token认证方案的疑问
来源:SegmentFault
时间:2023-01-09 19:14:21 416浏览 收藏
来到golang学习网的大家,相信都是编程学习爱好者,希望在这里学习Golang相关编程知识。下面本篇文章就来带大家聊聊《token认证方案的疑问》,介绍一下Java、go、PHP、Django、javae,希望对大家的知识积累有所帮助,助力实战开发!
问题内容
最近在写api授权,JWT 暂时不选择 因为它颁发后不可控制,没法失效,而且太长!
自己写 用户登录后生成一个 k:v 存储在redis 例如key是
uuidV4value是用户的id;
但是网上说还有一种 就是用户登录后颁发token,为了避免token被截获,伪造非法请求,在每次请求时,可以用(userid+token+时间戳+密钥+请求参数),进行签名,服务端验证token,同时验证签名,以保证请求的安全性。
这里的秘钥是不是也要随token一起返给登录接口?
正确答案
JWT 确实不可控制,且在到期前无法控制失效(原生方法),但是 JWT 也带来了一些好处,比如分布式会话,当然, Session 也可以实现,但是 JWT 天生就支持。
就问题而言,你可以在 JWT 的基础上进行扩展,配合 Redis 实现 Token 黑名单机制来让指定的 Token 失效,来弥补这个问题。
当然,这样看来还是不划算的,但是对效率来说并不会影响太多。
接着来说避免被截获问题,无论是 JWT 还是传统 Session (寄存于 Cookie 的 SessionID 都存在这个问题。
尤其是 Cookie,虽然 Cookie 在服务器端下发时带上 HttpOnly ,JS 就无法读取到 Cookie,从而来避免 Cookie 中的 SessionID 泄露,造成安全问题,但是,别忘了 CSRF 问题,Cookie 也可能被利用,从而造成攻击。
如果只是为了避免 Cookie (SessionID)、Token 在传输层被截获,那你就应该考虑至少使用 HTTPS ,因为这样可以避免用户在与服务器交互时 Token、Cookie 被第三人截获的可能。
现在你可能会觉得既然客户端把 Token 存在 Cookie 不安全,那我是不是可以存在其他地方,比如 LocalStorage、SessionStorage 里面?
当然!你确实可以这样做,但是你可能忽略了另一个东西 XSS ,如果你的代码中产生了 XSS 漏洞,那么你无论存在客户端哪儿,都是一样的效果,照样可以被扒走。这时候你除了注意 XSS ,你可能还要注意一下 CSP(内容安全策略) 了,就是你加载的第三方资源安全吗?
最后来在说一下,你这个使用
UserId+Token+时间戳+密钥+请求参数进行签名然后发送,这样靠谱吗?
不是靠谱,你移动端需要始终都需要那个重要的东西
密钥,而这里你要做的主要工作还是防止密钥被获取,因为一旦密钥丢失,别人就可以轻松利用,而且还会无端浪费服务器资源。
以前我也曾提出过这样的方案,并且被实施了,但是在后面的实践中发现,这样做的意义并不大。
你要做的,更多的时候只是需要最简单的,就是使用 HTTPS 。
关于 HTTPS 的知识,可以看下面这两个视频的介绍,可以更加直观的让你去了解
到这里,我们也就讲完了《token认证方案的疑问》的内容了。个人认为,基础知识的学习和巩固,是为了更好的将其运用到项目中,欢迎关注golang学习网公众号,带你了解更多关于golang的知识点!
-
244 收藏
-
354 收藏
-
356 收藏
-
387 收藏
-
435 收藏
-
139 收藏
-
204 收藏
-
325 收藏
-
477 收藏
-
486 收藏
-
439 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 立即学习 542次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 立即学习 507次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 立即学习 497次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 立即学习 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 立即学习 484次学习
-
- 无聊的鲜花
- 这篇文章内容出现的刚刚好,太详细了,写的不错,收藏了,关注楼主了!希望楼主能多写Golang相关的文章。
- 2023-03-13 10:18:08
-
- 慈祥的老师
- 感谢大佬分享,一直没懂这个问题,但其实工作中常常有遇到...不过今天到这,看完之后很有帮助,总算是懂了,感谢up主分享文章!
- 2023-02-19 10:40:05
-
- 高挑的乌冬面
- 太全面了,已收藏,感谢大佬的这篇技术贴,我会继续支持!
- 2023-02-15 16:31:28
-
- 悦耳的毛巾
- 这篇技术贴真是及时雨啊,作者大大加油!
- 2023-02-15 11:04:19
-
- 贪玩的唇膏
- 这篇文章内容真及时,细节满满,很有用,收藏了,关注博主了!希望博主能多写Golang相关的文章。
- 2023-02-08 09:50:56
-
- 无奈的山水
- 很有用,一直没懂这个问题,但其实工作中常常有遇到...不过今天到这,帮助很大,总算是懂了,感谢大佬分享技术贴!
- 2023-02-02 17:20:07
-
- 失眠的板凳
- 这篇技术文章出现的刚刚好,博主加油!
- 2023-01-23 02:31:08
-
- 震动的诺言
- 受益颇多,一直没懂这个问题,但其实工作中常常有遇到...不过今天到这,看完之后很有帮助,总算是懂了,感谢作者大大分享文章!
- 2023-01-22 23:42:22
-
- 痴情的鞋垫
- 很好,一直没懂这个问题,但其实工作中常常有遇到...不过今天到这,看完之后很有帮助,总算是懂了,感谢作者大大分享文章!
- 2023-01-20 23:49:50
-
- 贤惠的帽子
- 这篇博文太及时了,好细啊,很好,收藏了,关注大佬了!希望大佬能多写Golang相关的文章。
- 2023-01-19 08:10:27
-
- 欣慰的鼠标
- 这篇文章真及时,好细啊,真优秀,收藏了,关注作者了!希望作者能多写Golang相关的文章。
- 2023-01-18 15:39:06
-
- 天真的故事
- 这篇技术贴出现的刚刚好,老哥加油!
- 2023-01-18 07:13:32
-
- 阳光的小海豚
- 太详细了,码住,感谢大佬的这篇技术贴,我会继续支持!
- 2023-01-17 14:01:15
-
- 靓丽的雪碧
- 赞 👍👍,一直没懂这个问题,但其实工作中常常有遇到...不过今天到这,帮助很大,总算是懂了,感谢up主分享技术文章!
- 2023-01-15 00:17:59
-
- 包容的鼠标
- 这篇博文真是及时雨啊,好细啊,真优秀,收藏了,关注作者了!希望作者能多写Golang相关的文章。
- 2023-01-13 20:31:20
-
- 顺利的板凳
- 太全面了,已收藏,感谢作者大大的这篇文章,我会继续支持!
- 2023-01-10 08:43:07