作者：一點一滴的Bee

鏈接：https://www.cnblogs.com/beer/p/6029861.html

1、概述

在存在賬號體系的信息系統(tǒng)中抡蛙，對身份的鑒定是非常重要的事情妇智。

隨著移動互聯(lián)網(wǎng)時代到來齐蔽，客戶端的類型越來越多杠巡， 逐漸出現(xiàn)了 一個服務(wù)器，N個客戶端的格局 埃撵。

image

不同的客戶端產(chǎn)生了不同的用戶使用場景赵颅，這些場景：

1、有不同的環(huán)境安全威脅

2暂刘、不同的會話生存周期

3饺谬、不同的用戶權(quán)限控制體系

4、不同級別的接口調(diào)用方式

綜上所述，它們的身份認證方式也存在一定的區(qū)別募寨。

本文將使用一定的篇幅對這些場景進行一些分析和梳理工作族展。

2、使用場景

下面是一些在IT服務(wù)常見的一些使用場景：

1拔鹰、用戶在web瀏覽器端登錄系統(tǒng),使用系統(tǒng)服務(wù)

2仪缸、用戶在手機端（Android/iOS）登錄系統(tǒng),使用系統(tǒng)服務(wù)

3、用戶使用開放接口登錄系統(tǒng),調(diào)用系統(tǒng)服務(wù)

4列肢、用戶在PC處理登錄狀態(tài)時通過手機掃碼授權(quán)手機登錄（使用得比較少）

5恰画、用戶在手機處理登錄狀態(tài)進通過手機掃碼授權(quán)PC進行登錄（比較常見）

通過對場景的細分,得到如下不同的認證token類別：

1、原始賬號密碼類別

• 用戶名和密碼

• API應(yīng)用ID/KEY

2瓷马、會話ID類別

• 瀏覽器端token

• 移動端token

• API應(yīng)用token

3拴还、接口調(diào)用類別

• 接口訪問token

4、身份授權(quán)類別

• PC和移動端相互授權(quán)的token

3欧聘、token的類別

不同場景的token進行如下幾個維度的對比：

天然屬性 對比:

1片林、使用成本

本認證方式在使用的時候,造成的不便性。比如：

• 賬號密碼需要用戶打開頁面然后逐個鍵入

• 二維碼需要用戶掏出手機進行掃碼操作

2树瞭、變化成本

本認證方式,token發(fā)生變化時,用戶需要做出的相應(yīng)更改的成本:

• 用戶名和密碼發(fā)生變化時,用戶需要額外記憶和重新鍵入新密碼

• API應(yīng)用ID/KEY發(fā)生變化時,第三方應(yīng)用需要重新在代碼中修改并部署

• 授權(quán)二維碼發(fā)生變化時,需要用戶重新打開手機應(yīng)用進行掃碼

3拇厢、環(huán)境風(fēng)險

• 被偷窺的風(fēng)險

• 被抓包的風(fēng)險

• 被偽造的風(fēng)險

可調(diào)控屬性 對比：

1爱谁、使用頻率

• 在網(wǎng)路中傳送的頻率

2晒喷、有效時間

• 此token從創(chuàng)建到終結(jié)的生存時間

最終的目標:安全和影響。

安全和隱私性主要體現(xiàn)在：

• token 不容易被竊取和盜用（通過對傳送頻率控制）

• token 即使被竊取,產(chǎn)生的影響也是可控的（通過對有效時間控制）

關(guān)于隱私及隱私破壞后的后果,有如下的基本結(jié)論：

1访敌、曝光頻率高的容易被截獲

2凉敲、生存周期長的在被截獲后產(chǎn)生的影響更嚴重和深遠

遵守如下原則：

1、變化成本高的token不要輕易變化

2寺旺、不輕易變化的token要減少曝光頻率（網(wǎng)絡(luò)傳輸次數(shù)）

3爷抓、曝光頻率高的token的生存周期要盡量短

將各類token的固有特點及可控屬性進行調(diào)控后, 對每個指標進行量化評分（1~5分），我們可以得到如下的對比表：

image

備注:

• user_name/passwd 和 app_id/app_key 是等價的效果

4阻塑、token的層級關(guān)系

參考上一節(jié)的對比表蓝撇，可以很容易對這些不同用途的token進行分層，主要可以分為4層：

1陈莽、密碼層

最傳統(tǒng)的用戶和系統(tǒng)之間約定的數(shù)字身份認證方式

2渤昌、會話層

用戶登錄后的會話生命周期的會話認證

3、調(diào)用層

用戶在會話期間對應(yīng)用程序接口的調(diào)用認證

4走搁、應(yīng)用層

用戶獲取了接口訪問調(diào)用權(quán)限后的一些場景或者身份認證應(yīng)用

token的分層圖如下：

image

在一個多客戶端的信息系統(tǒng)里面,這些token的產(chǎn)生及應(yīng)用的內(nèi)在聯(lián)系如下：

1独柑、用戶輸入用戶名和用戶口令進行一次性認證

2、在 不同 的終端里面生成擁有 不同 生命周期的會話token

3私植、客戶端會話token從服務(wù)端交換生命周期短但曝光 頻繁 的接口訪問token

4忌栅、會話token可以生成和刷新延長 access_token 的生存時間

5、access_token可以生成生存周期最短的用于授權(quán)的二維碼的token

使用如上的架構(gòu)有如下的好處：

1曲稼、良好的統(tǒng)一性索绪『保可以解決不同平臺上認證token的生存周期的 歸一化 問題

2、良好的解耦性瑞驱。核心接口調(diào)用服務(wù)器的認證 access_token 可以完成獨立的實現(xiàn)和部署

3破衔、良好的層次性。不同平臺的可以有完全不同的用戶權(quán)限控制系統(tǒng)钱烟，這個控制可以在 會話層 中各平臺解決掉

4.1 賬號密碼

廣義的 賬號/密碼 有如下的呈現(xiàn)方式：

1晰筛、傳統(tǒng)的注冊用戶名和密碼

2、應(yīng)用程序的app_id/app_key

它們的特點如下：

1拴袭、會有特別的意義

比如：用戶自己為了方便記憶读第，會設(shè)置有一定含義的賬號和密碼。

2拥刻、不常修改

賬號密碼對用戶有特別含義怜瞒，一般沒有特殊情況不會愿意修改。 而app_id/app_key則會寫在應(yīng)用程序中般哼，修改會意味著重新發(fā)布上線的成本

3吴汪、一旦泄露影響深遠

正因為不常修改，只要泄露了基本相當于用戶的網(wǎng)絡(luò)身份被泄露蒸眠，而且只要沒被察覺這種身份盜用就會一直存在

所以在認證系統(tǒng)中應(yīng)該盡量減少傳輸?shù)臋C會漾橙，避免泄露。

4.2 客戶端會話token

功能：充當著session的角色楞卡，不同的客戶端有不同的生命周期霜运。

使用步驟：

1、用戶使用賬號密碼蒋腮，換取會話token

不同的平臺的token有不同的特點淘捡。

Web平臺生存周期短

主要原因：

1、環(huán)境安全性

• 由于web登錄環(huán)境一般很可能是公共環(huán)境池摧，被他人盜取的風(fēng)險值較大

2焦除、輸入便捷性

• 在PC上使用鍵盤輸入會比較便捷

移動端生存周期長

主要原因：

1、環(huán)境安全性

• 移動端平臺是個人用戶極其私密的平臺作彤，它人接觸的機會不大

2膘魄、輸入便捷性

• 在移動端上使用手指在小屏幕上觸摸輸入體驗差，輸入成本高

4.3 access_token

功能：服務(wù)端應(yīng)用程序api接口訪問和調(diào)用的憑證宦棺。

使用步驟：

1瓣距、使用具有較長生命周期的會話token來換取此接口訪問token。

其曝光頻率直接和接口調(diào)用頻率有關(guān)代咸，屬于高頻使用的憑證蹈丸。 為了照顧到隱私性，盡量減少其生命周期，即使被截取了逻杖，也不至于產(chǎn)生嚴重的后果奋岁。

注意：在客戶端token之下還加上一個access_token， 主要是為了讓具有不同生命周期的客戶端token最后在調(diào)用api的時候荸百， 能夠具有統(tǒng)一的認證方式闻伶。

4.4 pam_token

功能：由已經(jīng)登錄和認證的PC端生成的二維碼的原始串號（Pc Auth Mobile）。

主要步驟如下：

1够话、PC上用戶已經(jīng)完成認證蓝翰，登錄了系統(tǒng)

2、PC端生成一組和此用戶相關(guān)聯(lián)的pam_token

3女嘲、PC端將此pam_token的使用鏈接生成二維碼

4畜份、移動端掃碼后，請求服務(wù)器欣尼，并和用戶信息關(guān)聯(lián)

5爆雹、移動端獲取refresh_token(長時效的會話)

6、根據(jù) refresh_token 獲取 access_token

7愕鼓、完成正常的接口調(diào)用工作

備注：

• 生存周期為2分鐘,2分鐘后過期刪除

• 沒有被使用時,每1分鐘變一次

• 被使用后,立刻刪除掉

• 此種認證模式一般不會被使用到

4.5 map_token

功能：由已經(jīng)登錄的移動app來掃碼認證PC端系統(tǒng)钙态，并完成PC端系統(tǒng)的登錄（Mobile Auth Pc）。

主要步驟：

1菇晃、移動端完成用戶身份的認證登錄app

2册倒、未登錄的PC生成匿名的 map_token

3、移動端掃碼后在db中生成 map_token 和用戶關(guān)聯(lián)（完成簽名）

4谋旦、db同時針對此用戶生成 web_token

5剩失、PC端一直以 map_token 為參數(shù)查找此命名用戶的 web_token

6屈尼、PC端根據(jù) web_token 去獲取 access_token

7册着、后續(xù)正常的調(diào)用接口調(diào)用工作

備注：

• 生存周期為2分鐘,2分鐘后過期刪除

• 沒有被使用時,每1分鐘變一次

被使用后,立刻刪除掉

5、小結(jié)與展望

本文所設(shè)計的基于token的身份認證系統(tǒng)脾歧，主要解決了如下的問題：

1甲捏、token的分類問題

2、token的隱私性參數(shù)設(shè)置問題

3鞭执、token的使用場景問題

4司顿、不同生命周期的token分層轉(zhuǎn)化關(guān)系

本文中提到的設(shè)計方法，在 應(yīng)用層 中可以適用于且不限于如下場景中：

1兄纺、用戶登錄

2大溜、有時效的優(yōu)惠券發(fā)放

3、有時效的邀請碼發(fā)放

4估脆、有時效的二維碼授權(quán)

5钦奋、具有時效 手機/郵件 驗證碼

6、多個不同平臺調(diào)用同一套API接口

7、多個平臺使用同一個身份認證中心

至于更多的使用場景付材，就需要大家去發(fā)掘了朦拖。

關(guān)于如何在技術(shù)上實現(xiàn)不同token的生存周期問題，將在后續(xù)文章中進行介紹厌衔，敬請期待璧帝。

補充內(nèi)容：關(guān)于具備生命周期的token的技術(shù)實現(xiàn)方式

http://www.cnblogs.com/beer/p/6030882.html