【问题标题】:how does token validation works on token based authantication systems令牌验证如何在基于令牌的身份验证系统上工作
【发布时间】:2016-02-16 07:59:10
【问题描述】:

将基于令牌的身份验证与传统的服务器身份验证进行比较时,据说:传统方法将登录信息保存在服务器端的内存中,但在基于令牌的身份验证中,服务器不保留任何内容。有关登录用户的信息存储在令牌本身中。

但是,我在这里没有得到一分。如果服务器不存储任何东西,服务器如何验证令牌?我认为它应该存储密钥以解密令牌然后验证。

如果是这样,它存储在哪里?如果不是,我错过了什么?

【问题讨论】:

    标签: authentication oauth token


    【解决方案1】:

    发出令牌的服务器,digitally signs 带有私钥的令牌。

    使用令牌的服务只需要公钥来验证令牌。它可以在启动或首次使用时从发布服务器下载公钥。之后,它不需要与发行服务器通信来验证令牌。如果签名有效,则服务信任令牌的内容。

    【讨论】:

      【解决方案2】:

      例如,看“jwt”,它使用“ssh”键

      【讨论】:

      • 在ssh中,我们不需要密钥来加密和解密数据吗?如果我们需要一个密钥,服务器应该把这个密钥保存在某个地方。它是存储在内存中还是数据库中?
      • 您可以对所有令牌只使用一个密钥,并将其保存在内存中。所有其他特定于用户的数据都位于令牌中。
      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2021-01-25
      • 2016-01-23
      • 2016-01-29
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多