每个客户端都有一个唯一的身份验证令牌,其中所有令牌都存储在服务器数据库中。由于这实际上是一个密码,提供对所有登录用户数据的访问,我认为它需要以某种方式在数据库中模糊。请问有人这么做吗?
我认为以下任何一个选项都足够安全,但是有一个比专业人士更有利吗?
加密令牌以进行存储,并使用存储在服务器上受保护文件中的私钥进行身份验证时解密。
让客户端创建并存储唯一密钥,然后使用它来散列存储在服务器上的数据库令牌并将其与每个请求一起发送,这意味着令牌只有在可以使用唯一身份验证时才有效键。
根据我的有限知识,选项2似乎是最安全的,所以有可接受的方式吗?我模糊地意识到这个过程可能如何运作,但很难将其付诸实践,因此您可能知道的博客文章的任何链接都会很棒!
谢谢!