Token(令牌)介绍
Token(令牌)通常指的是一种代表某种权限或身份的凭证,广泛应用于身份验证、授权以及跨服务通信等场景中。Token 在 Web 安全、API 认证、单点登录(SSO)等方面扮演着重要角色。
Token 可以被视为一种用来证明身份的工具,它包含了一个经过签名或加密的字符串,用户或系统可以通过它在多个服务或系统之间进行交互。
Token 的类型
根据使用场景和应用,Token 主要有以下几种类型:
- 访问令牌(Access Token)访问令牌通常用于授权,代表用户的身份和权限。它是通过认证服务器生成并颁发的,用户持有访问令牌后可以使用它访问受保护的资源。访问令牌通常是短期有效的,一旦过期,用户需要重新认证或获取新的令牌。
- 刷新令牌(Refresh Token)刷新令牌通常与访问令牌配对使用。它的作用是当访问令牌过期时,能够用来请求新的访问令牌。刷新令牌本身的有效期通常较长,可能是几天、几周甚至更长。刷新令牌的使用通常可以避免用户频繁登录,增强用户体验。
- 身份令牌(ID Token)身份令牌主要用于身份验证,通常由身份认证服务(如 OAuth2.0 或 OpenID Connect)生成。它包含了关于用户身份的声明,如用户名、电子邮件、角色等。ID Token 在身份验证流程中用于确认用户身份,通常伴随着 Access Token 一起发放。
- JWT(JSON Web Token)JWT 是一种非常常见的 Token 类型。它是一种开放标准(RFC 7519),通过 JSON 对象来传递信息,特别适合于 Web 应用和分布式系统。JWT 令牌包含了三个部分:头部、有效载荷和签名,使用 Base64 编码进行传输。JWT 可以用来做身份验证和授权,常常用于 RESTful API 和单点登录(SSO)场景。
- API TokenAPI Token 用于认证客户端应用或用户在调用 API 时的身份。通常,它是由服务器生成并提供给客户端,客户端在后续的 API 请求中附带这个令牌来证明自己的身份。
Token 的工作原理
Token 的使用流程通常包括以下几个步骤:
1.认证过程:
- 用户或客户端应用提供其凭证(如用户名/密码,或者第三方认证服务如 OAuth 或 OpenID)向认证服务器发起请求。
- 认证服务器验证凭证的有效性,如果有效,则返回一个Token(通常是 Access Token 和可能的 Refresh Token)。
2.使用 Token 访问资源:
- 客户端应用在后续的 API 请求中,将 Token 作为请求头的一部分(通常使用 Authorization: Bearer <Token>)发送给资源服务器。
- 资源服务器验证 Token 的有效性,包括检查签名、过期时间等,确保 Token 没有被篡改,并且是合法的。如果验证通过,资源服务器就会处理客户端的请求并返回响应。
3.过期和刷新:
- Token 通常有一个有效期(过期时间),一旦过期,客户端应用需要使用 Refresh Token(如果有的话)来请求一个新的 Access Token,或重新进行身份验证获取新的 Token。
4.登出或无效化 Token:
- 当用户退出登录时,Token 可以被销毁或无效化,确保 Token 无法再用于访问资源。
Token 的优缺点
优点:
1.无状态认证(Stateless Authentication):
- 使用 Token 的认证机制是无状态的,即服务器不需要维护会话状态(Session),每个请求携带 Token 即可验证身份。这样有助于提高扩展性和系统性能,尤其在分布式系统中非常有效。
2.跨域支持:
- Token(特别是 JWT)非常适合跨多个域或服务之间的身份验证和授权,能够在不同应用之间共享用户的身份信息。
3.增强的安全性:
- Token 可以采用加密和签名技术进行保护,防止被篡改。某些 Token(如 JWT)内嵌了过期时间等信息,增强了对用户会话管理的灵活性。
4.简化移动设备和单页应用(SPA)的认证:
- Token 通过HTTP请求的Header传递,不依赖于传统的Cookies,因此更适用于移动应用和前后端分离的单页应用
(SPA)。
缺点:
1.Token 泄漏风险:
- 如果 Token 被恶意用户窃取,可能会导致安全问题。虽然 Token 可以加密或签名,但仍然需要保护好 Token 的存储和传输方式(例如,避免通过 URL 传输)。
2.过期和刷新机制:
- Token 通常有过期时间,过期后需要重新获取,刷新机制可能引入额外的复杂性。例如,使用 Refresh Token 需要在服务器端配置更新和存储机制。
3.无法撤销(Revoke):
- 除非特别设计,Token 的机制往往不支持实时撤销。如果用户的权限被修改或他们登出,Token 仍然有效,直到过期。因此,Token 的撤销机制是一个重要的安全问题。
4.存储问题:
- 在客户端存储 Token 时(如在浏览器的 LocalStorage 或移动设备上),需要特别注意安全性,避免被 XSS 攻击或其他方式泄露。
Token 在不同场景中的应用
1.OAuth 2.0 和 OpenID Connect:
- 在 OAuth 2.0 和 OpenID Connect 中,Token 被广泛用于授权和身份验证。OAuth 2.0 使用 Access Token 来授权客户端访问资源,而 OpenID Connect 使用 ID Token 来传递用户的身份信息。
2.API 身份验证:
- 在微服务架构中,Token 被广泛用于跨服务之间的身份验证。客户端(如移动应用或前端)通过携带 Token 向后端 API 发起请求,后端 API 验证 Token 的有效性并授权访问。
3.单点登录(SSO):
- 在单点登录系统中,Token 被用作用户的认证凭证。用户在多个服务之间切换时,Token 用于共享认证信息,从而避免用户需要重复登录。
4.JWT:
- JWT(JSON Web Token)是一种非常流行的 Token 格式,广泛应用于 Web 应用、RESTful API、微服务以及跨域身份认证。JWT 包含了编码后的头部、有效载荷和签名,支持加密和验证。
5.Web 应用认证:
- 在传统的 Web 应用中,Token 可以替代传统的 Cookie 会话,用于身份验证和授权。Token 通常在 HTTP 请求的 Authorization Header 中传递,避免了跨站请求伪造(CSRF)等攻击。
JWT(JSON Web Token)
JWT 是一种非常流行的 Token 格式,通常用于 Web 应用的认证。JWT 是一种紧凑的、URL 安全的、基于 JSON 的令牌格式。
JWT 通常由三部分组成:
1.头部(Header):
- 头部通常由两部分组成:令牌的类型(通常是 "JWT")和所使用的签名算法(如 HMAC SHA256 或 RSA)。
2.有效载荷(Payload):
- 有效载荷包含了声明(claims),也就是有关用户的信息,例如用户名、电子邮件、角色等。声明分为三种类型:
- 注册声明(Registered Claims):预定义的标准字段,如 iss(发行者)、exp(过期时间)、sub(主题)等。
- 公共声明(Public Claims):用户定义的字段,可以避免冲突的公共字段。
- 私有声明(Private Claims):自定义的声明,用于传递特定于应用程序的用户信息。
3.签名(Signature):
- 为了防止 Token 被篡改,JWT 使用密钥对头部和载荷进行签名。签名的生成依赖于选定的算法(如 HMAC SHA256)以及一个密钥或公私钥对。
JWT 格式的一个典型例子如下:
<Header>.<Payload>.<Signature>
JWT 示例
{
"alg": "HS256",
"typ": "JWT"
}
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
JWT 签名可以使用私钥(RSA、ECDSA)或对称密钥(HMAC)生成。验证签名时,接收方会使用相应的公钥或对称密钥来检查
JWT 是否被篡改。
美图秀秀公司氛围 56人发布