- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我想知道哪个更安全地进行身份验证,为什么?
基于 session 的身份验证或基于 token 的身份验证?
我知道 session 也可以用于其他事情,但现在我只对身份验证感兴趣。
如果使用 token (甚至不在内存中),服务器端是否不会存储任何内容?如果是,那么它如何识别过期的 token ,因为它也是使用相同的 secret 签名的?
最佳答案
上面评论中链接的有关信息安全的问题有很多相关信息。话虽如此,在这个问题中提出的一些其他问题应该得到解决:
安全
对服务器实现一无所知,这两种方法都可以同样安全。基于 session 的身份验证主要依赖于 session 标识符的可猜测性(如信息安全答案中所述,它本身就是一个非常简单的 token )。如果 session 标识符是一个单调递增的数字 id,那么它就不是很安全,OTOH 它可能是一个具有巨大 key 空间的不透明加密强唯一 ID,使其非常安全。您可能会使用您选择的服务器框架提供的 session 实现,因此您需要检查一下。之后,使用 session 身份验证,您的服务器实现需要验证服务器存储的 session 是否包含相关授权(即用户帐户数据、角色等)——因为许多服务器 session 框架将默认根据需要自动生成空 session ,不能将 session 存在的事实作为有效认证和授权的足够证据。
例如,PHP 的内部 session ID 生成使用完全随机的 288 位数字(默认设置),因此它被认为是安全的,OTOH - 默认情况下它会自动生成 session ,因此必须遵守先前的注释(或禁用自动 session 创建和使确保服务器仅根据需要创建 session )。
此外,如果 session ID 是使用 HTTP URL 查询字符串传递的,这是过去几天的默认设置,那么 session 很容易被盗,这会使整个过程变得不安全。
token 安全主要基于安全 token 生成:如果服务器以安全方式生成 token - 即不可猜测和可验证 - 如信息安全答案中所示。一个幼稚的实现(我见过一次)可能是对一个已知 token (例如用户名)进行 MD5 散列,这使得它非常不安全,即使是在加盐时也是如此。使用加密 token 时,安全性与加密强度密切相关,加密强度由所使用的算法、 key 长度以及 - 最重要的 - 服务器 key 的安全程度决定:如果服务器 key 被硬编码到服务器实现,然后该代码是开源的...
贮存
服务器是否需要存储任何东西通常取决于 token 的实现。
许多实现使用“API key ”的概念作为“ token 身份验证”,因此 token 通常只是一些加密安全的 ID,用于记录已生成哪些“API key ”的数据库。这需要存储,但具有实现更简单的优点,更重要的是能够撤销 token 。
另一种方法是让 token 携带自己的真实性——这允许服务器从本质上将 token 的存储卸载到客户端并将客户端用作数据库——非常像 HTTP Cookies 允许服务器将一些存储要求卸载到客户端的方式。客户端(通常用于客户端的特定设置,例如用户想要浅色界面还是深色界面)。
用于此的两种模式在信息安全答案中得到了很好的展示:签名和加密。
关于security - session 与基于 token 的身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40200413/
是否为每个 Shiny session 分配了 session ID/ session key (如果部署在 Shiny 服务器上)?如果是,我如何访问该信息?我已阅读文档here然而上网查了一下,并
我正在使用 this koajs session 模块。 我检查了源代码,但我真的无法理解。 我想知道它保存 session 数据的位置,因为我没有看到创建的文件,并且当服务器重新启动时, sessi
实现高可扩展性的一种方法是使用网络负载平衡在多个服务器之间分配处理负载。 这种方法提出的一个挑战是服务器是否具有状态意识 - 将用户状态存储在“ session ”中。 此问题的一个解决方案是“粘性
在负载平衡服务器的上下文中, session 亲和性和粘性 session 之间有什么区别? 最佳答案 我见过这些术语可以互换使用,但有不同的实现方式: 在第一个响应中发送 cookie,然后在后续响
我希望其他人向我解释哪种方法更好:使用 session 或设计无 session 。我们正在开始开发一个新的 Web 应用程序,但尚未决定要遵循什么路径。 无 session 设计在我看来更可取: 优
现在用户在他的权限中有很多角色,我将允许他点击 href 并在新窗口中扮演另一个角色。每个角色都有自己的 session 。 既然浏览器打开窗口不能用新 session 打开,我必须在服务器端想办法。
我正在尝试为express.js Node 应用程序实现 session 存储我的问题是: 如何删除具有浏览器 session 生命周期的 cookie(根据连接文档标记有 expires = fal
在开始在 golang 中使用 session 之前,我需要回答一些问题 session 示例 import "github.com/gorilla/sessions" var store = ses
我读过 Namespaced Attributes . 我尝试使用此功能: #src/Controller/CartController.php public function addProduct(
我正在努力完成以下工作: 根据用户的类型更改用户的 session cookie 到期日期。 我有一个 CakePHP Web 应用程序,其中我使用 CakePHP session 创建了我的身份验证
这是我在这里的第一个问题,我希望我做对了。 我需要处理一个 Java EE 项目,所以在开始之前,我会尝试做一些简单的事情,看看我是否能做到。 我坚持使用有状态 session Bean。 这是问题:
ColdFusion session 与 J2EE session 相比有什么优势吗? ColdFusion session documentation提到了 J2EE session 的优点,但没有
在执行任何任务之前,我需要准确地在创建 session 时创建一个 session 范围变量(因为我的所有任务都需要一个初始 session 范围变量才能运行)。因为,创建 session 时,gra
我们当前的应用使用 HTTP session ,我们希望将其替换为 JWT。 该设置仅允许每个用户进行一次 session 。这意味着: 用户在设备 1 上登录 用户已在设备 1 上登录(已创建新 s
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
假设我在两个或更多设备上打开了两个或更多用户 session (同一用户没有管理员权限)。 在当前 session 中,如果我注销,是否意味着所有其他 session 也会关闭?如果没有,有没有办法通
我正在评估在 tomcat 中使用带有 session 复制的粘性 session 的情况。根据我的初步评估,我认为如果我们启用 session 复制,那么在一个 tomcat 节点中启动的 sess
我开始使用 golang 和 Angular2 构建一个常规的网络应用程序,最重要的是我试图在 auth0.com 的帮助下保护我的登录.我从 here 下载快速入门代码并尝试运行代码,它运行了一段时
我在 Spring Controller 中有一个方法,它接受两个相同类型的参数其中一个来自 session ,另一个来自表单提交(UI)。 问题是在 Controller 方法中我的非 sessio
在我登录之前,我可以点击我的安全约束目录之外的任何内容。如果我尝试转到安全约束目录内的某个位置,它会将我重定向到表单登录页面。如您所料。 登录后,我可以继续我的业务,并访问我的安全约束内外的资源。
我是一名优秀的程序员,十分优秀!