2

基于令牌的身份验证以这种方式工作

基于令牌的身份验证系统背后的一般概念很简单。允许用户输入他们的用户名和密码以获得允许他们获取特定资源的令牌 - 无需使用他们的用户名和密码。一旦获得了他们的令牌,用户就可以向远程站点提供令牌——它在一段时间内提供对特定资源的访问权限。

这如何被认为是安全的,因为当服务器向客户端颁发令牌时,任何黑客都可以在中间窃取该令牌并作为有效客户端出现在服务器面前。那么告诉我如何生成防盗令牌?

讨论如何非常安全的方式令牌可以在服务器和客户端之间来回传递,这样中间人就无法破解。

4

1 回答 1

1

如果连接本身经过身份验证和加密,那么它是安全的,这就是 HTTPS 的用途。

使用有效证书进行身份验证可确保用户连接并将其凭据(密码或令牌)发送到的服务器是他们期望获得的服务器(......至少只要证书颁发机构值得信赖)。

加密确保监听流量的人无法看到任何秘密。

于 2015-05-13T20:15:44.427 回答