2. 程式人生 > >基於 Token 的身份驗證

基於 Token 的身份驗證

阿新 發佈:2017-10-15
問題 for tar dci 返回 name 主題 算法 sha2

最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起傳統的身份驗證方法,Token 擴展性更強,也更安全點,非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”,我覺得挺好,意思就是,你拿著這個令牌,才能過一些關卡。

傳統身份驗證的方法

HTTP 是一種沒有狀態的協議,也就是它並不知道是誰是訪問應用。這裏我們把用戶看成是客戶端,客戶端使用用戶名還有密碼通過了身份驗證,不過下回這個客戶端再發送請求時候,還得再驗證一下。

解決的方法就是,當用戶請求登錄的時候,如果沒有問題,我們在服務端生成一條記錄,這個記錄裏可以說明一下登錄的用戶是誰,然後把這條記錄的 ID 號發送給客戶端,客戶端收到以後把這個 ID 號存儲在 Cookie 裏,下次這個用戶再向服務端發送請求的時候,可以帶著這個 Cookie ,這樣服務端會驗證一個這個 Cookie 裏的信息,看看能不能在服務端這裏找到對應的記錄,如果可以,說明用戶已經通過了身份驗證,就把用戶請求的數據返回給客戶端。

上面說的就是 Session,我們需要在服務端存儲為登錄的用戶生成的 Session ,這些 Session 可能會存儲在內存,磁盤,或者數據庫裏。我們可能需要在服務端定期的去清理過期的 Session 。

基於 Token 的身份驗證方法

使用基於 Token 的身份驗證方法,在服務端不需要存儲用戶的登錄記錄。大概的流程是這樣的:

  1. 客戶端使用用戶名跟密碼請求登錄
  2. 服務端收到請求,去驗證用戶名與密碼
  3. 驗證成功後,服務端會簽發一個 Token,再把這個 Token 發送給客戶端
  4. 客戶端收到 Token 以後可以把它存儲起來,比如放在 Cookie 裏或者 Local Storage 裏
  5. 客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token
  6. 服務端收到請求,然後去驗證客戶端請求裏面帶著的 Token,如果驗證成功,就向客戶端返回請求的數據

JWT

實施 Token 驗證的方法挺多的,還有一些標準方法,比如 JWT,讀作:jot ,表示:JSON Web Tokens 。JWT 標準的 Token 有三個部分:

  • header
  • payload
  • signature

中間用點分隔開,並且都會使用 Base64 編碼,所以真正的 Token 看起來像這樣:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

header 部分主要是兩部分內容,一個是 Token 的類型,另一個是使用的算法,比如下面類型就是 JWT,使用的算法是 HS256。

{
  "typ": "JWT",
  "alg": "HS256"
}

上面的內容要用 Base64 的形式編碼一下,所以就變成這樣:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 裏面是 Token 的具體內容,這些內容裏面有一些是標準字段,你也可以添加其它需要的內容。下面是標準字段:

  • iss:Issuer,發行者
  • sub:Subject,主題
  • aud:Audience,觀眾
  • exp:Expiration time,過期時間
  • nbf:Not before
  • iat:Issued at,發行時間
  • jti:JWT ID

比如下面這個 Payload ,用到了 iss 發行人,還有 exp 過期時間。另外還有兩個自定義的字段,一個是 name ,還有一個是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 Base64 編碼以後就變成了這個樣子:

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最後一部分是 Signature ,這部分內容有三個部分,先是用 Base64 編碼的 header.payload ,再用加密算法加密一下,加密的時候要放進去一個 Secret ,這個相當於是一個密碼,這個密碼秘密地存儲在服務端。

  • header
  • payload
  • secret
var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, ‘secret‘);

處理完成以後看起來像這樣:

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最後這個在服務端生成並且要發送給客戶端的 Token 看起來像這樣:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 以後把它存儲下來,下回向服務端發送請求的時候就帶著這個 Token 。服務端收到這個 Token ,然後進行驗證,通過以後就會返回給客戶端想要的資源。

基於 Token 的身份驗證

相關推薦

基於Token驗證

sig time timestamp mes coo 服務端 md5加密 時間 保存 什麽是token? token相當於是一個令牌,在用戶登錄的時候由服務器端生成(基於用戶名、時間戳、過期時間、發行者等信息進行簽名),然後發放給客戶端,客戶端將令牌保存,在以後需要登錄驗證

黑客通過使用蠟制手模型繞過基於靜脈身份驗證

在德國的Chaos Communication Congress黑客會議上,安全研究人員通過蠟制手模型成功地欺騙了靜脈認證系統。但是,這種“攻破”並不容易。靜脈認證的原理是,根據在人手指中流動的血液,可以吸收特定波長的光,並且用特定波長的光照射手指以獲得手指靜脈的清晰影象。 使用該固有科學特徵,將分析和

Session、Token身份驗證方法

  Session :我發給你一張身份證,但只是一張寫著身份證號碼的紙片。你每次來辦事,我去後臺查一下你的 id 是不是有效。  Token:我發給你一張加密的身份證,以後你只要出示這張卡片,我就知道你一定是自己人。    token和se

JWT: 基於Token驗證

現在SPA(Single Page Application, 單頁面應用)和前後端分離已經是主流. 基於Token的驗證非常適合這種構架. Difference between Token-based Auth and Cookie-based Auth 基於Cook

基於 Token身份驗證

問題 for tar dci 返回 name 主題 算法 sha2 最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起傳統的身份驗證方法,Token 擴展性更強,也更安

基於Token身份驗證——JWT

sig project 唯一標識 rocket 推薦 接收 含義 一個 esp 原文:基於Token的身份驗證——JWT初次了解JWT,很基礎,高手勿噴。 基於Token的身份驗證用來替代傳統的cookie+session身份驗證方法中的session。 JWT是啥?

JavaWeb—基於Token身份驗證 基於Token的WEB後臺認證機制

傳統身份驗證的方法 HTTP Basic Auth HTTP Basic Auth簡單點說明就是每次請求API時都提供使用者的username和password,簡言之,Basic Auth是配合RESTful API 使用的最簡單的認證方式,只需提供使用者名稱密碼即可,但由於有把使用者名稱密碼暴露給第三

基於 Token身份驗證:JSON Web Token

最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等, 比起傳統的身份驗證方法,Token 擴充套件性更強

瞭解基於Token身份驗證的來龍去脈

簡介 在Web領域基於Token的身份驗證隨處可見。在大多數使用Web API的網際網路公司中,tokens 是多使用者下處理認證的最佳方式。 以下幾點特性會讓你在程式中使用基於Token的身份驗證 1.無狀態、可擴充套件  2.支援移動裝置  3.跨程式呼叫

基於Token實現身份驗證和許可權管理

一、什麼是token HTTP是一種無狀態的協議,也就是HTTP沒法儲存客戶端的資訊,沒辦法區分每次請求的不同。 Token是伺服器生成的一串字元,作為客戶端請求的令牌。當第一次登陸後,伺服器會分發Tonken字串給客戶端。後續的請求,客戶端只需帶上這個Token,伺服器即可知

SpringBoot(7)在SpringBoot實現基於Token的使用者身份驗證

基於Token的身份驗證用來替代傳統的cookie+session身份驗證方法中的session。    請求中傳送token而不再是傳送cookie能夠防止CSRF(跨站請求偽造)。即使在客戶端使用cookie儲存token,cookie也僅僅是一個儲存機制而不是用於認證。

登入--基於 Token身份驗證方法(流程)

客戶端使用使用者名稱跟密碼請求登入 服務端收到請求,去驗證使用者名稱與密碼 驗證成功後,服務端會簽發一個 Token,再把這個 Token 傳送給客戶端 客戶端收到 Token 以後可以把它儲存起來,比如放在 Cookie 裡或者 Local Storage 裡 客戶端每次向服務端請求資源的時候需要帶

使用JWT 進行基於 Token身份驗證方法

quest 傳播 token system 過期 with 需要 驗證用戶名 ren 一般weby應用服務都使用有狀態的session來存儲用戶狀態以便認證有權限的用戶進行的操作。但服務器在做橫向擴展時,這種有狀態的session解決方案就受到了限制。所以在一些通常的大型w

Token:服務端身份驗證的流行方案

rst 服務 方案 app 過程 組件圖 wav hit margin 01- 身份認證 服務端提供資源給客戶端,但是某些資源是有條件的。所以服務端要能夠識別請求者的身份,然後再判斷所請求的資源是否可以給請求者。 token是一種身份驗證的機制,初始時用戶提交賬號數據

asp.net Web API 身份驗證 不記名令牌驗證 Bearer Token Authentication 簡單實現

驗證 tca star ati manager ace .com return public 1. Startup.Auth.cs文件 添加屬性 1 public static OAuthBearerAuthenticati

token進行身份驗證

ssi 驗證 dci 返回 裏的 擴展性 訪問 數據返回 定期 相比於傳統的身份驗證方法,token驗證更具有可擴展性,安全性更強。非常適合用在 Web 應用或者移動應用上。Token 的中文有人翻譯成 “令牌”,我覺得挺好,意思就是,你拿著這個令牌,才能過一些關卡。 一、

Python tkinter 實現簡單登陸註冊 基於B/S三層體系結構,實現用戶身份驗證

cte cursor 實現簡單 結果 pass 分享圖片 not null for 技術 Python tkinter 實現簡單登陸註冊 最終效果 開始界面 ? 註冊 登陸 ? 源碼 login.py # encoding=utf-8 f

Nginx集群之基於Redis的WebApi身份驗證

namespace null 數據庫訪問 ssi lin see 令牌 parameter .post 目錄 1 大概思路... 1 2 Nginx集群之基於Redis的WebApi身份驗證... 1 3 Redis數據庫... 2 4

C# MVC 基於From的身份驗證

票據 註冊 進行 對話框 加強 根據 學習 存在 重復 前言 昨天和一個技術比較好的前輩聊了聊,發現有的時候自己的學習方式有些問題,不知道有沒有和我一樣的越學習越感覺到知識的匱乏不過能認識到這個問題的同學們,也不要太心急路是一步一步走的飯是一口一口吃的認識到錯誤才能更高的改

centos7系統配置系統使用者基於ssh的google身份驗證

  最近也是伺服器各種被入侵,所以在安全上,要萬分注意,特此記錄,藉助google的身份驗證外掛,獲取動態驗證碼完成ssh登陸。  OS:   centos7 安裝配置:   1、 安裝epel源 yum -y install epel-release   2、 安裝Qrencode,谷歌身份驗