基于令牌的auth就像这样工作
基于令牌的身份验证系统背后的一般概念很简单。允许用户输入用户名和密码,以获取允许他们获取特定资源的令牌 - 而无需使用他们的用户名和密码。获得令牌后,用户可以向远程站点提供令牌 - 该令牌可在一段时间内访问特定资源。
这可以被认为是安全的,因为当服务器向客户端发出令牌然后在中间时,任何黑客都可以窃取该令牌并在服务器之前作为有效客户端出现。那么告诉我如何生成防盗令牌?
讨论如何将非常安全的令牌传递回来&服务器和服务器之间客户这么中间人不能破解。
答案 0 :(得分:1)
如果连接本身经过身份验证和加密,那就是安全的,这就是HTTPS的用途。
使用有效证书进行身份验证可确保用户正在连接的服务器并将其凭据(密码或令牌)发送到他们希望获得的服务器(...至少只要证书颁发机构值得信任)。 / p>
加密可确保收听流量的人无法看到任何秘密。