以把它存儲起來,比如放在 Cookie 里或者 Local Storage 里
  6. 客戶端每次向服務端請求資源的時候需要帶着服務端簽發的 Token
  7. 服務端收到請求,然后去驗證客戶端請求里面帶着的 Token,如果驗證成功,就向客戶端返回請求的數據
  8. APP登錄的時候發送加密的用戶名和密碼到服務器,服務器驗證用戶名和密碼,如果成功,以某種方式比如隨機生成32位的字符串作為token,存儲到服務器中,並返回token到APP,以后APP請求時,
  9. 凡是需要驗證的地方都要帶上該token,然后服務器端驗證token,成功返回所需要的結果,失敗返回錯誤信息,讓他重新登錄。其中服務器上token設置一個有效期,每次APP請求的時候都驗證token和有效期。
  10. token的優勢

      1.無狀態、可擴展

            在客戶端存儲的Tokens是無狀態的,並且能夠被擴展。基於這種無狀態和不存儲Session信息,負載負載均衡器能夠將用戶信息從一個服務傳到其他服務器上。如果我們將已驗證的用戶的信息保存在Session中,則每次請求都需要用戶向已驗證的服務器發送驗證信息(稱為Session親和性)。用戶量大時,可能會造成  一些擁堵。但是不要着急。使用tokens之后這些問題都迎刃而解,因為tokens自己hold住了用戶的驗證信息。

      2.安全性

      請求中發送token而不再是發送cookie能夠防止CSRF(跨站請求偽造)。即使在客戶端使用cookie存儲token,cookie也僅僅是一個存儲機制而不是用於認證。不將信息存儲在Session中,讓我們少了對session操作。token是有時效的,一段時間之后用戶需要重新驗證。我們也不一定需要等到token自動失效,token有撤回的操作,通過token revocataion可以使一個特定的token或是一組有相同認證的token無效。

      3.可擴展性

      Tokens能夠創建與其它程序共享權限的程序。例如,能將一個隨便的社交帳號和自己的大號(Fackbook或是Twitter)聯系起來。當通過服務登錄Twitter(我們將這個過程Buffer)時,我們可以將這些Buffer附到Twitter的數據流上(we are allowing Buffer to post to our Twitter stream)。使用tokens時,可以提供可選的權限給第三方應用程序。當用戶想讓另一個應用程序訪問它們的數據,我們可以通過建立自己的API,得出特殊權限的tokens。

      4.多平台跨域

      我們提前先來談論一下CORS(跨域資源共享),對應用程序和服務進行擴展的時候,需要介入各種各種的設備和應用程序。Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.只要用戶有一個通過了驗證的token,數據和資源就能夠在任何域上被請求到。Access-Control-Allow-Origin*

      5.基於標准

      創建token的時候,你可以設定一些選項。我們在后續的文章中會進行更加詳盡的描述,但是標准的用法會在JSON Web Tokens體現。最近的程序和文檔是供給JSON Web Tokens的。它支持眾多的語言。這意味在未來的使用中你可以真正的轉換你的認證機制。

     

     

     1.將荷載payload,以及Header信息進行Base64加密,形成密文payload密文,header密文。

      2.將形成的密文用句號鏈接起來,用服務端秘鑰進行HS256加密,生成簽名.

      3.將前面的兩個密文后面用句號鏈接簽名形成最終的token返回給服務端

    注:

      (1)用戶請求時攜帶此token(分為三部分,header密文,payload密文,簽名)到服務端,服務端解析第一部分(header密文),用Base64解密,可以知道用了什么算法進行簽名,此處解析發現是HS256。

      (2)服務端使用原來的秘鑰與密文(header密文+"."+payload密文)同樣進行HS256運算,然后用生成的簽名與token攜帶的簽名進行對比,若一致說明token合法,不一致說明原文被修改。

      (3)判斷是否過期,客戶端通過用Base64解密第二部分(payload密文),可以知道荷載中授權時間,以及有效期。通過這個與當前時間對比發現token是否過期。

    token實現思路

     

     

     1.用戶登錄校驗,校驗成功后就返回Token給客戶端。

      2.客戶端收到數據后保存在客戶端

      3.客戶端每次訪問API是攜帶Token到服務器端。

      4.服務器端采用filter過濾器校驗。校驗成功則返回請求數據,校驗失敗則返回錯誤碼


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM