【发布时间】:2016-03-24 06:31:30
【问题描述】:
我正在尝试使用 ASP.NET Web api 构建具有登录功能的移动应用,并且我需要实现基于令牌的身份验证,
我需要的是,作为用户第一次使用用户名和密码登录时,将生成一个带有过期日期的新令牌以及一个刷新令牌,我正在考虑刷新令牌,因为用户没有每次令牌过期时登录,
令牌保存在移动设备和数据库中,因此对于每个请求,无论是在请求标头中还是与发布的数据一起发送令牌,
我不完全了解基于令牌的身份验证是如何工作的,将加密或散列的令牌发送给用户并在服务器中处理请求
编辑: 中间的攻击者可以读取令牌并开始使用令牌向服务器发送请求。我的意思是他不需要知道令牌的实际含义。
我创建了一个具有这些属性(UserID、Token、RefreshToken、ExpiryDate)的类,但我读到这不是一个好方法,
我使用 AES 进行加密,使用 SHA256 进行哈希
感谢您的帮助,
【问题讨论】:
标签: security authentication asp.net-web-api token http-token-authentication