那些遇到过的问题

基于令牌的身份验证是否需要在DB中存储令牌?

San*_*ull 5 authentication token

我在身份验证中使用基于令牌的方法,但在许多博客中我读到他们在数据库中存储令牌.

我们是否需要在DB中基于令牌的身份验证中存储令牌?

https://scotch.io/tutorials/the-ins-and-outs-of-token-based-authentication

在这个博客中,提到我们签署令牌而不是存储在数据库中,我认为这应该是实现真正的无状态的方法.

and*_*dih 8

如果您使用链接/提到的网页中描述的基于令牌的身份验证,则没有必要将令牌存储在数据库中。

您必须考虑的是,可以传输资源服务器所需的所有必需信息,以安全方式在令牌内交付请求的资源。

例如,要以安全的方式传输userId,您还可以对令牌进行加密。如果您想确保出于安全原因某些数据永远不会离开您的数据中心,那么最好将这些数据保存在数据库中,并且令牌仅包含对存储在数据库中的用户相关数据的引用(id) - 这更多或更少在Open ID connect 中描述的内容。

您还应该记住,将用户信息添加到令牌意味着每个请求都有额外的负载,并且可能需要更长的时间来加密/解密和签署/验证签名。

如果您打算使用无状态/无数据库的方法,您应该澄清:

  • 令牌的可能大小
  • 额外的 CPU 负载来签署/验证/加密/解密令牌
  • 标题大小限制
  • 用于在数据中心内签署/验证/加密/解密令牌的密钥的分发
  • 延长令牌的生命周期
  • 代币的撤销
  • 额外的安全要求 - 即如果攻击者能够读取/(解密加密的)令牌是否有问题?

归档时间:

查看次数:

5563 次

最近记录:

7 年,4 月 前
相关归档
使用PHP从LDAP验证用户 35
Safari访问Windows集成身份验证(又名NTLM)受保护的网站时出现问题 6
在我开始在线阅读之前,会话对我有意义 5
如何为NFL Shield API创建访问令牌? 5
仅针对特定帐户向 Google 进行 ASP.NET Core 身份验证 5
ServiceNow JSON Web 服务的 Python 身份验证 4
Warden vs Rack :: Auth :: Basic.在Ruby-Framework中进行HTTP-Basic-Auth 3
Laravel-在登录时销毁现有会话 3
使用电话号码身份验证的令牌不匹配 - iOS 3
在ChangeState之后重置/卸载控制器(注销注册).AngularJS 2
难疑归档
C++中的" - >"运算符是什么? 8590
使用jQuery从下拉列表(选择框)中获取所选文本 2240
什么是sleep()的JavaScript版本? 2115
什么是三法则? 2067
一次捕获多个异常? 2015
静态类变量是否可能? 1824
JavaScript检查变量是否存在(定义/初始化) 1642
如何有效地计算JavaScript中对象的键/属性数? 1452
显示屏上的转换:属性 1322
如何撤消git reset --hard HEAD~1? 1083