如果我将HMAC附加到身份验证令牌,则令牌不会被篡改。我注意到许多文章还建议加密令牌(包含用户ID,到期日期和哈希)。加密有什么意义?这不是浪费CPU时间吗? (您必须为每个请求解密令牌。)如果未加密,则任何人都可以看到用户ID和到期日期。那有什么害处?
答案 0 :(得分:0)
仅使用HMAC是一个可行的选择:http://c2.com/cgi/wiki/wiki?HmacUserAuthentication
但是:注意缺点
没有隐私。如果您需要隐私,则需要完全加密:使用SSL。 HmacUserAuthentication用于提供服务的安全性,而不是 隐私。
因此,如果使用普通连接,则需要加密。在SSL的情况下,仅当您想要阻止最终用户读取令牌时才需要额外的加密。