使用Token作为凭证，从App免登陆跳转到Web是否足够安全？（有结论）
【个人调研结论在正文底部，欢迎探讨】&br&我们有一个App，可以通过用户名密码登录我们的服务器。现在我们有一个需求，就是从app里面打开网站的一个链接。这个链接是需要登录才能打开的。由于我们的app已经登录了服务器，因此我们想从app里面打开这个链接时，不再让用户又登录一次。&br&我们参考了OAuth机制做了下面的方案，但是不知道：&br&1. 是否够安全？&br&2. 把认证和授权分开来是否属于过度设计？&br&3. 这个方案如果用在客户端上，也就是说客户端获得access token以后，就可以凭access token访问服务器资源，是否够全安？&br&请大神指教！&br&&img src=&/4833b3dbb839e4e1cafb29_b.jpg& data-rawwidth=&650& data-rawheight=&750& class=&origin_image zh-lightbox-thumb& width=&650& data-original=&/4833b3dbb839e4e1cafb29_r.jpg&&&br&根据@&a href=&/people/guo-he-zhong& class=&internal&&千里传音&/a& 的要求，我把流程描述得细一点。&br&(1) 客户端App使用HTTPS GET，链接“认证服务器”，提交用户ID和密码（明文）；&br&(2) 认证服务器验证用户ID和密码正确，生成一个32位的随机字符串作为Request Token，返回给客户端App，并在认证服务器中把Request Token关联到用户ID；&br&(3) 客户端使用HTTP GET链接到“授权服务器”，提交Request Token；&br&(4) (5) (6) 授权服务器拿Request Token到“认证服务器”查询，如果查到了userId，则生成一个Access Token，对应到UserId，并返回给客户端App，同时要求“认证服务器”销毁Request Token；如果Request Token超过5分钟没有被使用，会自动被删除；&br&(7) (8) 客户端App打开手机App浏览器，用浏览器向网站发起一个HTTP GET 请求，用Access Token做参数；&br&(9) (10) (11) 网站拿Access Token到授权服务器查找对应的UserId，如果找到了，则把浏览器请求的数据返回给浏览器；&br&&br&更新&br&查了一些资料，觉得上面的结构不对。&br&&ol&&li&OAuth 2.0 - Authorization Code Grant和Implict Grant类型适用于第三方认证，不符合我们的应用场景，即我们的客户端是自有的、可信的。应该适用OAuth 2.0 - Client Credentials Grant模型&/li&&li&客户端使用Request Token去换取Access Token的过程多余，不会增加任何安全性，反而增加复杂度；&/li&&/ol&因此，所谓的“授权服务器”可以去掉。&br&其实，&a href=&///?target=https%3A//tools.ietf.org/html/draft-ietf-oauth-json-web-token-32& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&JSON Web Token (JWT) &i class=&icon-external&&&/i&&/a&是专门为兼容Web和Mobile App身份认证设计的，目前正在进入OAuth 2.0草案，和OAuth 2.0 - Client Credentials Grant模型相比，JWT通过对token进行加密或者签名，还规定了用户身份信息的数据结构。未来如果我们有更高的安全性和性能方面的需要，再考虑。&br&参考：&br&&ol&&li&&a href=&///?target=http%3A//tools.ietf.org/html/rfc6749& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&The OAuth 2.0 Authorization Framework&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&///?target=https%3A//tools.ietf.org/html/draft-ietf-oauth-json-web-token-32& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&JSON Web Token (JWT)&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&///?target=https%3A///blog//angularjs-authentication-with-cookies-vs-token/& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&https://&/span&&span class=&visible&&/blog/2014/01/&/span&&span class=&invisible&&07/angularjs-authentication-with-cookies-vs-token/&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&///?target=https%3A///blog//ten-things-you-should-know-about-tokens-and-cookies/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&10 Things You Should Know about Tokens&i class=&icon-external&&&/i&&/a&&/li&&li&&a href=&///?target=http%3A///2013/02/a-guide-to-oauth-2-grants/& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&A guide to OAuth 2.0 grants · Alex Bilbie&i class=&icon-external&&&/i&&/a&&/li&&/ol&
【个人调研结论在正文底部，欢迎探讨】我们有一个App，可以通过用户名密码登录我们的服务器。现在我们有一个需求，就是从app里面打开网站的一个链接。这个链接是需要登录才能打开的。由于我们的app已经登录了服务器，因此我们想从app里面打开这个链接时，不再让用户又登录一次。我们参考了OAuth机制做了下面的方案，但是不知道：1. 是否够安全？2. 把认证和授权分开来是否属于过度设计？3. 这个方案如果用在客户端上，也就是说客户端获得access token以后，就可以凭access token访问服务器资源，是否够全安？请大神指教！…
按时间排序
题主说那个网站的服务器是他们自己的。这种场景下用 OAuth 有点太麻烦了。从 app 里面打开这个链接用的是 webview 吗？如果是的话，直接把 app 与服务器通信使用的 session id 数据 set 到 webview 上就行了。
挺老的话题了， 但是估计在弄的人还是挺多的。 OAuth 作为一种授权（authorization）协议， 9，10 步已经超出了其定义的范围， 因为你按自己的理解把它改成了一种认证(authentication)协议， 会有相当的流程风险。 。 正确的做法是用OIDC（OpenID Connect)， 使用id_token (有私钥签名)。
我的调研结论已经添加的问题底部。知友
提到一个 IAM 服务，说是比较适合客户端使用HTTP RESTful API去访问服务器资源的情况。可我找了好久没有找到怎么实现IAM的资料。倒是找到这篇： ，讲怎么使用Token来做Web和App通用的用户身份认证。文中提到不能什么都往OAuth上靠，OAuth的应用场景，是第三方认证。如果云和端都是自有系统，就做简单的Token验证好了。感觉靠谱。这篇文章总结了Token Authentication的优点：这篇文章说得更多使用Token Authenticaiton的注意事项：
这个网页是你们的web server，还是可以是第三方的网站？这个会严重影响协议的复杂程度。------------------------------------------------------------我是做协议安全研究的。从协议安全的角度，您提供的信息太少了，无法判断安全性。您需要有类似于oauth文档这样详细的设计，比如每个消息的内容、格式，收发消息后的逻辑。
已有帐号？
无法登录？
社交帐号登录关于APP 与JAVA 服务端的替代SESSION 的 TOKEN方案 !
[问题点数：100分，结帖人unfelt]
关于APP 与JAVA 服务端的替代SESSION 的 TOKEN方案 !
[问题点数：100分，结帖人unfelt]
只显示楼主
取消只显示楼主
匿名用户不能发表回复！|
每天回帖即可获得10分可用分！小技巧：
你还可以输入10000个字符
(Ctrl+Enter)
请遵守CSDN，不得违反国家法律法规。
转载文章请注明出自“CSDN（www.csdn.net）”。如是商业用途请联系原作者。leizhimin 的BLOG
用户名：leizhimin
文章数：721
评论数：2676
注册日期：
阅读量：5863
阅读量：12276
阅读量：331751
阅读量：1038079
51CTO推荐博文
深入理解HTTP Session
session在web开发中是一个非常重要的概念，这个概念很抽象，很难定义，也是最让人迷惑的一个名词，也是最多被滥用的名字之一，在不同的场合，session一次的含义也很不相同。这里只探讨HTTP Session。
为了说明问题，这里基于Java Servlet理解Session的概念与原理，这里所说Servlet已经涵盖了JSP技术，因为JSP最终也会被编译为Servlet，两者有着相同的本质。
在Java中，HTTP的Session对象用javax.servlet.http.HttpSession来表示。
1、概念：Session代表服务器与浏览器的一次会话过程，这个过程是连续的，也可以时断时续的。在Servlet中，session指的是HttpSession类的对象，这个概念到此结束了，也许会很模糊，但只有看完本文，才能真正有个深刻理解。
2、Session创建的时间是：
一个常见的误解是以为session在有客户端访问时就被创建，然而事实是直到某server端程序调用 HttpServletRequest.getSession(true)这样的语句时才被创建，注意如果JSP没有显示的使用 &% @page session="false"%& 关闭session，则JSP文件在编译成Servlet时将会自动加上这样一条语句 HttpSession session = HttpServletRequest.getSession(true);这也是JSP中隐含的 session对象的来历。
由于session会消耗内存资源，因此，如果不打算使用session，应该在所有的JSP中关闭它。
1）、访问*.html的静态资源因为不会被编译为Servlet，也就不涉及session的问题。
2）、当JSP页面没有显式禁止session的时候，在打开浏览器第一次请求该jsp的时候，服务器会自动为其创建一个session，并赋予其一个sessionID，发送给客户端的浏览器。以后客户端接着请求本应用中其他资源的时候，会自动在请求头上添加：
Cookie:JSESSIONID=客户端第一次拿到的session ID
这样，服务器端在接到请求时候，就会收到session ID，并根据ID在内存中找到之前创建的session对象，提供给请求使用。这也是session使用的基本原理----搞不懂这个，就永远不明白session的原理。
下面是两次请求同一个jsp，请求头信息：
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)' alt="" src="/attachment/806734.png" border="0" />650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)' alt="" src="/attachment/827125.png" border="0" />
通过图可以清晰发现，第二次请求的时候，已经添加session ID的信息。&
3、Session删除的时间是：
1）Session超时：超时指的是连续一定时间服务器没有收到该Session所对应客户端的请求，并且这个时间超过了服务器设置的Session超时的最大时间。
2）程序调用HttpSession.invalidate()
3）服务器关闭或服务停止
4、session存放在哪里：服务器端的内存中。不过session可以通过特殊的方式做持久化管理。
5、session的id是从哪里来的，sessionID是如何使用的：当客户端第一次请求session对象时候，服务器会为客户端创建一个session，并将通过特殊算法算出一个session的ID，用来标识该session对象，当浏览器下次（session继续有效时）请求别的资源的时候，浏览器会偷偷地将sessionID放置到请求头中，服务器接收到请求后就得到该请求的sessionID，服务器找到该id的session返还给请求者（Servlet）使用。一个会话只能有一个session对象，对session来说是只认id不认人。
6、session会因为浏览器的关闭而删除吗？
不会，session只会通过上面提到的方式去关闭。
7、同一客户端机器多次请求同一个资源，session一样吗？
一般来说，每次请求都会新创建一个session。
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)' alt="" src="/attachment/942359.png" border="0" />
其实，这个也不一定的，总结下：对于多标签的浏览器（比如360浏览器）来说，在一个浏览器窗口中，多个标签同时访问一个页面，session是一个。对于多个浏览器窗口之间，同时或者相隔很短时间访问一个页面，session是多个的，和浏览器的进程有关。对于一个同一个浏览器窗口，直接录入url访问同一应用的不同资源，session是一样的。
8、session是一个容器，可以存放会话过程中的任何对象。
9、session因为请求（request对象）而产生，同一个会话中多个request共享了一session对象，可以直接从请求中获取到session对象。
10、其实，session的创建和使用总在服务端，而浏览器从来都没得到过session对象。但浏览器可以请求Servlet（jsp也是Servlet）来获取session的信息。客户端浏览器真正紧紧拿到的是session ID，而这个对于浏览器操作的人来说，是不可见的，并且用户也无需关心自己处于哪个会话过程中。
&本文出自 “” 博客，请务必保留此出处
了这篇文章
附件下载：　　
类别：┆阅读(0)┆评论(0)
14:18:43 09:23:59 11:28:24 21:47:20 12:52:25 18:05:51 07:23:02 17:34:42 11:13:23 16:38:59 11:09:14 20:09:18 17:56:50 10:44:46
请输入验证码：为什么 APP 要用 token 而不用 session 认证_百度知道