讨论使用 tokent (令牌)进行登录

休闲思考
0 33
csroad
csroad 举报
04月12日 13:48

1. 为什么要使用tokent进行登录

前后端分离或者为了支持多个web应用,那么原来的cookies或者session在使用上就会有很大的问题 

cookie和session认证需要在同一主域名下才可以进行认证(目前可以把session存储在redis内进行解决)。

2. 解决方案

oauth2 和 jwt

jwt :是一种安全标准。基本思路就是用户提供用户名和密码给认证服务器,服务器验证用户提交信息信息的合法性;如果验证成功,会产生并返回一个token(令牌) 

OAuth2 :是一个安全的授权框架。它详细描述了系统中不同角色、用户、服务前端应用(比如API),以及客户端(比如网站或移动APP)之间怎么实现相互认证。 

(这里采用jwt,这种JSON Web Token 这种方式进行认证)

使用方式

客户端用户输入用户名密码后执行登录,请求token

服务器收到请求后,使用JWT这种规范,进行生成token,返回给客户端

客户端收到token以后,解密后,验证token的时效性(token的过期时间),保存起来

客户端拿token请求数据

服务器收到token解密后,验证用户身份,验证时效性,然后验证用户

缺点

1. 无法作废已颁布的令牌(对token刷新使用期限)

2. 不易应对过期数据(支持 token 失效)

所以如果你使用了 token ,那么如果 token 被捕获到,那么就可以进行伪造进行冒充。所以如果安全比较高的话,还是建议使用oauth2