gpt4 book ai didi

authentication - 实现 token 认证

转载 作者:行者123 更新时间:2023-12-04 04:31:55 28 4
gpt4 key购买 nike

在我的网页中实现 token 身份验证必须遵循哪些步骤?

任何摘要或链接将不胜感激。

我想实现类似于 Facebook 或 Google,第一次客户端登录并接收 token ,然后在接下来的操作中使用它。
我还阅读了有关 OAuth 的信息,但我不想让第三方访问我的应用程序。

感谢您的长时间回复,我似乎很清楚我需要阅读更多关于此的内容。

我想知道实现使用 token 身份验证的基本 Web 应用程序的“步骤”。即用户登录一次,然后可以进行一些操作:添加内容、编辑等。

我知道我所说的类似于 session ,其中服务器在 HTML header 上添加了一个 SESSION_ID,稍后的请求被识别并与该 session 相关联。我阅读 session 的方式不好扩展,所以我想在他们去 OAuth 之前实现一个类似的系统,比如 gmail 或 facebook。可能我在谈论类似于 oauth 的东西(我没有深入阅读),但是用两条腿代替了三腿。

最佳答案

你应该考虑你的需求,选择一个合适的协议(protocol)和一些体面的软件来实现它。

如果没有更多细节,真的很难说更多:

  • 您是在谈论一个或多个 Web 应用程序的身份验证吗?您需要在不同的 Web 应用程序之间进行单点登录吗?
  • 所有用户数据都应该存储在您的服务器上还是应该用户能够登录,例如用谷歌账户?
  • token 是否应该包含有关用户的信息?
  • 您的应用程序是在什么平台上开发的?
  • 应该使用什么身份验证方法?
  • 你想实现一个门户吗?

  • 有很多协议(protocol)和工具可能适合也可能不适合您的要求:

    http://en.wikipedia.org/wiki/Category:Authentication_methods

    http://en.wikipedia.org/wiki/Category:Identity_management_systems

    我个人喜欢 CAS ( http://www.jasig.org/cas) 用于多个 Web 应用程序之间的基于 token 的 SSO。它基于 Java,但也支持 PHP 和 .Net。

    OpenID 很好,如果您想允许用户使用他们的 Google、Yahoo、任何帐户(可配置...)登录并且不想自己存储用户信息。

    如果您想为您的公司 Intranet 应用程序集成 windows-sso,那么 Kerberos/SPNEGO 是您的最佳选择。

    对于大学申请,SAML/Shibboleth 可能是最好的。在大学之外它不太受欢迎,可能是因为它是一个相当复杂的协议(protocol)。

    哦,我几乎忘记了:大多数 Web 框架/标准都有自己版本的普通“基于表单的身份验证”。用户进入登录表单的地方输入其用户名和密码。两者都带有或不带有 SSL 传输到 Web/应用程序服务器。服务器根据某种数据库对其进行验证,并向用户提供一个 cookie,每次用户发送请求时都会传输和验证该 cookie。但是除了所有这些 Shiny 的协议(protocol)之外,这似乎很无聊:-)

    在对 Web 身份验证进行任何操作之前,您可能会想一想一般的 Web 安全性 ( http://journal.paul.querna.org/articles/2010/04/11/internet-security-is-a-failure/ http://www.eff.org/files/DefconSSLiverse.pdf) 以及如何不让网站变得更糟 ( http://www.codinghorror.com/blog/2008/08/protecting-your-cookies-httponly.html http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf)。

    关于authentication - 实现 token 认证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4588866/

    28 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com