使用Token认证方案时，密钥是否需要随Token一起颁发给用户？

小伙伴们对Golang编程感兴趣吗？是否正在学习相关知识点？如果是，那么本文《使用Token认证方案时，密钥是否需要随Token一起颁发给用户？》，就很适合你，本篇文章讲解的知识点主要包括。在之后的文章中也会多多分享相关知识点，希望对大家的知识积累有所帮助！

token认证方案的疑问

提问：

网上有一种token认证方案，为了避免token被截获，会在请求时使用(userid+token+时间戳+密钥+请求参数)进行签名。请问这里的密钥是否也要随token一起颁发给用户？

解答：

JWT虽然无法控制失效，但可以配合Redis实现Token黑名单机制弥补。

避免token被截取的方法：

• 通过HTTPS传送token，防止明文传输。
• 禁用客户端Cookie，防止XSS攻击通过浏览器获取token。
• 使用CSP(内容安全策略)控制加载的第三方资源。

关于自定义签名方案：

• 移动端需要始终携带密钥，存在被获取的风险。
• 防止密钥泄露是关键。
• 实践中发现，该方案意义不大。
• 推荐使用最简单的HTTPS进行保护。

到这里，我们也就讲完了《使用Token认证方案时，密钥是否需要随Token一起颁发给用户？》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！