在安全性,身份验证策略方面,我是一个完整的菜鸟.所以我正在阅读这篇关于"基于令牌的身份验证"的文章:https: //scotch.io/tutorials/the-ins-and-outs-of-token-based-authentication
我有两个问题:
我不明白为什么中间人(或黑客)无法看到客户端发送的令牌并使用相同的方式冒充客户/人来检索资源?是什么让JSON Web Tokens/OAuth2基于身份验证在这个意义上更安全?如果我们每次都使用一次性使用的令牌,我会理解即使黑客能够读取令牌,他也无法将其用于其他请求.但是,由于令牌在到期之前保持不变,这是一种更安全的身份验证策略?
服务器如何知道客户端发送的令牌是有效的,即服务器在登录期间与客户端交换的内容.服务器是否存储在数据库或某处生成的令牌并继续更新"上次访问的时间戳"或其他内容并继续删除last_accessed_time> 1小时前的令牌,以便在1小时不活动后继续使用它?