javascript - Was ist die Token-Verifizierungslogik?

Question

Ich denke gerade über einen Plan nach, weiß aber nicht, ob es einen ähnlich ausgereiften Plan gibt.

1. Erste Überprüfung des Benutzers
2. Erstellen Sie eine Datei mit dem Namen des Tokens zum Speichern
4 404 Ende: Logische Verarbeitung durch Beurteilung, ob die Datei vorhanden ist.

Die Sicherheitseinstellung, die mir in den Sinn kommt, besteht darin, Crawlern das Crawlen des Verzeichnisses zu verbieten und die Anzahl der Benutzerverbindungen zum Verzeichnis zu überwachen, um Brute-Force-Cracking zu verhindern.

Gibt es irgendwelche Fehler oder Leistungsprobleme? bessere Lösung als diese?

Answer 1

这个方案，请参见我的另一个回答：/q/10...

这个方案，虽然没有被当做一个标准，但是却是普遍在用的方案。
缺点还是有的，比如：

1. 如果生成的token太长，在GET的时候就要考虑是否超过GET请求长度限制（因为URL长度有限），但是太短的token又不能确保高唯一性和安全性

2. 当然，token做用户令牌也不是安全的。如果在令牌过期之前，token被别人偷到了，他人就可以仿冒此用户进行操作而不需要登录。

3. 如果要比较安全的方法，那就是用Session服务器对用户进行验证，不过Session跨域问题确实是个老生常谈的问题，而token的跨域完全不存在问题，只要能访问到接口，token是在请求数据里传过去的。所以个人观点是，只有在安全和易用的层面进行取舍了。当然也可以用其他的校验方式，比如JWT等等，但是这种方法更加繁琐（除非不用自己造轮子）。

Answer 2

1.客户端提交信息
2.服务端检查信息的正确性，如果不合法登陆失败
3.服务端利用算法生成token,并token存储在redis等高并发的数据库中，并设置过期时间
4.服务端将token返回客户端
5.客户端保存token
6，客户端下次请求时，携带token，服务端验证token的有效性,有效则通过，无效则验证失败