我在网上阅读的许多关于基于令牌的身份验证的文章似乎暗示基于令牌的身份验证不同于传统的身份验证#34;身份验证系统部分是因为基于令牌的身份验证"依赖于在每次请求时发送到服务器的签名令牌。"这与传统身份验证系统中每个请求上会话ID发送到服务器的方式有何不同?
答案 0 :(得分:1)
会话ID通常是存储在服务器上的会话数据库中的随机密钥。 “数据库”不一定是RDBM,而是一些存储事物。当请求带有会话ID时,服务器需要查找会话ID以查找会话。如果没有服务器亲缘关系,查找会话可能涉及远程调用。
使用令牌身份验证,不需要是服务器端会话。相反,诸如用户名之类的信息存储在令牌中并直接从客户端传递。如果使用cyrptography,这将导致安全漏洞。但令牌由一个只为服务器所知的秘密签名。因此,服务器可以重新计算签名并验证令牌是否合法。
令牌中的信息可以扩展为包含来自会话的越来越多的信息,可能完全不需要服务器端会话。
有一些参考资料,例如this one。