Security 会话和基于令牌的身份验证之间的技术差异
我正在写我的学士学位,我需要找出哪种认证/授权方法最适合与我合作的公司 因此,我一直在比较会话和基于令牌的身份验证方法,但对于令牌如何工作以及它们如何优于会话身份验证,我还不清楚一些要点: 我100%清楚的唯一好处是,令牌可以从没有cookie存储的客户端使用,它们可以与不同的子域和完全独立的域一起使用,因为浏览器CORS策略不会阻止令牌的使用Security 会话和基于令牌的身份验证之间的技术差异,security,authentication,session-cookies,jwt,express-jwt,Security,Authentication,Session Cookies,Jwt,Express Jwt,我正在写我的学士学位,我需要找出哪种认证/授权方法最适合与我合作的公司 因此,我一直在比较会话和基于令牌的身份验证方法,但对于令牌如何工作以及它们如何优于会话身份验证,我还不清楚一些要点: 我100%清楚的唯一好处是,令牌可以从没有cookie存储的客户端使用,它们可以与不同的子域和完全独立的域一起使用,因为浏览器CORS策略不会阻止令牌的使用 我了解到,所有cookie都随每个请求一起发送到原始域(除非cookie设置为仅在安全连接上发送),这意味着令牌将在请求中出现两次,当然,除非您对来自
- 我了解到,所有cookie都随每个请求一起发送到原始域(除非cookie设置为仅在安全连接上发送),这意味着令牌将在请求中出现两次,当然,除非您对来自另一个域的用户进行身份验证。这是正确的假设吗
- 如何在服务器端验证令牌?解密后,是根据用户名、密码和密钥/私钥进行检查,还是仅检查此处使用的密钥/私钥
- 如果我在为服务器上的某个资源授权时需要用户名/用户ID,而我没有对其进行身份验证,那么如果我没有原始用户数据可供检查,我是否可以盲目信任这些凭据
CK
公开使用会话cookie保护的资源,而应用程序TK
公开使用令牌保护的资源
用户X
在两个应用程序中进行身份验证,因此将为应用程序CK
颁发会话cookie,并为应用程序TK
颁发令牌。如果攻击者创建一个邪恶的站点EV
并诱骗用户X
访问它,它可以从用户浏览器中对应用程序CK
和TK
执行自动请求
但是,对于应用程序CK
而言,用户X
的浏览器将自动包含会话cookie,因此邪恶站点EV
刚刚访问了受保护的资源,而对于应用程序TK
的请求,浏览器将不会自动包含令牌