token认证方案的疑问

来到golang学习网的大家，相信都是编程学习爱好者，希望在这里学习Golang相关编程知识。下面本篇文章就来带大家聊聊《token认证方案的疑问》，介绍一下Java、go、PHP、Django、javae，希望对大家的知识积累有所帮助，助力实战开发！

问题内容

最近在写api授权,JWT 暂时不选择 因为它颁发后不可控制,没法失效,而且太长!

自己写 用户登录后生成一个 k:v 存储在redis 例如key是

uuidV4

但是网上说还有一种 就是用户登录后颁发token,为了避免token被截获，伪造非法请求，在每次请求时，可以用(userid+token+时间戳+密钥+请求参数)，进行签名，服务端验证token，同时验证签名，以保证请求的安全性。

这里的秘钥是不是也要随token一起返给登录接口?

正确答案

JWT 确实不可控制，且在到期前无法控制失效(原生方法)，但是 JWT 也带来了一些好处，比如分布式会话，当然， Session 也可以实现，但是 JWT 天生就支持。

就问题而言，你可以在 JWT 的基础上进行扩展，配合 Redis 实现 Token 黑名单机制来让指定的 Token 失效，来弥补这个问题。

当然，这样看来还是不划算的，但是对效率来说并不会影响太多。

接着来说避免被截获问题，无论是 JWT 还是传统 Session (寄存于 Cookie 的 SessionID 都存在这个问题。

尤其是 Cookie，虽然 Cookie 在服务器端下发时带上 HttpOnly ，JS 就无法读取到 Cookie，从而来避免 Cookie 中的 SessionID 泄露，造成安全问题，但是，别忘了 CSRF 问题，Cookie 也可能被利用，从而造成攻击。

如果只是为了避免 Cookie (SessionID)、Token 在传输层被截获，那你就应该考虑至少使用 HTTPS ，因为这样可以避免用户在与服务器交互时 Token、Cookie 被第三人截获的可能。

现在你可能会觉得既然客户端把 Token 存在 Cookie 不安全，那我是不是可以存在其他地方，比如 LocalStorage、SessionStorage 里面？

当然！你确实可以这样做，但是你可能忽略了另一个东西 XSS ，如果你的代码中产生了 XSS 漏洞，那么你无论存在客户端哪儿，都是一样的效果，照样可以被扒走。这时候你除了注意 XSS ，你可能还要注意一下 CSP(内容安全策略) 了，就是你加载的第三方资源安全吗？

最后来在说一下，你这个使用

UserId+Token+时间戳+密钥+请求参数

不是靠谱，你移动端需要始终都需要那个重要的东西

密钥

以前我也曾提出过这样的方案，并且被实施了，但是在后面的实践中发现，这样做的意义并不大。

你要做的，更多的时候只是需要最简单的，就是使用 HTTPS 。

关于 HTTPS 的知识，可以看下面这两个视频的介绍，可以更加直观的让你去了解

• 【web安全3】【硬核】HTTPS原理全解析_哔哩哔哩 (゜-゜)つロ 干杯~-bilibili
• HTTPS是如何工作的？3分钟介绍HTTPS_哔哩哔哩 (゜-゜)つロ 干杯~-bilibili

到这里，我们也就讲完了《token认证方案的疑问》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于golang的知识点！