本 文 介 绍 一 种 新 的 机 制

Token 以 旧 换 新 的 机 制

这 个 机 制 只 使 用 一 个 短 期 的 Token, 比 如 1 天 .

用 户 登 陆 后 , 这 个 Token 发 给 客 户 端 , 用 户 每 次 请 求 就 使 用 这 个 Token 认 证 身 份 , Token 过 期
后 凭 山 token 换 取 新 的 Token, 一 个 过 期 的 Token 只 能 换 取 一 个 新 的 Token, 这 是 关 键 . 如 果
Token 被 盗 , 黑 客 要 持 续 使 用 也 需 持 续 的 换 取 新 的 Token, 服 务 器 一 旦 发 现 , 一 个 旧 Token 多
次 试 图 换 取 新 Token, 表 示 有 异 常 . 这 时 强 制 用 户 再 次 登 陆 .

Token| 换 新 , 不 一 定 等 过 期 了 才 换 , 应 用 启 动 时 就 可 旧 换 新 , 这 个 视 具 体 情 况 而 定 .

这 个 Token 的 有 效 期 , 针 对 不 同 的 应 用 可 以 调 整 .

以 设 计 招 商 银 行 的 app 为 例 :

1, 采 用 https 加 密 , 确 保 传 输 安 全 .

2,Token 的 有 效 期 设 为 15 分 钟 ,Token 每 15 分 钟 , 以 旧 换 新 换 取 新 的 Token. 正 常 情 况 下 , 这 个
以 旧 换 新 对 用 户 不 可 见 , 一 但 两 人 试 图 以 旧 换 新 , 两 人 都 阻 止 , 需 要 再 次 登 陆 .

3, 对 于 修 改 密 码 和 转 账 支 付 这 样 的 关 键 操 作 , 要 求 用 户 输 入 密 码 .

这 样 就 万 无 一 失 了 .
本 文 介 绍 一 种 新 的 机 制,Token 以 旧 换 新 的 机 制,这 个 机 制 只 使 用 一 个 短 期 的 Token, 比 如 1 天 .

用 户 登 陆 后 , 这 个 Token 发 给 客 户 端 , 用 户 每 次 请 求 就 使 用 这 个 Token 认 证 身 份 , Token 过 期
后 凭 山 token 换 取 新 的 Token, 一 个 过 期 的 Token 只 能 换 取 一 个 新 的 Token, 这 是 关 键 . 如 果
Token 被 盗 , 黑 客 要 持 续 使 用 也 需 持 续 的 换 取 新 的 Token, 服 务 器 一 旦 发 现 , 一 个 旧 Token 多
次 试 图 换 取 新 Token, 表 示 有 异 常 . 这 时 强 制 用 户 再 次 登 陆 .

Token| 换 新 , 不 一 定 等 过 期 了 才 换 , 应 用 启 动 时 就 可 旧 换 新 , 这 个 视 具 体 情 况 而 定 .

 这 个 Token 的 有 效 期 , 针 对 不 同 的 应 用 可 以 调 整 .

以 设 计 招 商 银 行 的 app 为 例 :

1, 采 用 https 加 密 , 确 保 传 输 安 全 .

2,Token 的 有 效 期 设 为 15 分 钟 ,Token 每 15 分 钟 , 以 旧 换 新 换 取 新 的 Token. 正 常 情 况 下 , 这 个
以 旧 换 新 对 用 户 不 可 见 , 一 但 两 人 试 图 以 旧 换 新 , 两 人 都 阻 止 , 需 要 再 次 登 陆 .

3, 对 于 修 改 密 码 和 转 账 支 付 这 样 的 关 键 操 作 , 要 求 用 户 输 入 密 码 .

这 样 就 万 无 一 失 了 .