imtoken安卓官方下载|安全令牌

作者: imtoken安卓官方下载
2024-03-07 22:29:53

深入理解令牌认证机制(token) - 知乎

深入理解令牌认证机制(token) - 知乎切换模式写文章登录/注册深入理解令牌认证机制(token)aaronblogweb前端小菜鸡以前的开发模式是以MVC为主,但是随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。token即标志、记号的意思,在IT领域也叫作令牌。在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。token其实说的更通俗点可以叫暗号,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。例如在USB1.1协议中定义了4类数据包:token包、data包、handshake包和special包。主机和USB设备之间连续数据的交换可以分为三个阶段,第一个阶段由主机发送token包,不同的token包内容不一样(暗号不一样)可以告诉设备做不同的工作,第二个阶段发送data包,第三个阶段由设备返回一个handshake包。在HTTP请求中使用承载令牌来访问OAuth 2.0受保护的资源。拥有承载令牌的任何一方(“承载方”)都可以使用它访问相关资源(无需证明拥有加密密钥)。为了防止误用,需要防止在存储和传输中泄露承载令牌。OAuth允许客户端通过获取访问令牌,它在“OAuth 2.0授权”中定义框架“[RFC6749]作为”表示访问的字符串而不是使用资源直接服务的凭证。该令牌由服务端允许的情况下,由客户端通过某种方式向服务端发出请求,由服务端向客户端发出,客户机使用访问令牌访问由资源服务器承载的受保护的资源。该规范描述了当OAuth访问令牌是承载令牌时,如何发出受保护的资源请求。客户端只需要拥有token可以以任何一种方法传递token,客户端需要知道参数加密的密钥,只需要存储token即可。OAuth为客户端提供了一种方法来代表资源所有者访问受保护的资源。在一般情况下,客户机在访问受保护的资源之前,必须首先从资源所有者获得授权,然后将授权交换为访问令牌。访问令牌表示授权授予授予的范围、持续时间和其他属性。客户机通过向资源服务器显示访问令牌来访问受保护的资源。在某些情况下,客户端可以直接向服务端显示的发送自己的凭证。+--------+ +---------------+

| |--(A)- Authorization Request ->| Resource |

| | | Owner |

| |<-(B)-- Authorization Grant ---| |

| | +---------------+

| |

| | +---------------+

| |--(C)-- Authorization Grant -->| Authorization |

| Client | | Server |

| |<-(D)----- Access Token -------| |

| | +---------------+

| |

| | +---------------+

| |--(E)----- Access Token ------>| Resource |

| | | Server |

| |<-(F)--- Protected Resource ---| |

+--------+ +---------------+此方案的Authorization头字段的语法遵循[RFC2617]第2节中定义的基本方案的用法。注意,与Basic一样,它不符合[RFC2617]第1.2节中定义的通用语法,但与正在为HTTP 1.1 [HTTP- auth]开发的通用身份验证框架兼容,尽管它没有遵循其中列出的反映现有部署的首选实践。承载凭证的语法如下b64toke = 1*( ALPHA / DIGIT / "-" / "." / "_" / "~" / "+" / "/" ) *"="

credentials = "Bearer" 1*SP b64token客户端应该使用带有承载HTTP授权方案的Authorization请求头字段使用承载令牌发出经过身份验证的请求。资源服务器必须支持此方法。在Internet Engineering Task Force (IETF)的白皮书中介绍Bearer Token的使用方法,那么我们平时使用token的时候姿势是否正确。应该如何正确使用token呢?import axios from "axios";

axios.interceptors.request.use(config => {

if (store.state.token) {

config.headers.authorization = `Basic ${store.state.token}`;

}

return config;

});

照白皮书所说这样才是正确使用token的姿势。小伙伴们平时你们使用token的时候是这样的吗?那么除了前端有明确的使用规范,那么服务端又应该怎样有效的做好后端数据防护?在白皮书中同样也有提到过。根据OAuth 2.0动态客户端注册协议该规范定义了向授权服务器动态注册OAuth 2.0客户端的机制。注册请求向授权服务器发送一组所需的客户端元数据值(token)。结果的注册响应返回要在授权服务器上使用的客户机标识符和为客户机注册的客户机元数据值。然后,客户机可以使用此注册信息使用OAuth 2.0协议与授权服务器通信。该规范还定义了一组通用客户端元数据字段和值,供客户端在注册期间使用。为了让OAuth 2.0 [RFC6749]客户机利用OAuth 2.0授权服务器,客户机需要与服务器交互的特定信息,包括在该服务器上使用的OAuth 2.0客户端标识符。该规范描述了如何通过授权服务器动态注册OAuth 2.0客户端来获取此信息。抽象的动态客户端注册流程+--------(A)- Initial Access Token (OPTIONAL)

|

| +----(B)- Software Statement (OPTIONAL)

| |

v v

+-----------+ +---------------+

| |--(C)- Client Registration Request -->| Client |

| Client or | | Registration |

| Developer |<-(D)- Client Information Response ---| Endpoint |

| | or Client Error Response +---------------+

+-----------+图中所示的抽象OAuth 2.0客户机动态注册流描述了客户机或开发人员与此规范中定义的端点之间的交互。此图没有显示错误条件。这个流程包括以下步骤可选地,向客户端或开发人员发出初始访问令牌,允许访问客户端注册端点。向客户端或开发人员发出初始访问令牌的方法超出了本规范的范围。客户端或开发人员可以选择发布一个软件声明,以便与客户端注册端点一起使用。向客户端或开发人员发出软件声明的方法超出了本规范的范围。客户端或开发人员使用客户端所需的注册元数据调用客户端注册端点,如果授权服务器需要初始访问令牌,则可以选择包含来自(A)的初始访问令牌。授权服务器注册客户机并返回客户端注册的元数据, 在服务器上唯一的客户端标识符,以及一组客户端凭据,如客户端机密(如果适用于此客户端)。授权类型与响应类型之间的关系描述的grant类型和响应类型值是部分正交的,因为它们引用传递到OAuth协议中不同端点的参数。但是,它们是相关的,因为客户机可用的grant类型影响客户机可以使用的响应类型,反之亦然。例如,包含授权代码的授权类型值意味着包含代码的响应类型值,因为这两个值都定义为OAuth 2.0授权代码授权的一部分。因此,支持这些字段的服务器应该采取步骤,以确保客户机不能将自己注册到不一致的状态,例如,通过向不一致的注册请求返回无效的客户机元数据错误响应。下表列出了这两个字段之间的相关性。+-----------------------------------------------+-------------------+

| grant_types value includes: | response_types |

| | value includes: |

+-----------------------------------------------+-------------------+

| authorization_code | code |

| implicit | token |

| password | (none) |

| client_credentials | (none) |

| refresh_token | (none) |

| urn:ietf:params:oauth:grant-type:jwt-bearer | (none) |

| urn:ietf:params:oauth:grant-type:saml2-bearer | (none) |

+-----------------------------------------------+-------------------+向授予类型或响应类型参数引入新值的此文档的扩展和概要文件必须记录这两种参数类型之间的所有通信。如果发送任何人类可读的字段时没有使用语言标记,那么使用该字段的各方不能对字符串值的语言、字符集或脚本做出任何假设,而且字符串值必须按照在用户界面中显示的位置使用。为了促进互操作性,建议客户端和服务器除了使用任何特定于语言的字段外,还使用不使用任何语言标记的人可读字段,并且建议发送的任何不使用语言标记的人可读字段包含适合在各种系统上显示的值。例如,软件声明可以包含以下声明:{

"software_id": "4NRB1-0XZABZI9E6-5SM3R",

"client_name": "Example Statement-based Client",

"client_uri": "https://client.example.net/"

}以下非标准示例JWT包括这些声明,并且使用RS256(仅用于显示目的)进行了非对称签名。并等到如下加密字符串。eyJhbGciOiJSUzI1NiJ9.

eyJzb2Z0d2FyZV9pZCI6IjROUkIxLTBYWkFCWkk5RTYtNVNNM1IiLCJjbGll

bnRfbmFtZSI6IkV4YW1wbGUgU3RhdGVtZW50LWJhc2VkIENsaWVudCIsImNs

aWVudF91cmkiOiJodHRwczovL2NsaWVudC5leGFtcGxlLm5ldC8ifQ.

GHfL4QNIrQwL18BSRdE595T9jbzqa06R9BT8w409x9oIcKaZo_mt15riEXHa

zdISUvDIZhtiyNrSHQ8K4TvqWxH6uJgcmoodZdPwmWRIEYbQDLqPNxREtYn0

5X3AR7ia4FRjQ2ojZjk5fJqJdQ-JcfxyhK-P8BAWBd6I2LLA77IG32xtbhxY

fHX7VhuU5ProJO8uvu3Ayv4XRhLZJY4yKfmyjiiKiPNe-Ia4SMy_d_QSWxsk

U5XIQl5Sa2YRPMbDRXttm2TfnZM1xx70DoYi8g6czz-CPGRi4SW_S2RKHIJf

IjoI3zTJ0Y2oe0_EJAiXbL6OyF9S5tKxDXV8JIndSA加密字符串由头,载荷以及密钥通过一系列的速算法生成,加密字符串与头,载荷以及密钥息息相关,一但加密字符串稍有改动,则无法解析正确解析无法通过验证。通过加密字符串向授权服务器注册客户端。授权服务器为该客户端分配一个惟一的客户端标识符,可选地分配一个客户端机密,并将请求中提供的元数据与已发布的客户端标识符关联起来。该请求包括在注册期间为客户端指定的任何客户端元数据参数。授权服务器可以为客户端元数据中遗漏的任何项提供默认值。注册端点,内容类型为application/json。该HTTP Entity Payload是一个由JSON组成的JSON文档对象和所有请求的客户端元数据值作为顶级成员那个JSON对象。示例:const Koa = require("koa");

const Router = require("koa-router");

const jwt = require("jsonwebtoken");

const jwtAuth = require("koa-jwt");

const secret = "it's a secret"; // 密钥

const app = new Koa();

const router = new Router();

router.get('/api/login',async (ctx) => {

const {username,passwd} = ctx.query;

if(username === "aaron" && passwd == "123456"){

const token = jwt.sign({

data:{name:"Aaron",userId:"1"}, // 用户信息

exp:Math.floor(Date.now()/1000)+60*60 // 过期时间

},secret);

ctx.body = {code:200,token};

}

else{

ctx.status = 401;

ctx.body = {code:0,message: "用户名密码错误"};

}

});

router.get("/api/userinfo",jwtAuth({secret}),async (ctx) => { // jwtAuth受保护路由

ctx.body = {code:200,data:{name:"Aaron",age:18}}

});

app.use(router.routes());

app.listen(3000);

因为最后生成的token是通过base64加密的,有些内容是可以反解的,所以千万不要在数据里面添加有关数据的敏感信息。注意注意。。。发布于 2019-03-25 18:38Node.jsJSON Web Token(JWT)​赞同 18​​4 条评论​分享​喜欢​收藏​申请

什么是安全令牌_安全令牌简介_安全令牌的优势以及应用场景-腾讯云开发者社区

全令牌_安全令牌简介_安全令牌的优势以及应用场景-腾讯云开发者社区腾讯云开发者社区文档建议反馈控制台首页学习活动专区工具TVP最新优惠活动技术百科搜索技术百科搜索技术百科搜索关闭发布登录/注册首页学习活动专区工具TVP最新优惠活动返回腾讯云官网技术百科首页 >安全令牌安全令牌修改于 2023-07-24 17:30:11208概述安全令牌(Security token)是一种用于身份验证和访问控制的安全机制,通常是一个数字或代码,类似于密码,可以用于证明用户的身份。什么是安全令牌?安全令牌(Security token)是一种用于身份验证和访问控制的安全机制,通常是一个数字或代码,类似于密码,可以用于证明用户的身份。安全令牌通常由安全系统或服务提供商颁发,并且只有在经过身份验证之后,才能被用户使用。安全令牌可以用于不同的身份验证场景,例如,登录电子邮件、在线银行、社交媒体等应用程序,以及访问云服务、企业网络等。安全令牌可以采用不同的形式,例如,硬件令牌、软件令牌、短信令牌等。硬件令牌是一种物理设备,通常是一个小型 USB 设备或智能卡,用户需要插入设备并输入密码才能获得令牌。软件令牌通常是一种应用程序,用户需要在设备上安装并输入密码才能获得令牌。短信令牌是一种通过短信发送的数字代码,用户需要在登录时输入该代码来获得令牌。安全令牌是一种有效的身份验证和访问控制机制,可以帮助保护用户的身份和敏感信息免受未经授权的访问。安全令牌的主要优点是什么? 增强安全性安全令牌可以增强身份验证过程,提高安全性,特别是在对敏感信息进行身份验证时,安全令牌是一种有效的安全机制。 二次认证安全令牌提供了一个额外的认证因素,需要用户提供令牌中的数字或代码,这种二次认证可以有效防止密码盗窃或暴力攻击。 多因素认证安全令牌可以与其他认证因素结合使用,例如指纹识别、面部识别、声音识别等,以实现更强的多因素认证。 灵活性安全令牌可以采用不同的形式,例如硬件令牌、软件令牌、短信令牌等,以适应不同的身份验证场景。 限制访问安全令牌可以限制访问,只有持有有效令牌的用户才能访问受保护的资源,从而确保敏感信息的安全性。 自动更改密码安全令牌可以生成动态密码,并在一定时间后自动更改,以增加攻击者破解密码的难度。

安全令牌的主要缺点是什么? 成本较高硬件令牌等实体令牌的生产成本较高,而软件令牌的开发和维护成本也较高,因此使用安全令牌需要较高的投入成本。 依赖于外部设备硬件令牌等实体令牌需要用户携带,而软件令牌需要用户在设备上安装,因此使用安全令牌需要依赖外部设备,增加了用户的负担。 安全性受到攻击者攻击方式的限制安全令牌可以防止多种网络攻击,但如果攻击者采用其他攻击方式,仍然有可能对安全令牌进行攻击。 可能会出现令牌短信延迟或丢失使用短信令牌进行身份验证时,如果短信延迟或丢失,用户可能无法及时获得动态密码,从而影响身份验证的正常进行。 容易丢失或损坏硬件令牌等实体令牌容易丢失或损坏,如果用户无法及时获取新的令牌,可能会影响身份验证的正常进行。安全令牌如何保护用户数据? 身份验证安全令牌可以通过二次认证等方式,确保只有经过身份验证的用户才能访问受保护的资源,从而防止未经授权的访问。 访问控制安全令牌可以限制访问,只有持有有效令牌的用户才能访问受保护的资源,从而确保敏感信息的安全性。 动态密码安全令牌通常会生成一个动态密码,该密码会在一定时间后自动更改,以增加攻击者破解密码的难度。 防止重播攻击安全令牌通常会使用一次性密码,防止攻击者重复使用令牌进行身份验证。 加密通信安全令牌可以与加密通信技术结合使用,保护用户数据在传输过程中的安全性。

安全令牌如何帮助防止身份盗窃? 二次认证安全令牌需要用户提供令牌中的数字或代码,以进行二次认证。这种二次认证可以防止攻击者通过猜测密码或使用暴力攻击等方式盗取用户的身份。 动态密码安全令牌通常会生成一个动态密码,并在一定时间后自动更改。这种动态密码可以防止攻击者通过截取用户的密码或重放攻击等方式盗取用户的身份。 一次性密码安全令牌通常会使用一次性密码,一旦使用后便会失效。这种一次性密码可以防止攻击者重复使用令牌进行身份验证。 多因素认证安全令牌可以与其他认证因素结合使用,例如指纹识别、面部识别、声音识别等,以实现更强的多因素认证。这种多因素认证可以防止攻击者通过盗取用户的密码等方式盗取用户的身份。 访问控制安全令牌可以限制访问,只有持有有效令牌的用户才能访问受保护的资源,从而防止未经授权的访问。

如何管理和更新安全令牌? 颁发安全令牌安全令牌通常是由安全系统或服务提供商颁发的。在颁发令牌时,需要为每个用户分配一个唯一的令牌,并将令牌与用户的身份绑定。 注册令牌在使用令牌之前,需要将令牌注册到安全系统或服务提供商的系统中,以确保令牌的有效性。 分发令牌将令牌分发给用户,并告知用户如何使用令牌进行身份验证。对于硬件令牌等实体令牌,需要告知用户如何携带和使用令牌,对于软件令牌等虚拟令牌,需要告知用户如何安装和使用令牌。 更新令牌安全令牌通常会生成一个动态密码,并在一定时间后自动更改。如果令牌中的动态密码过期或失效,需要更新令牌中的密码。对于硬件令牌等实体令牌,需要将令牌连接到计算机,并使用特定的工具进行更新;对于软件令牌等虚拟令牌,需要升级令牌的应用程序版本。 废弃令牌如果用户丢失或损坏了令牌,或者用户不再需要使用令牌,需要将令牌废弃,并将令牌从安全系统或服务提供商的系统中删除。安全令牌如何增强身份验证过程? 二次认证在用户名和密码之外,令牌提供了一个额外的因素,需要用户提供令牌中的数字或代码。这种二次认证可以有效防止密码盗窃或暴力攻击。 动态密码安全令牌通常会生成一个动态密码,该密码会在一定时间后自动更改,以增加攻击者破解密码的难度。 多因素认证安全令牌可以与其他认证因素结合使用,例如指纹识别、面部识别、声音识别等,以实现更强的多因素认证。 防止重播攻击安全令牌通常会使用一次性密码,防止攻击者重复使用令牌进行身份验证。 限制访问安全令牌可以限制访问,只有持有有效令牌的用户才能访问受保护的资源。如何使用安全令牌进行身份验证? 用户需要获取安全令牌,例如硬件令牌、软件令牌或短信令牌,通常是在注册时由安全系统或服务提供商颁发。 用户在登录时,需要输入用户名和密码,以及安全令牌中显示的数字或代码。这是一个二次认证过程,以确保只有持有有效令牌的用户才能访问受保护的资源。 系统验证用户提供的用户名、密码和令牌代码是否匹配。如果匹配,则用户可以访问受保护的资源。 一些安全令牌会生成动态密码,并在一定时间后自动更改。在这种情况下,用户需要定期更新令牌中的密码,以确保令牌的有效性。

安全令牌如何防止网络攻击? 密码猜测攻击安全令牌可以有效防止密码猜测攻击,因为令牌生成的动态密码在一定时间后会自动更改,攻击者无法通过猜测密码的方式进行攻击。 中间人攻击安全令牌可以防止中间人攻击,因为令牌中的动态密码只能用于单一的身份验证过程,攻击者无法重复使用该密码进行攻击。 重播攻击安全令牌可以防止重播攻击,因为令牌中的动态密码只能使用一次,攻击者无法重复使用该密码进行攻击。 暴力攻击安全令牌可以防止暴力攻击,因为攻击者需要知道令牌中的动态密码才能进行攻击,而动态密码的自动更改以及令牌中包含的复杂算法可以增加攻击者破解密码的难度。 窃取凭证攻击安全令牌可以防止窃取凭证攻击,因为令牌只能由持有者使用,攻击者无法窃取令牌,并使用令牌来进行身份验证。安全令牌如何帮助实现合规性? 身份验证安全令牌可以通过二次认证等方式,确保只有经过身份验证的用户才能访问受保护的资源。这种身份验证可以帮助企业满足合规性要求,例如PCI DSS等标准中的身份验证要求。 访问控制安全令牌可以限制访问,只有持有有效令牌的用户才能访问受保护的资源,从而确保敏感信息的安全性。这种访问控制可以帮助企业满足合规性要求,例如HIPAA等标准中的访问控制要求。 多因素认证安全令牌可以与其他认证因素结合使用,例如指纹识别、面部识别、声音识别等,以实现更强的多因素认证。这种多因素认证可以帮助企业满足合规性要求,例如GDPR等标准中的多因素认证要求。 审计和日志记录安全令牌的使用情况可以进行审计和日志记录,以便于监测和追踪对受保护资源的访问。这种审计和日志记录可以帮助企业满足合规性要求,例如SOX等标准中的审计和日志记录要求。 自动密码更改安全令牌可以生成动态密码,并在一定时间后自动更改。这种自动密码更改可以帮助企业满足合规性要求,例如NIST等标准中的密码策略要求。

词条知识树 (10个知识点)什么是安全令牌?安全令牌的主要优点是什么?安全令牌的主要缺点是什么?安全令牌如何保护用户数据?安全令牌如何帮助防止身份盗窃?如何管理和更新安全令牌?安全令牌如何增强身份验证过程?如何使用安全令牌进行身份验证?安全令牌如何防止网络攻击?安全令牌如何帮助实现合规性?相关文章动态令牌_创建安全令牌1.2K业界 | 开启D令牌保障域名安全400令牌模拟1.2KREST API 的安全认证,从 OAuth 2.0 到 JWT 令牌2.6K如何使用jwtXploiter测试JSON Web令牌的安全性953社区专栏文章阅读清单互动问答技术沙龙技术视频团队主页腾讯云TI平台活动自媒体分享计划邀请作者入驻自荐上首页技术竞赛资源技术周刊社区标签开发者手册开发者实验室关于社区规范免责声明联系我们友情链接腾讯云开发者扫码关注腾讯云开发者领取腾讯云代金券热门产品域名注册云服务器区块链服务消息队列网络加速云数据库域名解析云存储视频直播热门推荐人脸识别腾讯会议企业云CDN加速视频通话图像分析MySQL 数据库SSL 证书语音识别更多推荐数据安全负载均衡短信文字识别云点播商标注册小程序开发网站监控数据迁移Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归

用户身份验证的令牌——Token - 知乎

用户身份验证的令牌——Token - 知乎首发于人工智能大数据学习交流切换模式写文章登录/注册用户身份验证的令牌——Token企通查北京奥德塔数据科技有限公司Token是什么?所谓的Token,其实就是服务端生成的一串加密字符串、以作客户端进行请求的一个“令牌”。当用户第一次使用账号密码成功进行登录后,服务器便生成一个Token及Token失效时间并将此返回给客户端,若成功登陆,以后客户端只需在有效时间内带上这个Token前来请求数据即可,无需再次带上用户名和密码。图:来源于网络拿实际过程举例,当你下载QQ或微信后第一次用账号和密码成功登录后,Token就为我们免去了每次打开应用都要输入账号跟密码的过程。为什么要使用Token?为什么要使用Token?这个问题其实很好回答——因为它能解决问题!当下用户对产品的使用体验要求在逐渐提高,从产品体验方面来讲,Token带来的体验更容易能让用户接受。那么Token都可以解决哪些问题呢?Token具有随机性、不可预测性、时效性、无状态、跨域等特点。 Token完全由应用管理,所以它可以避开同源策略Token可以避免CSRF攻击Token可以是无状态的,可以在多个服务间共享Token是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回Token给前端。前端可以在每次请求的时候带上Token证明自己的合法地位。如果这个Token在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。当然说到这里大家可能会想到,用服务器的session_id存储到cookies中也能做到,为什么非要用Token呢?网上有许多对比Token和session的文章,在此就不再赘述。其实小编觉得,如果是开发web应用的话,用两者都可以,但如果是开发API接口,前后端分离,最好使用Token,因为session+cookies是基于web的,但针对API接口可能会考虑到移动端,app是没有cookies和session的。Token的生命周期1)用户未登录用户执行注册/登录→一旦基础数据校验成功,后端生成Token,并且Token包含此次注册/登录用户的用户名并通过JsonResponse返回给前端→前端拿到返回的Token后,存入浏览器本地存储2)用户每次访问博客页面从本地存储中拿出Token→JS将Token 放入request的Authorization头,发送http请求向后端索要数据→服务器接到前端请求(当前URL加了loging_check,并且请求方法在methods参数中),进行校验→从requestAuthorization头拿出Token→校验→校验不通过,返回前端异常代码/校验通过,正常执行对应的视图函数→前端一旦接到关于Token的异常码,则删除本地存储中的Token,且将用户转至登录界面。如何设置Token的有效期?其实Token作为一个概念模型,开发者完全可以针对自己开发的应用自定义Token,只要能做到不让不法分子钻系统漏洞即可。那么为Token设置有效期还有必要吗?对于这个问题,大家不妨先看两个例子:例1:登录密码登录密码一般要求定期改变密码,以防止泄漏,所以密码是有有效期的。例2:安全证书SSL安全证书都有有效期,目的是为了解决吊销的问题。所以无论是从安全的角度考虑,还是从吊销的角度考虑,Token都需要设有效期。那么,Token的有效期多长合适呢?一般来说,基于系统安全的需要当然需要尽可能的短,但也不能短得离谱:如果在用户正常操作的过程中,Token过期失效要求重新登录,用户体验岂不是很糟糕?为了解决在操作过程不让用户感到Token失效的问题,有一种方案是在服务器端保存Token状态,用户每次操作都会自动刷新(推迟)Token的过期时间。如此操作会存在一个问题,即在前后端分离、单页App等情况下,每秒可能发起多次请求,如果每次都去刷新过期时间会产生非常大的代价,同样地,如果Token的过期时间被持久化到数据库或文件,代价就更大了。所以通常为了提升效率、减少消耗,会把Token的过期时保存在缓存或者内存中。另一种方案是使用RefreshToken,它可以避免频繁的读写操作。这种方案中,服务端无需刷新Token的过期时间,一旦Token过期,就反馈给前端,前端使用RefreshToken申请一个全新Token继续使用。这种方案中,服务端只需要在客户端请求更新Token的时候对RefreshToken的有效性进行一次检查,大大减少了更新有效期的操作,也就避免了频繁读写。当然RefreshToken也是有有效期的,但是这个有效期就可以长一点了。使用 Token 和 Refresh Token 的时序图如下:1)登录 图:来源于网络2)业务请求 图:来源于网络3)Token 过期,刷新 Token 图:来源于网络参考文献:发布于 2021-01-14 10:19tokenWeb 应用HTTP​赞同 91​​7 条评论​分享​喜欢​收藏​申请转载​文章被以下专栏收录人工智能大数据学

走进硬件时代的身份认证(二):账户安全需谨慎,动态口令勿泄露 - 知乎

走进硬件时代的身份认证(二):账户安全需谨慎,动态口令勿泄露 - 知乎首发于汪德嘉切换模式写文章登录/注册走进硬件时代的身份认证(二):账户安全需谨慎,动态口令勿泄露汪德嘉​​威斯康星大学麦迪逊分校 数学博士编者按:动态口令通常通过一种称为令牌的专用硬件来生成,即为硬件令牌。令牌的实现方式分为硬件令牌和软件令牌。目前大部分采用硬件令牌,如中国银行e-token、网易将军令、盛大密宝、QQ令牌等。硬件令牌是一种采用内置电源、存储器、密码计算芯片和显示屏的设备,具有使用便利、安全性高等特点。本文节选汪德嘉博士《身份危机》中硬件时代的硬件令牌章节,将为大家解析硬件令牌的安全性、发展现状及相关技术原理。常用的口令认证机制大都是基于静态口令的,系统根据用户输入的口令和自己维护的口令表进行匹配来判断用户身份的合法性。静态口令认证机制是最简单的一种口令认证方法,但容易受到重放、网络窃听以及猜测攻击。针对静态口令认证机制在安全方面的脆弱性,研究口令认证的学者提出了动态口令认证技术以保护重要的网络系统资源。一次性动态口令认证机制是产生验证信息的时候中加入不定因素,使每次登录过程中网络传送的数据包都不同,以此来提高登录的安全性。不定因子可以是用户登录的时间或者用户登录的次数等。硬件令牌发展现状80年代初,贝尔实验室的Lamport博士提出了一种生成动态口令的方法。90年代初贝尔实验室开发出了较为成熟的动态口令系统S/KEY口令的生成主要是依靠一个口令生成器即令牌,令牌通常是独立于终端的、授权用户可随身携带的、信用片或钥匙链大小的器件,并且令牌本身可使用PIN来保护。动态口令认证系统通过使用令牌产生的无法猜测和复制的动态口令接入系统,保证了接入远程系统的终端用户确实为授权实体,有效地保护了信息系统的安全性,大大降低了非法访问的风险。当前最主流的是基于时间同步的硬件令牌,它30至60秒变换一次动态口令,动态口令一次有效,它产生6位/8位动态数字。硬件令牌内置电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法,根据当前时间或使用次数生成当前口令并显示在显示屏上。远程系统采用相同的算法计算当前的有效口令。用户使用时只需要将动态令牌上显示的当前口令输入客户端计算机,即可实现身份认证。由于每次使用的口令必须由令牌动态产生,而且只有合法用户才持有该硬件,所以只要通过口令验证就可以认为该用户的身份是可靠的。由于用户每次使用的口令都不相同,即使黑客截获了某一次登录时使用的口令,也无法利用这个口令来仿冒合法用户的身份。动态口令技术采用一次一密的方法,有效保证了用户身份的安全性。硬件令牌优点(1)动态性:令牌每次产生的口令都是不同的,不同时刻使用不同口令登录,而且每个口令都只在其产生的时间范围内有效。(2)随机性:验证口令每次都是随机产生的,不可预测。(3)一次性:每个验证口令使用过一次后就失效,不能重复使用。(4)抗偷看窃听性:由于动态性和一次性的特点,即使某一个验证口令被人偷看或窃听了,也无法被再次使用。(5)不可复制性:动态产生的验证口令与令牌是紧密相关的,不同的令牌产生不同的动态口令。令牌是密封的,而且卡内种子密钥数据一旦断电就会丢失。因此也就保证只有拥有令牌的用户才能使用,其他用户无法获得。(6)方便性:令牌随身携带,验证口令显示在卡上,无需再为记忆负责的口令而烦恼。(7)危险及时发现性:令牌随身携带,一旦遗失或失窃,就会及时发现、及时挂失,把损失降到最小。(8)抗穷举攻击性:由于动态性的特点,如果一分钟内穷举不到,那么下一分钟就需要重新穷举,因此新的动态口令可能就在已经穷举过的口令中。另外还可以通过系统设置,限制一个时间段内用户尝试登录的次数,从而进一步降低穷举攻击的风险。硬件令牌缺点一次性口令尽管具有上述众多优点,但是如果用户终端与远程系统的时间或登录次数不能保持良好的同步,就可能发生授权用户无法登录的问题,并且终端用户每次登录时都需要输入一长串无规律的密码,使用起来非常不方便。硬件令牌“认牌不认人”,虽然携带方便,但也容易丢失;缺少通信模块,认证服务器无法对其管理和更新数据。一旦失去同步,将无法使用;实施成本较高,这对于预算有限的中小企业来说,显然是不现实的。硬件令牌安全性分析当硬件令牌面对安全性攻击时,硬件令牌是通过何种技术抵挡攻击手段,从而保证身份认证安全,以下将详细介绍:1、一次性口令生成算法破解攻击:(1)从硬件中得到令牌密钥:由于令牌密钥固化在芯片中,如要读取其中的密钥,前提条件是已经获得令牌。如果令牌被非法用户所得,则合法用户应该已经注销了该令牌。因此,解密得到的是失效的令牌密钥。为此,需要为用户提供令牌注销服务。如果用户丢失了令牌,可使用令牌挂失服务,让系统停用该令牌。需要输入用户的用户名和其它一些该用户在注册时保留的个人信息;(2)算法分析:生成动态口令的加密算法是RC5算法,因此对算法攻击的可能性取决于RC5算法的抗攻击强度。系统采用的加密密钥为16字节,目前的穷举密钥方法还不能进行有效的攻击,加密轮数为16轮(RSA对分组为64比特时推荐的加密轮数为12轮),经过测试得到加密时间约为几百毫秒,速度能够满足需求。对抗差分分析或线性分析也有足够的强度。2、窃听攻击:因为网络上传输的是加密过并且经过转换的数字,所以在网络上窃听到这样的数字没有任何意义。3、重放攻击:这是时间同步一次性口令系统的缺点。而事件同步一次性口令认证系统,每认证成功一次。要更新服务器端的计数器值。因此重发攻击对本系统是无效的。4、攻击:因为挑战值是由在硬件令牌内部产生的,而不是由服务器产生的,所以不存在小数攻击的威胁。5、假冒服务器攻击:即在用户认证数据包还未到达认证服务器之前,修改用户的认证数据包,使数据包的IP地址指向攻击者所在的地址。所有的一次性口令系统都存在这样的威胁,必须结合其它的方式来防止或告警。如利用SSL对传输过程进行加密。6、口令猜测攻击:为了防止口令猜测攻击,用户认证出错超过3次,则停用该帐户,并通知用户。动态口令技术原理动态(一次)口令认证机制的主要原理是:在登录过程中加入不确定因素。使每次登录过程中摘录所得到的密码都不相同,以提高登录过程的安全性。每次的口令是3个因子按一定算法计算得到的结果,这3个因子分别是种子(seed)、迭代值(iteration)和秘密通行短语。它们之间应具备一种相同的“认证器件”,该认证器件实际上是某种算法的硬件或软件实现,它的作用是生成一次性口令。一次性口令认证模式根据不确定因素的不同,分为以下几种模式:挑战应答模式、时间同步认证模式和事件同步认证模式,第一种使用的方法一般是通过客户输入的挑战码,令牌在内置芯片上会自动用算法生产一个随机数字串,有效期为一次性。第二种是与系统服务器时间挂钩的,通常是60秒生成一个口令,但其固有窗口与交易的过程无关,所以在实际应用上会与预想有一定的差距。第三种事物型令牌,工作机制是事务地顺序与统一钥匙解锁,由HASH函数来运行出一样的密钥。动态口令认证模式动态口令身份认证系统,是由客户端设备和认证系统同时拥有一个对称密钥算法,并且同时拥有对称密钥(客户端设备上的个人密钥是由认证系统发放的)。动态口令的变化,则是由于算法中变量的不同而不同。根据变量的不同,动态口令身份认证目前有基于时间同步方式的、基于事件同步方式的和基于挑战/应答(异步)方式三种技术模式。(1)时间同步方式(TimeSynchronization)所谓时间同步机制,就是以时间作为变量。每个用户都持有相应的时间同步令牌(Token),令牌内置时钟、种子密钥和加密算法。时间同步令牌根据当前时间和种子密钥每分钟动态生成一个一次性口令。用户需要访问系统时,将令牌生成的动态口令传送到认证服务器。服务器通过其种子密钥副本和当前时间计算出所期望的输出值,对用户进行验证。如果相匹配,则登录通过。时间同步方式的关键在于认证服务器和令牌的时钟要保持同步,这样在同一时钟内两者才能计算出相同的动态口令。该方式的实现还需要有时间同步令牌这类特殊硬件的支持。(2)事件同步方式又称为Lamport方式或哈希链(Hashchains)方式。事件同步机制是以事件(次数/序列数)作为变量。在初始化阶段选取一个口令PW和一个迭代数N,及一个单向散列函数F,计算Y=Fn(PW)(Fn()表示进行n次散列运算),并把Y和N的值存到服务器上。用户端计算Y'=Fn-1(PW)的值,再提交给服务器。服务器则计算Z=F(Y'),最后服务器将Z值同服务器上保存的Y进行比较。如果Z=Y,则验证成功,然后用Y'的值取代服务器上Y的值,同时N的值递减1。通过事件同步方式,用户每次登录到服务器端的口令都不相同。这种方案易于实现,且无须特殊硬件的支持。例如S/KEY口令序列认证方案就是一种基于事件同步方式的认证方案。口令为一个单向的前后相关的序列,系统只用记录第N个口令。用户用第N-1个口令登录时,系统用单向算法算出第N个,令与自己保存的第N个口令匹配,以判断用户的合法性。由于N是有限的,用户登录N次后必须重新初始化口令序列。(3)挑战/应答(异步)认证方式(Challenge/Response)挑战/应答机制就是以挑战数作为变量。每个用户同样需要持有相应的挑战/应答令牌。令牌内置种子密钥和加密算法。用户在访问系统时,服务器随机生成一个挑战(Challenge)数据,并将挑战数据发送给用户,用户将收到的挑战数据手工输入到挑战/应答令牌中,挑战/应答令牌利用内置的种子密钥和加密算法计算出相应的应答(Response)数据。用户再将应答数据上传给服务器。服务器根据该用户存储的种子密钥和加密算法计算出相应的应答数据,再和用户上传的应答数进行比较来实施认证。该方式可以保证很高的安全性,是目前最可靠有效的认证方式。动态口令身份认证模式比较三种技术模式的认证系统端(即后台中心系统)结构非常类似,功能也基本相同,提供着同一级别的安全认证管理。但三种技术模式的客户端则有着较大的不同:(1)时间同步机制:时间同步方式的难点也在时间同步上,由于以时间做变量,因此客户端设备必须具有时钟,从而对设备精度要求高,成本高,并且从技术上很难保证用户的时间令牌在时间上和认证服务器严格同步;同步机制复杂,降低认证效率,数据在网络上传输和处理存在一定的延迟,当时间误差超过允许值时,对正常用户的登录往往造成身份认证失败;耗电量大,使用寿命短;应用模式单一,很难支持双向认证及“数字签名”等应用需求。一般用于软件令牌。(2)挑战/应答机制:由于挑战数是由认证系统提出,客户端设备将挑战数输入后产生应答数,因此应用模式可设计的较丰富,支持不同的应用需求,如:双向认证、数字签名等;但由于需要运算,因此客户端需要特殊硬件(挑战/应答令牌)的支持,设备必须具备运算功能,增加了该方式的实现成本;同时,用户需多次手工输入数据,易造成较多的输入失误;认证步骤复杂,对应用系统的改造工作量大;用户的身份ID直接在网络上明文传输,攻击者可很容易地截获它,留下了安全隐患;没有实现用户和服务器间的相互认证,不能抵抗来自服务器端的假冒攻击;挑战数据每次都由服务器随机生成,造成了服务器开销过大。(3)事件同步机制,由于这一机制与应用逻辑相吻合(都是以次数为计算单位),因此客户端设备设计要求简单,甚至可不使用运算设备。但其安全性依赖于单向散列函数F,不宜在分布式的网络环境下使用。此外,使用事件同步方式进行身份认证用户,需要进行多次散列运算。而且由于迭代数是有限的,每隔一段时间还需要重新初始化系统,服务器的额外开销比较大。现在设计可为客户印制动态口令表,预先完成散列运算,降低成本;还可结合客户端设备的设计特点,可支持丰富的应用需求。硬件令牌技术设计1、算法描述动态口令生成算法[1]借鉴了对称密码加密的方式。将令牌的序列号经系统密钥加密后写入用户令牌中,通过对计数器值的加密得到二进制一次性口令.再将其转化为十进制一次性口令OTP。计数器值c随机生成,为4个字节。令牌密钥可用固定的系统密钥对令牌序列号用AES加密后得到。系统密钥和令牌序列号均为16字节的字符串。令牌密钥生成后是固定的。每个令牌密钥uk既是随机数,在整个系统中又是唯一的,这样确保非法用户难以获得用户的uk。即使获得某个或少数令牌的密钥,对获得系统中其它用户的密钥毫无帮助。图7-2 一次性口令生成算法示意图一次性口令算法示意图(见图7-2),该算法有两个基本功能模块:(1)利用RC5算法,对计数器值用令牌密钥加密,输出为4字节的二进制串。RC5算法非常适合于硬件实现,加密速度非常快,实时性好,且对不同字长的处理器具有较好的适应性;(2)OTP_Conv()函数的作用时将二进制串转换为十进制串。2、硬件令牌实现图7-3 硬件令牌实现逻辑硬件令牌的逻辑结构(见图7-3),芯片经过驱动接口与液晶屏、键盘、外部存储电路以及外接电源相连。基本工作过程简单描述如下:(1)按下电源开关按键,电源灯亮,硬件令牌开始工作;(2)按下口令生成按钮,在液晶屏上显示出一次性口令;(3)用户用这个一次性口令来登录;(4)按下电源开关按键,电源灯灭。硬件令牌结束工作。主函数程序首先调用sys_init()函数,用来初始化芯片的中断、端口、UART口和串行总线。接着在一个循环中,等待口令生成按钮被按下,如按键,调用OTP_result()函数,它完成主要的业务功能,得到一次性口令并显示在液晶屏上。硬件协议设计图7-4 硬件令牌认证协议描述认证协议具体包括3个阶段:初始化阶段、口令生成阶段和认证阶段。硬件令牌认证协议描述(见图7-4),uk为令牌密钥,k为系统密钥,seq为令牌序列号。c为计数器值。(1)认证服务器和令牌的初始化。认证服务器的初始化:计数器值和令牌序列号存入数据库。认证服务器在初始化的时候。生成一个服务器的主密钥,主密钥保存在智能卡中,由系统管理员使用。每次在启动认证服务器的时候,从智能卡中读入该主密钥,确保主密钥的安全。令牌的初始化:计数器值、令牌密钥及一次性口令生成及转换算法写入令牌中。(2)令牌中一次性口令的生成。生成一次性口令:利用RC5算法对4字节计数器值c用令牌密钥uk进行加密,加密出的结果仍为4字节的二进制串。一次性口令的转换:将4字节的二进制串转换为用户可以接受长度的十进制数,作为一次性口令OTP。(3)认证过程的实现。识别令牌所有者:用户提交用户名、PIN码和一次性口令,传输到认证服务器以后,认证服务器根据用户名从数据库中查到PIN码,与接收到的数据进行对比。如果一致,则证明令牌所有者是本人。如果不一致,则拒绝登录。0TP的比较:认证服务器首先将接收到的一次性口令进行转换,然后用AES算法对系统密钥和令牌序列号进行运算得到令牌密钥。再用令牌密钥对一次性口令进行解密。将解密得到的结果c1和认证服务器中的计数器值c进行比较。此时考虑以下3种情况:(1)如果用户发送的计数器值大于认证服务器中的计数器值且小于一个偏移量,即cc+offset,则系统记录当前的c1值,提示客户再次输入口令,对第二次提交的一次性口令按同样的方式进行解密后得到结果c2,将c2与c1进行比较,此时如果(c2=c1+1)或者c2=0同时c1=232-1,则二次认证通过,否则认证不通过。认证通过后,将c的值用c1更新;如果是二次认证通过,则将c的值用c2更新。以上3个条件都不符合的话,认证不通过。结束:随着互联网的发展,账号密码体系的身份认证逐渐走进人们的生活,人们开始习惯于,每使用一个平台即需要注册一套账号密码,账号密码体系为身份认证体系中最简单便捷的一种身份认证方式,为了增强互联网身份认证的安全性,基于PKI体系以硬件/软件为载体的身份认证方式逐渐被人们所熟知,如:智能卡、硬件令牌、身份认证SDK/APP等。除了这里提到的这些身份认证方式外,U盾也是基于PKI体系以硬件为载体的身份认证方式,U盾是用于网上银行电子签名和数字认证的工具,它内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。在下篇文章中将带大家了解U盾的发展历史及相关技术原理,敬请期待!发布于 2018-03-16 10:04身份认证智能硬件信息安全​赞同 5​​添加评论​分享​喜欢​收藏​申请转载​文章被以下专栏收录汪德嘉专注人工智能、区块链及Web3安

令牌和声明概述 - Microsoft identity platform | Microsoft Learn

令牌和声明概述 - Microsoft identity platform | Microsoft Learn

跳转至主内容

此浏览器不再受支持。

请升级到 Microsoft Edge 以使用最新的功能、安全更新和技术支持。

下载 Microsoft Edge

有关 Internet Explorer 和 Microsoft Edge 的详细信息

目录

退出焦点模式

使用英语阅读

保存

目录

使用英语阅读

保存

打印

Twitter

LinkedIn

Facebook

电子邮件

目录

令牌和声明概述

项目

12/21/2023

10 个参与者

反馈

本文内容

对于用户遍布全球且用户不一定从企业网络登录的应用而言,集中式标识提供者尤其有用。 Microsoft 标识平台会对用户进行身份验证,并提供安全令牌,如访问令牌、刷新令牌和 ID 令牌。 使用安全令牌,客户端应用程序可以访问资源服务器上受保护的资源。

访问令牌 - 访问令牌是由授权服务器作为 OAuth 2.0 流的一部分颁发的安全令牌。 它包含有关令牌所针对的用户和资源的信息。 这些信息可用于访问 Web API 和其他受保护的资源。 资源会验证访问令牌,以授予对客户端应用程序的访问权限。 有关详细信息,请参阅 Microsoft 标识平台中的访问令牌。

刷新令牌 - 由于访问令牌只在短时间内有效,因此授权服务器有时会在颁发访问令牌的同时颁发“刷新令牌”。 然后,客户端应用程序可以在需要时使用此刷新令牌交换新的访问令牌。 有关详细信息,请参阅 Microsoft 标识平台中的刷新令牌。

ID 令牌:ID 令牌作为 OpenID Connect 流的一部分发送到客户端应用程序。 它们可以与访问令牌一起发送,也可以代替访问令牌发送。 客户端使用 ID 令牌对用户进行身份验证。 若要详细了解 Microsoft 标识平台如何颁发 ID 令牌,请参阅 Microsoft 标识平台中的 ID 令牌。

许多企业应用程序使用 SAML 对用户进行身份验证。 有关 SAML 断言的信息,请参阅 SAML 令牌参考。

验证令牌

由为其生成了令牌的应用程序、已让用户登录的 Web 应用或所调用的 Web API 负责验证令牌。 授权服务器使用私钥对令牌进行签名。 授权服务器发布相应的公钥。 若要验证令牌,应用需使用授权服务器公钥验证签名,以验证签名是使用私钥创建的。 有关更多信息,请参阅通过验证声明保护应用程序和 API 一文。

我们建议尽可能使用受支持的 Microsoft 身份验证库 (MSAL)。 这会实现对令牌的获取、刷新和验证。 其还使用租户的 OpenID 已知发现文档来实现符合标准的租户设置和密钥发现。 MSAL 支持许多不同的应用程序体系结构和平台,包括 .NET、JavaScript、Java、Python、Android 和 iOS。

令牌只在有限的时间内有效,因此授权服务器经常提供一对令牌。 其中一个是访问令牌,用于访问应用程序或受保护资源。 另外一个是刷新令牌,用于在访问令牌即将过期时刷新访问令牌。

访问令牌作为 Authorization 标头中的持有者令牌传递给 Web API。 应用可以向授权服务器提供刷新令牌。 如果未撤消用户对应用的访问权限,它将收到一个新的访问令牌和一个新的刷新令牌。 当授权服务器收到刷新令牌时,仅在用户仍获得授权的情况下,授权服务器才会颁发另一个访问令牌。

JSON Web 令牌和声明

Microsoft 标识平台将安全令牌实现为包含声明的 JSON Web 令牌 (JWT)。 由于 JWT 用作安全令牌,这种形式的身份验证有时称为“JWT 身份验证”。

声明将有关某个实体(例如客户端应用程序或资源所有者)的断言提供给另一个实体(例如资源服务器)。 声明也可以称为 JWT 声明或 JSON Web 令牌声明。

声明是对令牌主体相关事实进行中继的名称或值对。 例如,声明可能包含由授权服务器进行身份验证的安全主体的相关事实。 特定令牌中提供的声明取决于许多事项,例如令牌类型、用于对使用者进行身份验证的凭据类型,以及应用程序配置。

应用程序可以使用声明来完成以下各种任务:

验证令牌

标识令牌使用者的租户

显示用户信息

确定使用者的授权

声明由提供以下类型信息的键值对组成:

生成令牌的安全令牌服务器

令牌生成日期

使用者(类似于用户,但不是守护程序)

受众,即,为其生成了令牌的应用

请求了令牌的应用(客户端)

令牌端点和颁发者

Microsoft Entra ID 支持两种租户配置:用于内部使用和管理员工和企业来宾的员工配置,以及针对在面向外部受限的目录中隔离客户和合作伙伴进行优化的客户配置。 虽然两种租户配置的底层标识服务是相同的,但客户租户的登录域和令牌颁发机构不同。 这样,应用程序就可以根据需要保持将工作人员和外部 ID 工作流分隔开来。

Microsoft Entra ID 工作人员租户使用 sts.windows.net 颁发的令牌在 login.microsoftonline.com 进行身份验证。 只要底层信任关系允许这种互操作性,工作人员租户令牌通常可在租户和多租户应用程序之间互换。 Microsoft Entra ID 客户租户使用 {tenantname}.ciamlogin.com 形式的租户端点。 注册到客户租户的应用程序必须了解此分隔,才能正确接收和验证令牌。

每个 Microsoft Entra ID 租户都会发布符合标准的已知元数据。 本文档包含有关颁发者名称、身份验证和授权端点、支持的范围和声明的信息。 对于客户租户,本文档可在以下网址公开获取:https://{tenantname}.ciamlogin.com/{tenantid}/v2.0/.well-known/openid-configuration。 此端点在以下网址返回颁发者值:https://{tenantname}.ciamlogin.com/{tenantid}/v2.0.ciam。

授权流和验证码

根据客户端的构建方式,它可以使用一个或多个 Microsoft 标识平台支持的身份验证流。 这些支持的流可以生成各种令牌以及授权代码,并需要不同的令牌使其正常工作。 下表提供了概述。

流向

需要

ID 令牌

访问令牌

刷新令牌

授权代码

授权代码流

x

X

X

x

隐式流

x

x

混合 OIDC 流

x

x

刷新令牌兑换

刷新令牌

x

X

x

代理流

访问令牌

x

X

x

客户端凭据

x(仅限应用)

使用隐式流颁发的令牌由于通过 URL 传回浏览器而具有长度限制,其中 response_mode 是 query 或 fragment。 有些浏览器对可以放在浏览器栏中的 URL 的大小有限制,当 URL 太长时会失败。 因此,这些令牌没有 groups 或 wids 声明。

请参阅

OAuth 2.0

OpenID Connect

后续步骤

参阅身份验证与授权,了解身份验证和授权的基本概念。

其他资源

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

高对比度

早期版本

博客

参与

隐私

使用条款

商标

© Microsoft 2024

其他资源

本文内容

加州消费者隐私法案 (CCPA) 禁用图标

你的隐私选择

主题

高对比度

早期版本

博客

参与

隐私

使用条款

商标

© Microsoft 2024

安全中心-手机令牌

安全中心-手机令牌

加入收藏夹 · 腾讯客服

立即设置

使用免费

安装后,使用手机令牌不会产生流量费及其他任何费用。

操作快捷

使用时打开手机令牌软件, 在电脑上输入6位数字即可。

携带方便

带着手机即可随时使用。

安全保障

密码在手机中动态产生,有效保障您的帐号安全。

了解更多

常见问题

使用教程

立即设置

Copyright © 1998 - 2009 Tencent. All Rights Reserved

腾讯公司 版权所有

手机令牌 - 密保工具 - QQ安全中心

手机令牌 - 密保工具 - QQ安全中心

用户登录

登录

退出

手机App

反馈问题

扫码下载手机App

iPhone版

Android版

安全通知

帐号安全状态,随身全知道

帐号异地消费Q币?修改了密保、密码?解除了游戏安全模式?直接推送消息到手机,您马上就知道!

财产保护

Q币、装备保护,安全放心!

装备被洗劫一空?不怕,财产保护来帮您!消费您的Q币,登录您的游戏,必须有您的二次确认。这是银行级别的安全服务!

身份验证

各种验证点一下就通过!

钓鱼网站真假难辨?不怕,一键验证帮您。动态密码的时代已经过去。您还不快试试升级换代的一键验证嘛?您的帐号,在什么业务,做了什么,一目了然!

帐号锁

不用QQ ?锁上就放心!

QQ里的隐私信息要如何保护?您的密码Ta知道?您要出门旅行,半个月不用QQ?不妨试试帐号锁吧。

快速改密

QQ有异常,随时改密!

发现QQ被盗用?发现密码被人知道了?觉得QQ不安全?手机随时快速改密,帮您摆脱这些烦恼!

安全通知

财产保护

身份验证

帐号锁

快速改密

如何使用QQ安全中心手机版?

如何下载并安装QQ安全中心手机版?

QQ安全中心手机版绑定多个QQ?

QQ安全中心手机版如何校准时间?

QQ安全中心手机版免费吗?

QQ安全中心手机版是腾讯公司提供的免费QQ帐号保护工具。在短信绑定QQ的时候,会产生短信费用,及少量流量费用,由运营商收取,腾讯公司不收费。

QQ安全中心手机版如何解绑?

不小心卸载了QQ安全中心如何处理?

您可以重新下载安装QQ安全中心手机版,并重新绑定。

  下载客户端并安装

手机令牌3.1 for S60v5

手机令牌3.1 for S60v3

 关闭 

1  下载客户端并安装

手机令牌kjava版本

2  绑定QQ帐号

立即绑定

 关闭 

关于腾讯|About Tencent|服务条款|腾讯招聘|隐私政策|帮助中心

Copyright © 1998 - 2018 Tencent. All Rights Reserved.

99安全令

99安全令

手环版

时尚版

令牌使用

帮助中心

售后服务

99安全令手环版

概述

功能

展示

快乐游戏 · 健康生活

独具创新,密保领域的佼佼者。将穿戴设备与密保系统完美结合,安全令牌的科技结晶。保护游戏账号安全的同时,还能呵护您的身心健康。

彻底解决携带问题的新一代密保产品

健康手环随身佩戴,走到哪里都可以畅玩

时间、步数、心率功能触手可及

全新设计的99安全令手环版,OLED显示屏,通过轻触圆形按键,即可显示当前时间、步数、心率等,功能多样,操作简单。

动态密码

安全防护

时间显示

手表功能

时间校准

手机操作

心率显示

健康检测

记录步数

运动专家

蓝牙连接

手机直连

搭配专有APP记录健康轨迹

精心设计的UI界面,步数、睡眠、心率等模块数据分段展现,查看清晰,操作方便

轻松使用多天无需充电,日常生活无需担心待机问题,防水溅、防尘

防水级别IP65(防生活水溅)

注意:不可长时间泡水里,不可戴着洗澡、避免高速水流冲洗等

低耗能待机时间长

DIHAONENG DAIJI SHIJIANCHANG

防尘效果出色

FANGCHEN XIAOGUO CHUSE

99安全令手环版还有红、蓝、黑、橙腕带配色,色彩让手环彰显与众不同,根据不一样的生活状态,

任意搭配腕带色彩,时尚科技并行

QQ令牌 - QQ安全中心

QQ令牌 - QQ安全中心

首页

帐号保护

密码管理

安全学堂

密保工具箱

登录

厂商热线查询:

 查询 

令牌序列号格式错误!

查询结果:

客服热线:021-50504745

联系邮箱:ktoken@qq.com

查询结果:

客服热线:0571-28801962

联系邮箱:utoken@qq.com

查询结果:

客服热线:4008872611转4

查询结果:

客服热线:0769-86851999转288或18666217526

联系邮箱:SUPPORT@HIERSTAR.COM

客服QQ:2506466376

查询结果:

客服热线:400-888-9885

联系邮箱:service@dynamicode.com.cn

售后小提示:1.检查是否符合"三包"规定;

                  2.填写产品跟踪服务单;

                  3.到购买店面进行保修或换退。

腾讯拍拍官方形象店                

点击进入形象店>>

http://qqimage.paipai.com

QQ令牌实体店购买                  查询售卖点地址>>

全国售卖QQ令牌详细地点

 关  闭 

用户登录

已经购买令牌·绑定令牌

支持保护以下游戏

产品相关信息

·售后服务查询令牌售后的客服咨询热线

·常见问题解答令牌常见疑难问题答复

·使用意见反馈功能和质量问题的反馈渠道

·产品使用说明下载下载QQ令牌使用说明书

产品使用教程

绑定指南

解绑指南

挂失指南

重启指南

关于腾讯|About Tencent|服务条款|腾讯招聘|隐私政策|帮助中心

Copyright © 1998 - 2018 Tencent. All Rights Reserved.

什么是STS_访问控制(RAM)-阿里云帮助中心

什么是STS_访问控制(RAM)-阿里云帮助中心

产品解决方案文档与社区权益中心定价云市场合作伙伴支持与服务了解阿里云售前咨询 95187-1 在线服务售后咨询 4008013260 在线服务其他服务 我要建议 我要投诉更多联系方式备案控制台

文档产品文档输入文档关键字查找

访问控制

产品概述

快速入门

操作指南

实践教程

开发参考

服务支持

首页

访问控制

产品概述

产品简介

什么是STS

什么是STS更新时间:一键部署产品详情相关技术圈我的收藏

阿里云STS(Security Token Service)是阿里云提供的一种临时访问权限管理服务。RAM提供RAM用户和RAM角色两种身份。其中,RAM角色不具备永久身份凭证,而只能通过STS获取可以自定义时效和访问权限的临时身份凭证,即安全令牌(STS Token)。功能特性使用RAM用户扮演角色时获取STS Token有权限的RAM用户可以使用自己的访问密钥调用AssumeRole - 获取扮演角色的临时身份凭证接口,以获取某个RAM角色的STS Token,从而使用STS Token访问阿里云资源。通常用于跨账号访问场景和临时授权场景。更多信息,请参见使用RAM角色、跨阿里云账号的资源授权和移动应用使用临时安全令牌访问阿里云。角色SSO时获取STS Token进行角色SSO时,通过调用AssumeRoleWithSAML - SAML角色SSO时获取扮演角色的临时身份凭证或AssumeRoleWithOIDC - OIDC角色SSO时获取扮演角色的临时身份凭证接口,以获取某个RAM角色的STS Token,从而使用STS Token进行单点登录(SSO登录)。更多信息,请参见SAML角色SSO概览或OIDC角色SSO概览。产品优势使用STS Token,减少长期访问密钥(AccessKey)泄露的风险。STS Token具有时效性,可以自定义有效期,到期后将自动失效,无需定期轮换。可以为STS Token绑定自定义权限策略,提供更加灵活和精细的云资源授权。基本概念概念说明RAM用户RAM用户是RAM的一种实体身份类型,有确定的身份ID和身份凭证,它通常与某个确定的人或应用程序一一对应。一个阿里云账号下可以创建多个RAM用户,对应企业内的员工、系统或应用程序。RAM用户不拥有资源,不能独立计量计费,由所属阿里云账号统一控制和付费。RAM用户归属于阿里云账号,只能在所属阿里云账号的空间下可见,而不是独立的阿里云账号。RAM用户必须在获得阿里云账号的授权后才能登录控制台或使用API操作阿里云账号下的资源。更多信息,请参见RAM用户概览和创建RAM用户。RAM角色RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有确定的登录密码或访问密钥,它需要被一个可信的实体用户(RAM用户、阿里云服务或身份提供商)扮演。扮演成功后实体用户将获得RAM角色的临时身份凭证,即安全令牌(STS Token),使用安全令牌就能以RAM角色身份访问被授权的资源。根据不同的可信实体,RAM角色分为以下三类: 阿里云账号:允许RAM用户所扮演的角色。扮演角色的RAM用户可以属于自己的阿里云账号,也可以属于其他阿里云账号。此类角色主要用来解决跨账号访问和临时授权问题。阿里云服务:允许云服务所扮演的角色。此类角色主要用于授权云服务代理您进行资源操作。身份提供商:允许可信身份提供商下的用户所扮演的角色。此类角色主要用于实现与阿里云的单点登录(SSO)。更多信息,请参见RAM角色概述、创建可信实体为阿里云账号的RAM角色、创建可信实体为阿里云服务的RAM角色和创建可信实体为身份提供商的RAM角色。角色ARN角色ARN是角色的全局资源描述符,用来指定具体角色。ARN遵循阿里云ARN的命名规范。例如,某个阿里云账号下的devops角色的ARN为:acs:ram::123456789012****:role/samplerole。创建角色后,单击角色名后,可在基本信息页查看其ARN。可信实体RAM角色的可信实体是指可以扮演RAM角色的实体用户身份。创建RAM角色时必须指定可信实体,RAM角色只能被可信实体扮演。可信实体可以是阿里云账号、受信的阿里云服务或身份提供商。权限策略权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。权限策略是描述权限集的一种简单语言规范。一个RAM角色可以绑定一组权限策略,没有绑定权限策略的RAM角色可以存在,但不能访问资源。扮演角色扮演角色是实体用户获取角色身份的安全令牌的方法。一个实体用户调用STS API AssumeRole - 获取扮演角色的临时身份凭证可以获得角色的安全令牌,使用安全令牌可以访问云服务API。支持STS的云服务关于支持STS的云服务详情,请参见支持STS的云服务。相关文档AssumeRole - 获取扮演角色的临时身份凭证AssumeRoleWithSAML - SAML角色SSO时获取扮演角色的临时身份凭证AssumeRoleWithOIDC - OIDC角色SSO时获取扮演角色的临时身份凭证

反馈本页导读 (1)文档反馈

为什么选择阿里云什么是云计算全球基础设施技术领先稳定可靠安全合规分析师报告产品和定价全部产品免费试用产品动态产品定价价格计算器云上成本管理解决方案技术解决方案文档与社区文档开发者社区天池大赛培训与认证权益中心免费试用高校计划企业扶持计划推荐返现计划支持与服务基础服务企业增值服务迁云服务官网公告健康看板信任中心关注阿里云关注阿里云公众号或下载阿里云APP,关注云资讯,随时随地运维管控云服务售前咨询:95187-1售后服务:400-80-13260法律声明及隐私权政策Cookies政策廉正举报安全举报联系我们加入我们阿里巴巴集团淘宝网天猫全球速卖通阿里巴巴国际交易市场1688阿里妈妈飞猪阿里云计算AliOS万网高德UC友盟优酷钉钉支付宝达摩院淘宝海外阿里云盘饿了么© 2009-2024 Aliyun.com 版权所有 增值电信业务经营许可证: 浙B2-20080101 域名注册服务机构许可: 浙D3-20210002 京D3-20220015浙公网安备 33010602009975号浙B2-20080101-4