TOKEN 验证详解
为什么使用token验证
在web领域基于token的身份验证随处可变,在大多说使用web API的互联网公司中,tokens是多用户下处理认证的最佳方式
一下几点特性会让你在程序中使用基于Token 的身份验证
- 无状态、可扩展
- 支持移动设备
- 跨程序调用
- 安全
那些使用基于Token的身份验证的大佬们
大部分你见到过的API和WEB应用都是用tokens,列如facebook, twitter, google+, github等
Token的起源
在介绍基于token的身份验证的原理与优势之前,不妨先看看之前的认证都是怎么做的
基于服务器的验证
我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,从而辨别客户端的身份。
在这之前,程序都是通过在服务端存储的登录信息来辨别请求的。这种方式一般都是通过存储Session来完成。
随着Web,应用程序,已经移动端的兴起,这种验证的方式逐渐暴露出了问题。尤其是在可扩展性方面。
基于服务器的验证方式暴露的一些问题
1、session:每次认证用户发起请求时, 服务器需要去创建一个记录来存储信息, 当越来越多的用户发请求时, 内存的开销也会不断增加
2、可获振兴:在服务端的内存中使用session存储的登录信息,办所而来的是可扩展性问题
3、CORS(跨域资源共享): 当我们需要让数据跨多台移动设备上使用时, 跨域资源共享回事一个让人头疼的问题, 在使用ajax抓取另一个域的资源,就可以会出现禁止请求的情况
4、CSRF(跨站请求伪造): 用户在访问银行网站时, 他们很容易受到跨站请求伪造的攻击, 并且能够被利用其访问其他网站
在这些问题中,可扩展性是最突出,因此我们有必要去寻求一种更有行之有效的方法
基于TOKEN的验证原理
基于Token的身份验证是无状态的,我们不将用户信息存在服务器或Session中。
这种概念解决了在服务端存储信息时的许多问题
NoSession意味着你的程序可以根据需要去增减机器,而不用去担心用户是否登录。
基于Token的身份验证的过程如下:
1.用户通过用户名和密码发送请求。
2.程序验证。
3.程序返回一个签名的token 给客户端。
4.客户端储存token,并且每次用于每次发送请求。
5.服务端验证token并返回数据。
每一次请求都需要token。token应该在HTTP的头部发送从而保证了Http请求无状态。我们同样通过设置服务器属性Access-Control-Allow-Origin:* ,让服务器能接受到来自所有域的请求。需要主要的是,在ACAO头部标明(designating)*时,不得带有像HTTP认证,客户端SSL证书和cookies的证书。
代码实例流程://用户第一次登录
username pwd client_type
//接口判断
if(token&uid){查询token表$token=where uid =uid if($token==token){登录成功!!返回token 和 uid}else{登录失败!!}
}if(usename powd client_type){检验用户名和密码if(正确){得到uid 并 生成token(md5( uid.pwd.time() 自己定义规则 ))if(uid不存在){into token 表 id uid token}else{where uid=$uid 修改token}返回token 和 uid}else{返回错误信息; }
}客户端c进行文件存储uid 和token下次再次登录时使用uid和token
实现了用户登录的互踢
当我们在程序中认证了信息并取得token之后,我们便能通过这个Token做许多的事情。
我们甚至能基于创建一个基于权限的token传给第三方应用程序,这些第三方程序能够获取到我们的数据(当然只有在我们允许的特定的token)
Tokens的优势
无状态、可扩展
在客户端存储的Tokens是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载负载均衡器能够将用户信息从一个服务传到其他服务器上。
如果我们将已验证的用户的信息保存在Session中,则每次请求都需要用户向已验证的服务器发送验证信息(称为Session亲和性)。用户量大时,可能会造成
一些拥堵。
但是不要着急。使用tokens之后这些问题都迎刃而解,因为tokens自己hold住了用户的验证信息。
安全性
请求中发送token而不再是发送cookie能够防止CSRF(跨站请求伪造)。即使在客户端使用cookie存储token,cookie也仅仅是一个存储机制而不是用于认证。不将信息存储在Session中,让我们少了对session操作。
token是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。
可扩展性()
Tokens能够创建与其它程序共享权限的程序。例如,能将一个随便的社交帐号和自己的大号(Fackbook或是Twitter)联系起来。当通过服务登录Twitter(我们将这个过程Buffer)时,我们可以将这些Buffer附到Twitter的数据流上(we are allowing Buffer to post to our Twitter stream)。
使用tokens时,可以提供可选的权限给第三方应用程序。当用户想让另一个应用程序访问它们的数据,我们可以通过建立自己的API,得出特殊权限的tokens。
多平台跨域
我们提前先来谈论一下CORS(跨域资源共享),对应用程序和服务进行扩展的时候,需要介入各种各种的设备和应用程序。
Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.
只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。
<span style="margin:0px; padding:0px; color:rgb(255,255,255); background-color:rgb(0,0,0)"><code class=" language-javascript" style="margin:0px; padding:0px"> Access<span class="token operator" style="margin:0px; padding:0px">-Control<span class="token operator" style="margin:0px; padding:0px">-Allow<span class="token operator" style="margin:0px; padding:0px">-Origin<span class="token punctuation" style="margin:0px; padding:0px">: <span class="token operator" style="margin:0px; padding:0px">* <br style="margin:0px; padding:0px" /></span></span></span></span></span></code></span>基于标准
创建token的时候,你可以设定一些选项。我们在后续的文章中会进行更加详尽的描述,但是标准的用法会在JSON Web Tokens体现。
最近的程序和文档是供给JSON Web Tokens的。它支持众多的语言。这意味在未来的使用中你可以真正的转换你的认证机制。
总结
这篇文章仅仅是介绍了为什么选择基于Token的身份验证,并且怎样使用它。
TOKEN 验证详解相关推荐
- 微信小程token_微信小程序url与token设置详解
微信小程序url与token设置详解 新浪云应用sae的代码里创建一个weixin.php文件,写入以下代码 isValid(); class wechatAPI { public function ...
- python 参数拼接token_对python的unittest架构公共参数token提取方法详解
额...每个请求都有token值的传入,但是token非常易变,一旦变化,所有的接口用例都得改一遍token,工作量太大了... 那么有没有一种方法能把token提取出来,作为一个全局变量,作为一个参 ...
- JavaScript 身份证号有效验证详解及实例代码
这篇文章主要介绍了JavaScript 身份证号有效验证详解及实例代码的相关资料,需要的朋友可以参考下 JavaScript验证身份证号 1 2 3 4 5 6 7 8 9 10 11 12 13 1 ...
- android-短信验证功能,Android实现获取短信验证码的功能以及自定义GUI短信验证详解...
<Android实现获取短信验证码的功能以及自定义GUI短信验证详解>由会员分享,可在线阅读,更多相关<Android实现获取短信验证码的功能以及自定义GUI短信验证详解(8页珍藏版 ...
- python编写一个登陆验证程序_Python实现简单登录验证详解
本文实例为大家分享了简单的Python登录验证,供大家参考,具体内容如下 编写登录接口 要求:1.输入用户名密码 2.认证成功后显示欢迎信息 3.输错三次后锁定 #coding=utf-8 __aut ...
- token 生成详解
token就是一种身份验证方法,和cookie有相似作用:它被很多人翻译过来后生动的称为"令牌",它的扩展性,安全性更高,非常适合用在Web应用和移动开发应用上. token验证流 ...
- IdentityServer4实战 - JWT Token Issuer 详解
一.前言 本文为系列补坑之作,拖了许久决定先把坑填完. 下文演示所用代码采用的 IdentityServer4 版本为 2.3.0,由于时间推移可能以后的版本会有一些改动,请参考查看,文末附上Demo ...
- 微信公众开发URL和token填写详解
作为一名微信公众号开发者,别人进入你的微信公众号,肯定会看见某些网页,或者给你发某些信息,你需要实时自动回复,所以你需要一个24小时为用户服务的服务器.我们所要填写的url就是你提供的服务器的地址,前 ...
- 两台服务器身份验证,详解三种不同的身份验证协议
本文最初发布于devever.net网站,经原作者授权由InfoQ中文站翻译并分享. 现在,身份验证协议的数量快赶上应用程序协议,结果,这个领域很容易让人困惑. 最容易把人搞糊涂的是,很少有人注意到这 ...
最新文章
- Ubuntu 16.04 安装Django
- 搭建可视化网页的software package_网页制作与网站搭建步骤教程
- java、intellij idea、groovy
- [转载]C#中各种计时器
- ABB机器人ROBOTSTUDIO中轨迹与二次开发的问答
- MySQL数据库入门到高薪培训教程(从MySQL 5.7 到 MySQL 8.0)
- Springboot整合RocketMQ实战
- 贪心算法求解TSP问题(python)
- 基于JAVA+SpringMVC+Mybatis+MYSQL的医院管理系统
- HTML和CSS精要基础知识整理
- JVM内存区域(一)
- Stack with max and min 查找栈中最大最小数
- 从零开始学习makefile(8) gcc -MM的作用
- Python代码加密方案总结(巨全面和详细)
- 光纤交换机配置zone
- mysql 回滚sql_Mysql误操作后使用binlog2sql快速回滚
- 离散数学:n个相同的小球,可以放入m个相同的盒子里,允许有空盒,问有多少种不同方法
- 新手都能用到的140个电脑技巧
- c语言switch问候语,C语言switch语句用法详解
- 二阶系统参数用matlab,实验一基于MATLAB的二阶系统动态性能分析