據稱索尼PS將在明年春季推出新訂閱服務對抗XGP
一.簡介
token的意思是“令牌”,是服務端生成的一串字串,作為客戶端進行請求的一個標識。
當用戶第一次登入後,伺服器生成一個token並將此token返回給客戶端,以後客戶端只需帶上這個token前來請求資料即可,無需再次帶上使用者名稱和密碼。
簡單token的組成;uid(使用者唯一的身份標識)、time(當前時間的時間戳)、sign(簽名,token的前幾位以雜湊演算法壓縮成的一定長度的十六進位制字串。為防止token洩露)
二.身份認證概述
由於HTTP是一種沒有狀態的協議,它並不知道是誰訪問了我們的應用。這裡把使用者看成是客戶端,客戶端使用使用者名稱還有密碼通過了身份驗證,不過下次這個客戶端再發送請求時候,還得再驗證一下。
通用的解決方法就是,當用戶請求登入的時候,如果沒有問題,在服務端生成一條記錄,在這個記錄裡可以說明登入的使用者是誰,然後把這條記錄的id傳送給客戶端,客戶端收到以後把這個id儲存在cookie裡,下次該使用者再次向服務端傳送請求的時候,可以帶上這個cookie,這樣服務端會驗證一下cookie裡的資訊,看能不能在服務端這裡找到對應的記錄,如果可以,說明使用者已經通過了身份驗證,就把使用者請求的資料返回給客戶端。
以上所描述的過程就是利用session,那個id值就是sessionid。我們需要在服務端儲存為使用者生成的session,這些session會儲存在記憶體,磁碟,或者資料庫。
基於token機制的身份認證
使用token機制的身份驗證方法,在伺服器端不需要儲存使用者的登入記錄。大概的流程:
客戶端使用使用者名稱和密碼請求登入。服務端收到請求,驗證使用者名稱和密碼。驗證成功後,服務端會生成一個token,然後把這個token傳送給客戶端。客戶端收到token後把它儲存起來,可以放在cookie或者Local Storage(本地儲存)裡。客戶端每次向服務端傳送請求的時候都需要帶上服務端發給的token。服務端收到請求,然後去驗證客戶端請求裡面帶著token,如果驗證成功,就向客戶端返回請求的資料。
利用token機制進行登入認證,可以有以下方式:
a.用裝置mac地址作為token
客戶端:客戶端在登入時獲取裝置的mac地址,將其作為引數傳遞到服務端
服務端:服務端接收到該引數後,便用一個變數來接收,同時將其作為token儲存在資料庫,並將該token設定到session中。客戶端每次請求的時候都要統一攔截,將客戶端傳遞的token和伺服器端session中的token進行對比,相同則登入成功,不同則拒絕。
此方式客戶端和服務端統一了唯一的標識,並且保證每一個裝置擁有唯一的標識。缺點是伺服器端需要儲存mac地址;優點是客戶端無需重新登入,只要登入一次以後一直可以使用,對於超時的問題由服務端進行處理。
b.用sessionid作為token
客戶端:客戶端攜帶使用者名稱和密碼登入
服務端:接收到使用者名稱和密碼後進行校驗,正確就將本地獲取的sessionid作為token返回給客戶端,客戶端以後只需帶上請求的資料即可。
此方式的優點是方便,不用儲存資料,缺點就是當session過期時,客戶端必須重新登入才能請求資料。
當然,對於一些保密性較高的應用,可以採取兩種方式結合的方式,將裝置mac地址與使用者名稱密碼同時作為token進行認證。
APP利用token機制進行身份認證
使用者在登入APP時,APP端會發送加密的使用者名稱和密碼到伺服器,伺服器驗證使用者名稱和密碼,如果驗證成功,就會生成相應位數的字元產作為token儲存到伺服器中,並且將該token返回給APP端。
以後APP再次請求時,凡是需要驗證的地方都要帶上該token,然後伺服器端驗證token,成功返回所需要的結果,失敗返回錯誤資訊,讓使用者重新登入。其中,伺服器上會給token設定一個有效期,每次APP請求的時候都驗證token和有效期。
token的儲存
token可以存到資料庫中,但是有可能查詢token的時間會過長導致token丟失(其實token丟失了再重新認證一個就好,但是別丟太頻繁,別讓使用者沒事兒就去認證)。
為了避免查詢時間過長,可以將token放到記憶體中。這樣查詢速度絕對就不是問題了,也不用太擔心佔據記憶體,就算token是一個32位的字串,應用的使用者量在百萬級或者千萬級,也是佔不了多少記憶體的。
token的加密
token是很容易洩露的,如果不進行加密處理,很容易被惡意拷貝並用來登入。加密的方式一般有:
在儲存的時候把token進行對稱加密儲存,用到的時候再解密。文章最開始提到的簽名sign:將請求URL、時間戳、token三者合併,通過演算法進行加密處理。最好是兩種方式結合使用。
還有一點,在網路層面上token使用明文傳輸的話是非常危險的,所以一定要使用HTTPS協議。
總結
以上就是對於token在使用者身份認證過程中的簡單總結。希望沒有技術背景的產品經理們在和開發哥哥溝通的時候不要再被這些技術術語問住了。