Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
1. JSON Web Tokens (JWT): Toto je dnes najbežnejší typ autentifikácie založených na tokenoch. JWTS je samostatný a digitálne podpísaný a obsahuje nároky (informácie o používateľovi a autentifikácia).
* Príklad scenára: Užívateľ sa prihlási do webovej aplikácie pomocou svojho používateľského mena a hesla. Server overuje poverenia a po úspechu vydáva JWT. Klient potom obsahuje tento JWT v hlavičke „Autorization“ následných požiadaviek (napr. „Autorizácia:nositeľ
* variácie: JWTS je možné použiť s rôznymi algoritmami podpisovania (napr. HS256, RS256), čo ovplyvňuje bezpečnosť a zložitosť riadenia kľúčov.
2. OAuth 2.0 Prístupové tokeny: OAuth 2.0 je autorizačný rámec, nie samotný autentifikačný protokol. Na povolenie však bežne používa žetóny.
* Príklad scenára: Používateľ chce získať prístup k chránenému prostriedku v službe A (napr. Disk Google) pomocou aplikácie tretích strán (služba B, napr. Editor fotografií). Užívateľ overuje službu A (napr. Google) a poskytuje službu B povolenie na prístup k konkrétnym zdrojom. Service A vydáva prístupový token pre službu B. Služba B využíva tento prístupový token na podanie žiadostí o službu API API v mene používateľa bez toho, aby musel priamo spracovať poverenia používateľa. Toto sa široko používa pre sociálne prihlásenia a integrácie API. Želári obnovy sa často používajú na predĺženie životnosti prístupových tokenov.
3. Klávesy API: Kým kľúče API sú jednoduchšie ako JWTS, sú formou autentifikácie založenej na tokenoch, ktoré sa často používajú na komunikáciu so strojom. Sú to zvyčajne dlhé, náhodne generované reťazce.
* Príklad scenára: Mobilná aplikácia musí získať prístup k službe Backend. Počas vývoja je prideleným kľúčom API. Aplikácia obsahuje kľúč API v každej žiadosti o službu backend, zvyčajne ako parameter dotazu alebo hlavička. Je to menej bezpečné ako JWTS kvôli jeho nedostatku vypršania a ťažkostí pri zrušení.
4. Tokeny relácie (cookies): Aj keď to nie je striktne „založené na tokenoch“ v zmysle JWT, žetóny relácie, často uložené ako cookies, fungujú na podobnom princípe. Po úspešnom prihlásení server generuje jedinečné ID relácie (token) a pošle ho klientovi ako cookie. Klient obsahuje tento súbor cookie v nasledujúcich požiadavkách a server ho používa na identifikáciu relácie používateľa. Toto sa bežne používa vo webových aplikáciách, ale je zraniteľné voči rôznym útokom, pokiaľ nie je správne zabezpečené (napr. Používanie HTTPS a zabezpečené príznaky cookie).
Kľúčové rozdiely a úvahy:
* Zabezpečenie: JWTS ponúka lepšie bezpečnostné funkcie (digitálne podpisy, časy vypršania platnosti) v porovnaní s jednoduchými kľúčmi API alebo žetónmi relácií.
* zložitosť: Implementácia JWT môže byť zložitejšia ako použitie jednoduchších metód, ako sú kľúčy API.
* Zrušenie: Odvolanie JWTS môže byť náročné, zatiaľ čo tokeny založené na reláciách je ľahšie zneplatniteľné.
* škálovateľnosť: Autentifikácia založená na tokenoch sa vo všeobecnosti škáluje lepšie ako prístupy založené na reláciách.
V podstate akýkoľvek systém, v ktorom klient prijíma jedinečný identifikátor (token), ktorý dokáže jeho identitu a získať prístup k zdrojom po počiatočnom procese overovania, sa môže považovať za formu autentifikácie založenej na tokenoch. Špecifický typ tokenu a jeho implementácia sa budú výrazne líšiť v závislosti od bezpečnostných potrieb a architektonických rozhodnutí.