基于令牌的auth类似于这种方式
基于令牌的身份验证系统背后的一般概念很简单。允许用户输入其用户名和密码以获取令牌,该令牌允许他们获取特定资源 - 而无需使用其用户名和密码。一旦获得令牌,用户就可以提供令牌 - 该令牌(为一个时间段提供特定资源访问)。
如何将其视为安全,因为当服务器向客户端发出令牌时,任何黑客都可以窃取该令牌并以服务服务器作为有效客户端出现。所以告诉我如何生成盗窃证明令牌?
讨论如何将令牌的保障方式转移回去。服务器和amp之间的第四客户,所以中间人无法入侵。
如果连接本身已进行身份验证和加密,则是安全的,这就是https的目的。
带有有效证书的身份验证确保用户将用户连接并将其凭据(密码或令牌)发送到的服务器是他们期望获得的服务器(至少只要证书授权机构值得信赖)。/p>
加密可确保有人在流量中听取任何秘密。