使用基于令牌的身份验证时,您应该如何处理多个令牌/到期

时间:2013-11-08 16:18:47

标签: authentication token

我正在阅读/学习基于令牌的身份验证,我在一定程度上了解它,但出现了以下问题。

如果您登录网站A,您将获得一个令牌,此令牌将在创建后24小时过期。

您还访问站点B,它从站点A调用API,允许您访问站点B访问存储在站点A上的信息。此时,令牌将传递到站点B以使用24小时。

这是同一个标记吗? (因此,如果您通过站点B登录到站点A,直接登录站点A后23小时59分钟,您需要在需要新令牌之前通过站点B只需几分钟访问您的信息?)

如果它不是同一个令牌并且您将令牌存储在将其链接到用户的表中,那么每个用户会有多个令牌吗?

将您的令牌生成为随机唯一生成的代码并将其与用户登录详细信息一起存储在数据库中是否明智,或者最好是创建一个令牌,该令牌结合了登录的详细信息并对其进行加密(如果是,每次如何更改令牌)。

1 个答案:

答案 0 :(得分:1)

  

这是同一个标记吗?

那取决于网站A 。使用相同的令牌意味着站点B可以访问站点A上的登录允许您访问的所有内容。如果这似乎不合适,那么站点A将生成具有更有限访问权限的新令牌。在这种情况下,每个用户会有多个令牌。

  

因此,如果您在登录站点A后23小时59分钟通过站点B登录到站点A,那么在需要新令牌之前,您只需要在几分钟内通过站点B访问您的信息?

如果它在创建后24小时到期(你提到过),那么是的。通常会在每次访问时更新到期日,因此可能会再续24小时更新。

就个人而言,我会(并且已经)生成令牌作为随机唯一生成的代码。我认为要么会工作,我相信你可以找到很多意见,比如说 herehere

相关问题
最新问题