基于令牌的身份验证如何工作?
数字化转型为用户带来了安全问题,以保护他们的身份免受虚假眼睛的侵害。根据美国诺顿的数据,平均每年有 80 万个账户被黑。需要高度安全的系统和用于身份验证的网络安全法规。
传统方法依赖于使用用户名和密码的单级身份验证来授予对 Web 资源的访问权限。为方便起见,用户倾向于保留简单的密码或在多个平台上重复使用相同的密码。事实是,您的网络活动总是有错误的眼光,以便在未来利用不公平的优势。
由于不断增加的安全负载,双因素身份验证 (2FA) 应运而生,并引入了基于令牌的身份验证。这个过程减少了对密码系统的依赖,并增加了第二层安全性。让我们直接跳到机制上。
但首先,让我们来认识一下这个过程的主要驱动力:一个 TOKEN !!!
什么是身份验证令牌?
令牌是计算机生成的代码,充当用户的数字编码签名。它们用于验证用户身份以访问任何网站或应用程序网络。
令牌分为两种类型:物理令牌和网络令牌。让我们了解它们以及它们如何在安全中发挥重要作用。
- 物理令牌:物理令牌使用有形设备来存储用户的信息。这里,密钥是可以用来证明用户身份的物理设备。物理令牌的两个元素是硬令牌和软令牌。硬令牌使用智能卡和 USB 来授予对受限网络的访问权限,就像公司办公室用来访问员工的网络一样。软令牌使用手机或计算机通过授权的应用程序或 SMS 发送加密代码(如 OTP)。
- Web 令牌:通过 Web 令牌进行的身份验证是一个完全数字化的过程。在这里,服务器和客户端接口根据用户的请求进行交互。客户端将用户凭据发送到服务器,服务器对其进行验证,生成数字签名,并将其发送回客户端。 Web 令牌通常称为 JASON Web 令牌 (JWT),它是创建数字签名令牌的标准。
令牌是当今数字环境中使用的流行词。它基于去中心化密码学。其他一些与代币相关的术语是 Defi 代币、治理代币、不可替代代币和安全代币。令牌纯粹基于难以破解的加密。
什么是基于令牌的身份验证?
基于令牌的认证是一种两步认证策略,用于增强用户访问网络的安全机制。用户一旦注册了他们的凭证,就会收到一个在指定会话时间内有效的唯一加密令牌。在此会话期间,用户无需登录即可直接访问网站或应用程序。它通过在密码系统中添加一层来节省时间和安全性,从而增强用户体验。
令牌是无状态的,因为它不会在数据库中保存有关用户的信息。该系统基于密码学,一旦会话完成,令牌就会被销毁。因此,它具有对抗黑客使用密码访问资源的优势。
令牌最友好的例子是 OTP(一次性密码),用于验证正确用户的身份以获得网络访问权限,有效期为 30-60 秒。在会话期间,令牌存储在组织的数据库中,并在会话到期时消失。
让我们了解一些基于令牌的身份验证的重要驱动因素 -
- 用户:打算使用他/她的用户名和密码访问网络的人。
- 客户端-服务器:客户端是一个前端登录界面,用户首先在其中进行交互以注册受限资源。
- 授权服务器:处理验证凭证、生成令牌和发送给用户的任务的后端单元。
- 资源服务器:它是用户输入访问令牌的入口点。如果通过验证,网络会向用户发送欢迎信息。
基于令牌的身份验证如何工作?
基于令牌的身份验证已成为互联网服务提供商使用的一种广泛使用的安全机制,旨在为用户提供快速体验,同时不损害其数据的安全性。让我们通过 4 个易于掌握的步骤来了解这种机制是如何工作的。
1.请求:用户打算在应用程序或网站界面上使用登录凭据进入服务。凭据涉及用户名、密码、智能卡或生物识别
2.验证:来自客户端-服务器的登录信息被发送到验证服务器,用于验证试图进入受限资源的有效用户。如果凭证通过验证,服务器会通过 HTTP 以代码的形式向用户生成一个秘密数字密钥。令牌以 JWT 开放标准格式发送,其中包括 -
- Header :它指定令牌的类型和签名算法。
- 有效负载:它包含有关用户和其他数据的信息
- 签名:它验证用户的真实性和传输的消息。
3. 令牌验证:用户收到令牌代码并将其输入资源服务器以授予对网络的访问权限。访问令牌的有效期为 30-60 秒,如果用户申请失败,可以从身份验证服务器请求刷新令牌。用户可以尝试访问的次数是有限制的。这可以防止基于试错法的蛮力攻击。
4. 存储:一旦资源服务器验证了令牌并授予用户访问权限,它就会在您定义的会话时间内将令牌存储在数据库中。每个网站或应用程序的会话时间都不同。例如,银行应用程序的会话时间最短,大约只有几分钟。
因此,这里的步骤清楚地解释了基于令牌的身份验证如何工作以及驱动整个安全过程的主要驱动因素是什么。
注意:今天,随着创新的不断发展,安全法规将变得更加严格,以确保只有合适的人才能访问他们的资源。因此,令牌在安全过程中占据了更多空间,因为它们能够以加密形式处理商店信息并在网站和应用程序上工作以维护和扩展用户体验。希望本文为您提供了基于令牌的身份验证的所有知识,以及它如何帮助确保关键数据被滥用。