2. 程式人生 > >Token:服務端身份驗證的流行方案

Token:服務端身份驗證的流行方案

阿新 發佈:2017-05-12
rst 服務 方案 app 過程 組件圖 wav hit margin

01-

身份認證

服務端提供資源給客戶端,但是某些資源是有條件的。所以服務端要能夠識別請求者的身份,然後再判斷所請求的資源是否可以給請求者。

token是一種身份驗證的機制,初始時用戶提交賬號數據給服務端,服務端采用一定的策略生成一個字符串(token),token字符串中包含了少量的用戶信息,並且有一定的期限。服務端會把token字符串傳給客戶端,客戶端保存token字符串,並在接下來的請求中帶上這個字符串。

它的工作流程大概是這樣:

技術分享

組件圖

Token機制

在這樣的流程下,我們需要考慮下面幾個問題:

  1. 服務端如何根據token獲取用戶的信息?

  2. 如何確保識別偽造的token?

    這裏是指token不是經過服務端來生成的。

  3. 如何應付冒充的情況?

    非法客戶端攔截了合法客戶端的token,然後使用這個token向服務端發送請求,冒充合法客戶端。

用戶匹配

服務端在生成token時,加入少量的用戶信息,比如用戶的id。服務端接收到token之後,可以解析出這些數據,從而將token和用戶關聯了起來。

防偽造

一般情況下,建議放入token的數據是不敏感的數據,這樣只要服務端使用私鑰對數據生成簽名,然後和數據拼接起來,作為token的一部分即可。比如JWT,參考JSON Web Token - 在Web應用間安全地傳遞信息。

在我知道JWT之前,我先了解的是另一種模式。基於加密的算法,對數據進行加密,把加密的結果作為token(http://blog.leapoahead.com/2015/09/06/understanding-jwt/)。

本文主要討論後一種模式。

防冒充

加幹擾碼

服務端在生成token時,使用了客戶端的UA作為幹擾碼對數據加密,客戶端進行請求時,會同時傳入token、UA,服務端使用UA對token解密,從而驗證用戶的身份。

如果只是把token拷貝到另一個客戶端使用,不同的UA會導致在服務端解析token失敗,從而實現了一定程度的防冒充。但是攻擊者如果猜到服務端使用UA作為加密鑰,他可以修改自己的UA。

有效期

給token加上有效期,即使被冒充也只是在一定的時間段內有效。這不是完美的防禦措施,只是盡量減少損失。

服務端在生成token時,加入有效期。每次服務端接收到請求,解析token之後,判斷是否已過期,如果過期就拒絕服務。

token刷新

如果token過期了,客戶端應該對token續期或者重新生成token。這取決於token的過期機制。

  1. 服務器緩存token及對應的過期時間

    這個時候就可以采用續期的方式,服務器更新過期時間,token再次有效。

  2. token中含有過期時間

    這個時候需要重新生成token。

在token續期或者重新生成token的時候,需要額外加入數據來驗證身份。因為token已經過期了,即token已經不能用來驗證用戶的身份了。這個時候可以請求用戶重新輸入賬號和密碼,但是用戶體驗稍差。

另一種方式是使用摘要。服務端生成token,同時生成token的摘要,然後一起返回給客戶端。客戶端保存摘要,一般請求只需要用到token,在刷新token時,才需要用到摘要。服務端驗證摘要,來驗證用戶的身份。因為摘要不會頻繁的在客戶端和服務端之間傳輸,所以被截取的概率較小。

02-

Token工作流程

生成token

技術分享

生成token

一般在登錄的時候生成token。Token管理者負責根據用戶的數據生成token和摘要,摘要用來給APP端刷新token用,類似於微信登錄中的refresh_token。

生成token的過程中,ua的充作幹擾碼。沒有相同的ua,就無法解析生成的token字符串。如果客戶端是混合開發的模式,生成token和使用token的代理可能不同(比如一個是h5,一個是原生),ua就會不同,token就無法成功的使用。可以選擇其他的客戶端數據作為幹擾碼,註意考慮下面的問題:

  1. 不同的客戶端,幹擾碼應該不同

    幹擾碼的很大一個作用是防冒充,如果選擇的充當幹擾碼的客戶端數據沒有區分性,就達不到效果。

  2. 選擇充當幹擾碼的數據,在哪些情況下會變化?這些情況是否合理?

    比如幹擾碼數據中含有app的版本號,那麽app版本升級就會導致幹擾碼變化。服務端根據新的幹擾碼,無法解析舊的token,此時用戶必須重新登錄。這種情況是合理的嗎?如果不合理,幹擾碼中就不應該含有app的版本號。

攔截驗證

技術分享

攔截驗證

客戶端的每一次請求,都必須攜帶token、ua,攔截器會對敏感資源的訪問進行攔截,然後根據ua解析token,解析不成功,表示token和ua不匹配。解析成功之後,判斷token是否已過期,如果是,拒絕服務。所有都ok的情況下,攔截器放行,請求傳達到業務服務者。

token刷新

技術分享

token刷新

當token過期,用戶需要刷新token。刷新token本質上是這樣的:

服務端:這個token是你的嗎?

客戶端:是的。

服務端:當初我給你token的時候,還給了一個摘要,你把摘要拿過來證明。

客戶端需要把token、摘要、ua都傳給服務端,服務端對token重新生成摘要,通過判斷兩個摘要是否相同來驗證這次請求刷新token的客戶端,是不是上次請求生成token的客戶端。驗證通過,服務端需要使用用戶數據重新生成token,用戶數據則來自用ua解析token的結果。

? ? ? ? ? ? ? ?

作者:守正

技術分享

Token:服務端身份驗證的流行方案

相關推薦

Token服務身份驗證流行方案

rst 服務 方案 app 過程 組件圖 wav hit margin 01- 身份認證 服務端提供資源給客戶端,但是某些資源是有條件的。所以服務端要能夠識別請求者的身份,然後再判斷所請求的資源是否可以給請求者。 token是一種身份驗證的機制,初始時用戶提交賬號數據

google支付被刷問題及服務訂單驗證解決方案

最近在google play上線的應用內支付被人刷了,使用者模擬發起了大量的支付請求,並且全部成功支付。搞得我最近茶飯不思。。今天總算是解決了,和大家分享一下。我們客戶端的支付實現步驟是:1. app端呼叫google支付2. 支付成功後,呼叫 自己伺服器的發貨介面,當然發貨

iOS內購 服務票據驗證及漏單引發的思考.

有一個 運營 tps cto product 獨立服務器 air ble 無法讀取 因業務需要實現了APP內購處理,但在過程中出現了部分不可控的因素,導致部分用戶反映有充值不成並漏單的情況。 仔細考慮了幾個付費安全上的問題,凡是涉及到付費的問題都很敏感,任何一方出現損失都是

核心技術解析移動車牌識別系統方案

ocr文字識別 攝像頭 inf 人員 c代碼 cnblogs 單機 研發 安裝 國內目前OCR車牌識別技術,主要細分為:1.識別車牌號碼、2.車牌顏色、3.車牌類型等車牌特征信息;算法采用清華TH-OCR技術,不僅融合了車牌定位、車牌字符切分、車牌字符識別等算法,而且系統具

LDAP基礎10服務工具使用phpLDAPadmin進行操作

在上篇文章中介紹瞭如何使用Apache Directory Studio的客戶端來操作LDAP,但是這種方式需要安裝客戶端工具。在這篇文章裡將介紹伺服器端的工具phpLDAPadmin,這樣使用者通過瀏覽器即可獲得對於OpenLdap操作的能力。 事前準備 docker-comp

ubuntu關閉服務需要身份驗證

service tomcat stop ==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units === 需要通過認證才能停止“tomcat.service”。 Authenticating as: www,,, (www) 解決辦

一次性搞懂服務API安全解決方案

今年五月份去融貝網、獵豹移動面試的時候,被問到API安全加密的問題,很慚愧,自己回答的很不全面。自己也知道那是沒有徹底弄明白原理。然後,8月份的時候,上家公司新專案啟動時也和同事探討過,然後就去徹徹底底瞭解了一下,趁著熱乎勁兒還沒過去總結出來吧。 安全是相對的,下面是根據安全級別分析。我用簡單的PHP程式碼

EasyDarwin開源流媒體伺服器Golang版本服務錄影功能釋出

EasyDarwin開源流媒體伺服器(www.easydarwin.org)現在使用Go版本實現了。最新的程式碼提交,已經支援了推流(或者拉流)的同時進行本地儲存。 本地儲存的原理,是在推流的同時啟動ffmpeg作為一路Client來做儲存。ffmpeg在demux和mux的工作方面已經

三週學會小程式第三講服務搭建和部署

通過第二講我們已經知道了怎麼快速搭建一個小程式客戶端,當然服務端也是必不可少的。登入驗證,內容儲存等等都離不開服務端。 本章節主要講解怎麼快速搭建一個服務端框架和免費部署。因為好多同學僅僅為了學習小程式,為此購買一個伺服器成本還是蠻高的,所以小編特此找了一種免費的服務資源提供給大家,等到你真正要部署小程式的時

Java之TCP傳輸小Demo(無執行緒)服務

import java.io.IOException; import java.io.InputStream; import java.io.OutputStream; import java.net.ServerSocket; import java.net.Socket; public c

React 服務渲染最佳解決方案

最近在開發一個服務端渲染工具,通過一篇小文大致介紹下服務端渲染,和服務端渲染的方式方法。在此文後面有兩中服務端渲染方式的構思,根據你對服務端渲染的利弊權衡,你會選擇哪一種服務端渲染方式呢? 什麼是伺服器端渲染 使用 React 構建客戶端應用程式,預設情況下,可以在瀏覽器中輸出 React

Netty4.x原始碼分析服務接受客戶Channel連線

引包 <dependency> <groupId>io.netty</groupId> <artifactId>netty-all</artifactId> &l

Docker下Java檔案上傳服務三部曲之二服務開發

本章是《Docker下Java檔案上傳服務三部曲》的第二篇,上一章《Docker下Java檔案上傳服務三部曲之一:準備環境》我們把客戶端準備好了,Tomcat容器也部署好了,今天就來開發和部署檔案服務的後臺應用吧; 本章實戰內容概要 本章要建立三個w

Restful API Client客戶身份驗證

最近除錯marathon的rest api介面,通過marathon的rest介面獲得應用的配置資訊。 由於marathon服務端配置了身份驗證,在網頁端開啟的時候可以在頁面輸入使用者名稱和密碼進行訪問,但是在程式裡面進行訪問的時候如何進行驗證就無從下手了。

google支付服務訂單驗證PHP程式碼

之前有轉發一則關於google支付服務端驗證的文章,今天把之前研究出得服務端訂單支付驗證程式碼(PHP版本)貼出來大家分享 在進行服務端交易驗證之前,需要到google api consle後臺https://console.developers.google.com開通g

Android 上使用 Google 登入服務進行身份驗證

新增Firebase 文件 建立Firebase專案 轉到Firebase控制檯 新增專案 將Firebase新增到應用,按照提示一步一步的進行。 新增S

HttpClient學習研究---第四章HTTP authenticationHTTP身份驗證

4.7.1. 4.7.1。NTLM connection persistenceNTLM連線永續性 The這個 NTLMauthentication scheme is significantly more expensive in terms of computational overhead

MFC——socket程式設計(淺出+深度服務和客戶埠問題)

要寫網路程式就必須用Socket,這是程式設計師都知道的。而且,面試的時候,我們也會問對方會不會Socket程式設計?一般來說,很多人都會說,Socket程式設計基本就是listen,accept以及send,write等幾個基本的操作。是的,就跟常見的檔案操作一樣,只要寫過就一定知道。 對於網路程式設計,

JavaNIO Java進階知識點5服務高併發的基石 - NIO與Reactor模式以及AIO與Proactor模式

javaNIO對於多路複用io(同步非阻塞io)的實現 package test; import java.io.IOException; import java.net.InetSocketAddress; import java.nio.channels.SelectionKey; import

Android訪問網路服務返回XML或JSON格式資料,Android 進行解析並使用ListView顯示

剛剛入門學習了Android的ListView,也是看了傳智播客黎活明老師的視訊學習了,但是一直執行不了,還報錯了。報的錯誤是:at android.os.StrictMode$AndroidBlockGuardPolicy.onNetwork(StrictMode.jav