如何理解web通信中的token?
发布时间:2025-08-04
作者:超级管理员
来源:本站
浏览量(32)
点赞(40)
摘要:简单说,token就是强化版的“会话”。再具体一点说,就是强化后的ID。在旧文《如何理解网络通信中的“会话”?》中曾说过“会话”的本质就是一个临时ID。这个ID像身份证一样由服务器在客户端第一次访问(或登录后)被分发给客户端,然后要求客户端在之后的访问中都“随身携带”,以便做身份验证。但是明文的ID有个问题,就是
简单说,token就是强化版的“会话”。再具体一点说,就是强化后的ID。
在旧文《如何理解网络通信中的“会话”?》中曾说过“会话”的本质就是一个临时ID。
这个ID像身份证一样由服务器在客户端第一次访问(或登录后)被分发给客户端,然后要求客户端在之后的访问中都“随身携带”,以便做身份验证。
但是明文的ID有个问题,就是攻击者通过抓包分析你的“身份ID实例”很容易发现ID的生成规则,知道了规则就容易伪造。
而token一般是加密的,加密之后攻击者就很难直接对其生成规则进行分析破解了。
如果使用“密码散列函数”加密(即通常所说的哈希加密),那么攻击者连原始ID由几个字符组成都不知道。
因为哈希加密的一个特点就是,无论原始报文是几个字符,还是一篇小说,加密后的结果字符串都是等长的(比如md5加密的结果就都是等长的32位16进制字符串)。
据此token就比一般的会话ID有了更强的安全性。
免责声明:本站转载旨在“信息共享”传递之目的,转载文章中所有素材的版权归原作者所有,本站不承担任何的法律责任,如有侵权请联系我们删除。扫一扫,关注我们
40