Wat is verificatie op basis van tokens?

Ik wil begrijpen wat verificatie op basis van tokens betekent. Ik heb op internet gezocht maar kon niets begrijpelijks vinden.


Antwoord 1, autoriteit 100%

Ik denk dat het hier— ik citeer alleen de belangrijkste zinnen van het lange artikel:

Het algemene concept achter a
op tokens gebaseerd authenticatiesysteem is:
eenvoudig. Sta gebruikers toe om hun
gebruikersnaam en wachtwoord om
een token verkrijgen waarmee ze kunnen
een specifieke bron ophalen – zonder
hun gebruikersnaam en wachtwoord gebruiken.
Zodra hun token is verkregen,
de gebruiker kan het token aanbieden – wat:
biedt toegang tot een specifieke bron
voor een bepaalde tijd – naar de afstandsbediening
website.

Met andere woorden: voeg één niveau van indirectheid toe voor authenticatie — in plaats van zich te moeten authenticeren met gebruikersnaam en wachtwoord voor elke beschermde bron, authenticeert de gebruiker op die manier eenmaal (binnen een sessie van beperkte duur), krijgt hij een in de tijd beperkte token terug en gebruikt dat token voor verdere authenticatie tijdens de sessie.

Er zijn vele voordelen — de gebruiker kan bijvoorbeeld het token, zodra hij het heeft verkregen, doorgeven aan een ander geautomatiseerd systeem dat hij bereid is te vertrouwen voor een beperkte tijd en een beperkt aantal bronnen, maar zou nietbereid zijn hun gebruikersnaam en wachtwoord te vertrouwen (dwz met elke bron waartoe ze toegang hebben, voor altijd of in ieder geval totdat ze hun wachtwoord wijzigen).

Als er nog iets onduidelijk is, bewerk dan je vraag om te verduidelijken WAT je niet 100% duidelijk is, en ik weet zeker dat we je verder kunnen helpen.


Antwoord 2, autoriteit 33%

Van Auth0.com

Token-gebaseerde authenticatie, is gebaseerd op een ondertekend token dat wordt verzonden naar
de server bij elk verzoek.

Wat zijn de voordelen van het gebruik van een op tokens gebaseerde aanpak?

  • Cross-domain / CORS:cookies + CORS werken niet goed in verschillende domeinen. Met een op tokens gebaseerde aanpak kunt u AJAX
    oproepen naar elke server, op elk domein omdat u een HTTP-header gebruikt
    om de gebruikersinformatie te verzenden.

  • Stateless (ook bekend als schaalbaarheid aan de serverzijde):het is niet nodig om een sessiearchief bij te houden, het token is een op zichzelf staande entiteit die alle gebruikersinformatie overbrengt. De rest van de staat leeft in cookies of lokale opslag aan de kant van de klant.

  • CDN:u kunt alle middelen van uw app vanaf een CDN bedienen (bijv. javascript, HTML, afbeeldingen, enz.), en uw serverzijde is slechts de API.

  • Ontkoppelen:u bent niet gebonden aan een bepaald authenticatieschema. Het token kan overal worden gegenereerd, dus uw API kan:
    overal vandaan worden gebeld met een enkele manier om die te authenticeren
    oproepen.

  • Mobiel gereed:wanneer u begint te werken op een native platform (iOS, Android, Windows 8, etc.) zijn cookies niet ideaal bij het consumeren van een
    op tokens gebaseerde aanpak vereenvoudigt dit veel.

  • CSRF:aangezien u niet afhankelijk bent van cookies, hoeft u zich niet te beschermen tegen cross-site-verzoeken (het zou bijvoorbeeld niet mogelijk zijn om
    sib uw site, genereer een POST-verzoek en hergebruik de bestaande authenticatiecookie, want die zal er niet zijn).

  • Prestaties:we presenteren hier geen harde prestatie-benchmarks, maar een netwerkrondreis (bijv. het vinden van een sessie in een database)
    kost waarschijnlijk meer tijd dan het berekenen van een HMACSHA256 om
    valideer een token en ontleden de inhoud ervan.


Antwoord 3, autoriteit 18%

Een tokenis een stukje data dat alleen Server Xzou kunnen hebben gemaakt en dat voldoende gegevens bevat om een bepaalde gebruiker te identificeren.

U kunt uw inloggegevens presenteren en Server Xom een tokenvragen; en dan kunt u uw tokenpresenteren en Server Xvragen om een gebruikersspecifieke actie uit te voeren.

tokens worden gemaakt met behulp van verschillende combinaties van verschillende technieken uit het veld van cryptografie en met input uit het bredere veld van beveiligingsonderzoek. Als je besluit om je eigen token-systeem te maken, moet je heel slim zijn.


Antwoord 4, autoriteit 7%

Een token is een stukje gegevens dat door de server is gemaakt en informatie bevat om een bepaalde gebruiker en de geldigheid van het token te identificeren. Het token bevat de informatie van de gebruiker, evenals een speciale tokencode die de gebruiker kan doorgeven aan de server met elke methode die authenticatie ondersteunt, in plaats van direct een gebruikersnaam en wachtwoord door te geven.

Verificatie op basis van tokens is een beveiligingstechniek die de gebruikers verifieert die proberen in te loggen op een server, een netwerk of een ander beveiligd systeem, met behulp van een beveiligingstoken dat door de server wordt geleverd.

Een authenticatie is succesvol als een gebruiker aan een server kan bewijzen dat hij of zij een geldige gebruiker is door een beveiligingstoken door te geven. De service valideert het beveiligingstoken en verwerkt het gebruikersverzoek.

Nadat het token door de service is gevalideerd, wordt het gebruikt om de beveiligingscontext voor de client vast te stellen, zodat de service autorisatiebeslissingen kan nemen of activiteiten kan controleren voor opeenvolgende gebruikersverzoeken.

Bron( Webarchief)


Antwoord 5, autoriteit 5%

Tokengebaseerd (beveiliging / authenticatie)

Dit betekent dat we eerst de token moeten ontvangen om te bewijzen dat we toegang hebben. In een realistisch scenario kan het token een toegangskaart tot het gebouw zijn, het kan de sleutel zijn van het slot van uw huis. Om een sleutelkaart voor uw kantoor of de sleutel van uw woning op te halen, moet u eerst bewijzen wie u bent en dat u inderdaad toegang heeft tot die token. Het kan zoiets simpels zijn als iemand je ID laten zien of een geheim wachtwoord geven. Dus stel je voor dat ik toegang moet krijgen tot mijn kantoor. Ik ga naar het beveiligingskantoor, ik laat ze mijn ID zien, en ze geven me dit token, waarmee ik het gebouw binnen mag. Nu heb ik onbeperkte toegang om te doen wat ik wil in het gebouw, zolang ik mijn token bij me heb.

Wat is het voordeel van op token gebaseerde beveiliging?

Als we terugdenken aan de onveilige API, moesten we in dat geval ons wachtwoord opgeven voor alles wat we wilden doen.

Stel je voordat elke keer dat we een deur in ons kantoor binnengaan, we iedereen die naast de deur zit ons wachtwoord moeten geven. Dat zou behoorlijk slecht zijn, want dat betekent dat iedereen in ons kantoor ons wachtwoord zou kunnen nemen en ons zou kunnen imiteren, en dat is behoorlijk slecht. In plaats daarvan halen we de token op, uiteraard samen met het wachtwoord, maar die halen we op bij één persoon. En dan kunnen we dit token overal in het gebouw gebruiken. Natuurlijk, als we het token verliezen, hebben we hetzelfde probleem alsof iemand anders ons wachtwoord kent, maar dat leidt ons naar zaken als hoe zorgen we ervoor dat als we het token verliezen, we de toegang kunnen intrekken, en misschien de token mag niet langer dan 24 uur meegaan, dus de volgende dag dat we op kantoor komen, moeten we ons legitimatiebewijs opnieuw tonen. Maar toch, er is maar één persoon aan wie we de ID laten zien, en dat is de bewaker die zit waar we de tokens ophalen.


Antwoord 6, autoriteit 3%

De vraag is oud en de technologie is gevorderd, hier is de huidige staat:

JSON Web Token (JWT) is een op JSON gebaseerde open standaard (RFC 7519) voor het doorgeven van claims tussen partijen in een webtoepassingsomgeving. De tokens zijn ontworpen om compact, URL-veilig en bruikbaar te zijn, vooral in de context van eenmalige aanmelding (SSO) van een webbrowser.

https://en.wikipedia.org/wiki/JSON_Web_Token


Antwoord 7

Het is gewoon hash die is gekoppeld aan de gebruiker in de database of op een andere manier. Dat token kan worden gebruikt om een gebruiker te authenticeren en vervolgens toegang te verlenen tot de gerelateerde inhoud van de applicatie. Om dit token aan de kant van de klant op te halen, is inloggen vereist. Na de eerste keer inloggen moet u het opgehaalde token opslaan en geen andere gegevens zoals sessie, sessie-ID, omdat hier alles een token is om toegang te krijgen tot andere bronnen van de toepassing.

Token wordt gebruikt om de authenticiteit van de gebruiker te verzekeren.

UPDATES:
In de huidige tijd hebben we meer geavanceerde token-gebaseerde technologie genaamd JWT (Json Web Token). Deze technologie helpt om hetzelfde token in meerdere systemen te gebruiken en we noemen het single sign-on.

In principe bevat op JSON gebaseerde token informatie over gebruikersgegevens en vervaldatums van tokens. Zodat informatie kan worden gebruikt om het verzoek verder te verifiëren of af te wijzen als het token ongeldig is of is verlopen op basis van details.


Antwoord 8

Wanneer u zich registreert voor een nieuwe website, ontvangt u vaak een e-mail om uw account te activeren. Die e-mail bevat meestal een link om op te klikken. Een deel van die link bevat een token, de server is op de hoogte van deze token en kan deze koppelen aan uw account. Aan het token is meestal een vervaldatum gekoppeld, dus je hebt misschien maar een uur om op de link te klikken en je account te activeren. Dit alles zou niet mogelijk zijn met cookies of sessievariabelen, aangezien het niet bekend is welk apparaat of welke browser de klant gebruikt om e-mails te controleren.

Other episodes