市场监督管理局是干什么的,seo网络优化招聘,wordpress 仿站思路,公众号开发者怎么添加单token机制
认证机制#xff1a;对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。
不足之处#xff1a;
安全性较低(因为只有一个token在客户端和服务器端之间进行传递#xff0c;一目Acess Token被截获或者被泄露…单token机制
认证机制对与单token的认证机制在我们项目中仅使用一个Access Token的访问令牌进行用户身份认证和授权的方案处理。
不足之处
安全性较低(因为只有一个token在客户端和服务器端之间进行传递一目Acess Token被截获或者被泄露攻击者就会在有效时间内完成模拟用户行为访问所有受保护资源)短有效期策略限制无法撒销会话(为了提高安全性access token通常设置的时间是比较短的然而需要频繁的去获取access token.影响的是用户的体验尤其是长时间操作或者是后台的服务场景下就会遇到一个瓶矜而且也无法撤销对应的汇报如果某个token被盗用了难以立即撤销这个token的有效性从而不能立即中断攻击者的访问权限)无代态刷新问题(若要自动去刷新token维持长期的绘画单token的机制需要将刷新的逻辑耦合到具体的业务流程当中这就会增加复杂性和潜在的安全风险)没有权限细分管理(单一的access token包含所有的授权信息不易于对不同范文或者是力度的一个资源进行精细化的访问控制)
双Token机制
操作机制双Token主要包含了AccessToken (访问令牌) 和 RefreshToken (刷新令牌)它的出现就是为了解决单token的不足所以才会引入双token的机制也就是 RefreshToken (刷新令牌)因为它可以延长实际的绘画时间用户提供了一种安全的方式来去更新AccessToken并且在必要的时候撤销特定用户的权限而并不会影响有效的绘画内容。
实时上双token的机制是 o os 2.0标准中常见的一种实现主要包含两个类型的token一个是AccessToken (访问令牌) 一个是RefreshToken (刷新令牌)
AccessToken (访问令牌)它会设置一个有效时间较短的令牌内容用于的是用户每次请求受保护资源时进行身份验证的操作通常直接包含在api请求头或者是URL地址参数之中用于证明客户端其实是有权限去访问特定的资源的
RefreshToken (刷新令牌)刷新令牌会设置一个有效时间比较长并且安全存储比较高的一个令牌主要用于AccessToken过期了以后去重新获取AccessToken的操作内容。我们并不需要用户去提供一个特殊的登录凭证。因为RefreshToken 一般不会频繁的在网络上进行传输目的就是为了降低被截取的一个风险
双token有很多优势:
安全性提升因为AccessToken和RefreshToken其实是会被分离的即使AccessToken被盗用了但是由于有效时间是比较短的损失还是可以控制的同时RefreshToken的安全性则会变的更高一般还不暴露在网络的传输过程当中攻击者其实很难窃取到AccessToken长期的有效访问权限用户体验优化RefreshToken可以实现无感知的token刷新也就是我们所说的无感刷新因为当AccessToken失效的时候客户端就会自动去刷新AccessToken利用的就是RefreshToken用户并不需要进行一个重新的登录从而保证操作的连贯性权限控制灵活而且双token机制还有很好的权限控制灵活性可以通过控制RefreshToken的有效期刷新次数等方式来灵活的管理用户的绘画生命周期并且在必要的时候去撤销RefreshToken的内容从而终止后续所以AccessToken的一个访问生成
双token流程 用户登录主要是用户通过用户名或者是用户码或者其他凭证向服务器去进行访问----
验证通过验证我们的一个身份然后服务器将会设置一个请求授权----
颁发Access Token Refresh Token当认证成功了以后颁发两个内容一个是Access Token 另一个 Refresh TokenAccess Token是一个短期的token比如几十分钟Refresh Token是一个长期的token比如可以设置几天或者更长的时间这两个token都会返回客户端----- 客户端存储tokens并且客户端会进行对应的存储---
客户端使用Access Token访问受保护资源查看Access Token是否已经有过期的风险当Access Token即将或者已经过期了后客户端用Refresh Token向服务器发送一个新的请求获取新的Access Token服务器验证Refresh Token有效如Refresh Token有效就会颁发一个新的Access Token当然在此过程中有两种不同的情况一种是并不会刷新Refresh Token还有一种在申请Access Token的时候还可能会重新生成Refresh Token那么这两个token的有效期时间会从当前的时间段往回深延具体的选择需要根据实际的业务情况进行策略的抉择--- 客户端更新存储的tokens客户端接收到新的Access Token以后则需要替换原来的Access Token并且在新访问的时候则使用新的token进行一个访问
应用场景
实时上双token我们可以应用到单点登录移动应用或者是web网站应用当中或者是第三方授权操作处理等
注意事项
Refresh Token安全的存储需要去确定客户端确保Refresh Token在本地实现更为安全的存储操作需要去避免被泄露被篡改而且对应Refresh Token需要去实时更为合理的生命周期管理和失效的策略包括并且不限于我们响应的倒退时间还得去考虑何时更新或者是废除Refresh Token我们需要考虑并发的处理防止同一个Refresh Token在同一时刻被多次刷新Access Token目的就是为了防止我们的攻击行为那么当用户进行系统退出的时候注销的不光是Access Token还得将Refresh Token也进行一个一统删除确保用户在进行后续操作的时候无法在获得最新的一个授权那么对于访问的限制Refresh Token相关接口应该收到一个严格的控制仅限于可性的客户端才能进行对应的访问处理
