| 序号 | 认证要素 | 说明 |
| 1 | 认证方式 | Token认证是通过在请求中携带Token,以验证请求者的身份和权限。 |
| 2 | Token类型 | 访问Token(Access Token):用于访问受保护的资源。
刷新Token(Refresh Token):用于获取新的访问Token。 |
| 3 | 认证流程 | 1. 客户端向认证服务器请求Token。
2. 认证服务器验证客户端身份后发放Token。
3. 客户端在请求API时携带Token。
4. 服务器验证Token并授权访问。 |
| 4 | 实现步骤 | 1. 用户登录并提供凭证。
2. 服务器生成Token并返回给客户端。
3. 客户端在后续请求中携带Token。
4. 服务器验证Token有效性。 |
| 5 | 存储与传输 | Token应存储在客户端安全的地方,如本地存储或内存中。
传输时使用HTTPS协议以保证Token的安全。 |
| 6 | 有效期管理 | 访问Token通常有较短的有效期,以减少安全风险。
刷新Token有效期限更长,用于获取新的访问Token。 |
| 7 | 安全措施 | 使用HTTPS保证传输安全。
对Token进行签名,防止篡改。
定期更换Token。
验证服务器检查Token的合法性。 |
| 8 | 常用技术/框架 | OAuth 2.0:授权框架,用于实现Token认证流程。
JWT(JSON Web Token):一种自包含的Token格式,包含签名和有效载荷。 |
| 9 | 注意事项 | 确保Token足够复杂,防止被猜测。
保护好发放Token的服务器,防止Token被恶意获取。
监控Token的使用情况,异常活动及时响应。 |
