關於token
什麼是token
token的意思是「令牌」,是服務端生成的一串字元串,作為客戶端進行請求的一個標識。
當用戶第一次登錄後,伺服器生成一個token並將此token返回給客戶端,以後客戶端只需帶上這個token前來請求數據即可,無需再次帶上用戶名和密碼。
簡單token的組成;uid(用戶唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,token的前幾位以哈希演算法壓縮成的一定長度的十六進位字元串。為防止token泄露)。
身份認證概述
由於HTTP是一種沒有狀態的協議,它並不知道是誰訪問了我們的應用。這裡把用戶看成是客戶端,客戶端使用用戶名還有密碼通過了身份驗證,不過下次這個客戶端再發送請求時候,還得再驗證一下。
通用的解決方法就是,當用戶請求登錄的時候,如果沒有問題,在服務端生成一條記錄,在這個記錄里可以說明登錄的用戶是誰,然後把這條記錄的id發送給客戶端,客戶端收到以後把這個id存儲在cookie里,下次該用戶再次向服務端發送請求的時候,可以帶上這個cookie,這樣服務端會驗證一下cookie里的信息,看能不能在服務端這裡找到對應的記錄,如果可以,說明用戶已經通過了身份驗證,就把用戶請求的數據返回給客戶端。
以上所描述的過程就是利用session,那個id值就是sessionid。我們需要在服務端存儲為用戶生成的session,這些session會存儲在內存,磁碟,或者資料庫。
基於token機制的身份認證
使用token機制的身份驗證方法,在伺服器端不需要存儲用戶的登錄記錄。大概的流程:
客戶端使用用戶名和密碼請求登錄。服務端收到請求,驗證用戶名和密碼。驗證成功後,服務端會生成一個token,然後把這個token發送給客戶端。客戶端收到token後把它存儲起來,可以放在cookie或者Local Storage(本地存儲)里。客戶端每次向服務端發送請求的時候都需要帶上服務端發給的token。服務端收到請求,然後去驗證客戶端請求裡面帶著token,如果驗證成功,就向客戶端返回請求的數據。
利用token機制進行登錄認證,可以有以下方式:
a.用設備mac地址作為token
客戶端:客戶端在登錄時獲取設備的mac地址,將其作為參數傳遞到服務端
服務端:服務端接收到該參數後,便用一個變數來接收,同時將其作為token保存在資料庫,並將該token設置到session中。客戶端每次請求的時候都要統一攔截,將客戶端傳遞的token和伺服器端session中的token進行對比,相同則登錄成功,不同則拒絕。
此方式客戶端和服務端統一了唯一的標識,並且保證每一個設備擁有唯一的標識。缺點是伺服器端需要保存mac地址;優點是客戶端無需重新登錄,只要登錄一次以後一直可以使用,對於超時的問題由服務端進行處理。
b.用sessionid作為token
客戶端:客戶端攜帶用戶名和密碼登錄
服務端:接收到用戶名和密碼後進行校驗,正確就將本地獲取的sessionid作為token返回給客戶端,客戶端以後只需帶上請求的數據即可。
此方式的優點是方便,不用存儲數據,缺點就是當session過期時,客戶端必須重新登錄才能請求數據。
當然,對於一些保密性較高的應用,可以採取兩種方式結合的方式,將設備mac地址與用戶名密碼同時作為token進行認證。
APP利用token機制進行身份認證
用戶在登錄APP時,APP端會發送加密的用戶名和密碼到伺服器,伺服器驗證用戶名和密碼,如果驗證成功,就會生成相應位數的字元產作為token存儲到伺服器中,並且將該token返回給APP端。
以後APP再次請求時,凡是需要驗證的地方都要帶上該token,然後伺服器端驗證token,成功返回所需要的結果,失敗返回錯誤信息,讓用戶重新登錄。其中,伺服器上會給token設置一個有效期,每次APP請求的時候都驗證token和有效期。
token的存儲
token可以存到資料庫中,但是有可能查詢token的時間會過長導致token丟失(其實token丟失了再重新認證一個就好,但是別丟太頻繁,別讓用戶沒事兒就去認證)。
為了避免查詢時間過長,可以將token放到內存中。這樣查詢速度絕對就不是問題了,也不用太擔心佔據內存,就算token是一個32位的字元串,應用的用戶量在百萬級或者千萬級,也是占不了多少內存的。
token的加密
token是很容易泄露的,如果不進行加密處理,很容易被惡意拷貝並用來登錄。加密的方式一般有:
在存儲的時候把token進行對稱加密存儲,用到的時候再解密。文章最開始提到的簽名sign:將請求URL、時間戳、token三者合併,通過演算法進行加密處理。
最好是兩種方式結合使用。
還有一點,在網路層面上token使用明文傳輸的話是非常危險的,所以一定要使用HTTPS協議。
總結
以上就是對於token在用戶身份認證過程中的簡單總結。希望沒有技術背景的產品經理們在和開發哥哥溝通的時候不要再被這些技術術語問住了。
推薦閱讀:
※幾年前的舊安卓手機現在可以用來幹些什麼有趣的事情?
※7月15號 科技播報 科技大街
※北林科技提供觀賞草種子大全
※沒錯,AR就是AI
※你不懂我的沉默,又怎懂得我的難過 | 酷聽科技