基於令牌的身份驗證的替代方法

Question

我有一個RESTful API，這將是用戶將通過一組Web /移動客戶端達到，我想弄清楚如何處理令牌身份驗證。我的理解是，傳統的令牌身份驗證的工作原理如下：

1. 用戶auths中通過提供用戶名/密碼，接收回令牌和到期
2. ，直到令牌傳遞的每個請求
3. 到期後，新的請求令牌（通過提供單獨的「刷新」令牌或僅通過用戶/通過重新認證）

是否有一個很好的理由不爲每個請求生成新的令牌？即：通過用戶/密碼請求初始令牌。該令牌與第一個API請求一起傳遞，該請求返回api響應的內容以及必須通過以下請求傳遞的新令牌...此方法的優點是每個請求（操作）重置'令牌auth的到期，使得令牌到期時間基本上變成用戶可以不註銷而不活動的時間段。有沒有一個很好的理由不使用這種方法？上面列出的方法似乎更常見（這就是爲什麼我問）。

最後，只有一個稍微相關的問題。阻止正在觀看網絡的人從用戶那裏獲取令牌？特別是在第一種方案中，似乎很容易做到（在第二種方法中，您需要捕獲傳入的請求，然後在用戶執行操作之前快速獲取下一個令牌）。

Answer 1

從我讀到的是，你想要一個滑動窗口，其中用戶進行身份驗證。到期窗口內的每個新請求都會延長會話。 如果我理解正確，我會建議一種替代方法;每次請求成功通過身份驗證時，都會更新您擁有令牌的商店並更新到期時間。 這樣你就不必費心使用每一次抓取新令牌的麻煩。 所以，是的，有一個很好的理由不這樣做：它不是必需的，只會讓用戶惱火。

通過上述方法，我假設您有一個商店（數據庫），您在其中保留您的代幣+過期日期。

所以整個過程是這樣的：

1. 用戶提供用戶名+密碼
2. 在商店創建記錄
3. 每一個成功的請求時
時間給用戶令牌
4. 更新商店

在相關說明上;不要給用戶過期日期。例如，使用cookie時很好，但這僅僅是一種附加的安全措施。

在你稍微相關的問題;如果您不使用TLS/SSL/HTTPS，則無法阻止任何人抓取令牌。始終使用TLS（即SSL，即HTTPS，或多或少）。