Authentication Web API有多少基于令牌的身份验证是安全的_Authentication_Asp.net Web Api_Http Token Authentication

Authentication Web API有多少基于令牌的身份验证是安全的

authentication asp.net-web-api

Authentication Web API有多少基于令牌的身份验证是安全的,authentication,asp.net-web-api,http-token-authentication,Authentication,Asp.net Web Api,Http Token Authentication,基于令牌的身份验证是这样工作的基于令牌的认证系统背后的一般概念很简单。允许用户输入他们的用户名和密码，以便获得允许他们获取特定资源的令牌，而无需使用他们的用户名和密码。一旦获得了他们的令牌，用户就可以向远程站点提供令牌（在一段时间内提供对特定资源的访问）这是如何被认为是安全的，因为当服务器向客户端发出令牌时，在任何中间，任何黑客都可以窃取该令牌，并作为有效客户端出现在服务器之前。那么告诉我如何生成防盗令牌讨论如何以非常安全的方式在服务器和客户机之间来回传递令牌，以便中间人不能进行黑客攻击。

基于令牌的身份验证是这样工作的

基于令牌的认证系统背后的一般概念很简单。允许用户输入他们的用户名和密码，以便获得允许他们获取特定资源的令牌，而无需使用他们的用户名和密码。一旦获得了他们的令牌，用户就可以向远程站点提供令牌（在一段时间内提供对特定资源的访问）

这是如何被认为是安全的，因为当服务器向客户端发出令牌时，在任何中间，任何黑客都可以窃取该令牌，并作为有效客户端出现在服务器之前。那么告诉我如何生成防盗令牌

讨论如何以非常安全的方式在服务器和客户机之间来回传递令牌，以便中间人不能进行黑客攻击。

如果连接本身经过身份验证和加密，则是安全的，这就是HTTPS的用途

使用有效证书进行身份验证可确保用户连接并向其发送凭据（密码或令牌）的服务器是他们希望获得的服务器（…至少只要证书颁发机构是可信的）

加密可以确保监听流量的人看不到任何秘密。

所以你的意思是，如果我们使用HTTPS而不是HTTP，那么令牌将得到保护。无论出于何种原因，我们都不能使用HTTPS，那么我们如何才能从邪恶的眼睛中保护令牌？有什么解决办法吗？如果你不想使用HTTPS，你必须想出另一个身份验证和加密的实现。但是，制作安全的密码系统很难，因此，如果可能的话，最好坚持已验证的标准。