दिलचस्प पोस्ट
स्वचालित रूप से स्क्रिप्ट के साथ एसएसएच पासवर्ड दर्ज करें लिनक्स में आईटाओए समारोह कहाँ है? Java.net.URL का प्रयोग करके HTTP अनुरोधों को आग और संभाल करने के लिए कनेक्शन अजगर में त्रुटि परिभाषित नहीं है उबंटू 13.10 को अपग्रेड करने के बाद ग्रहण मेनू दिखाई नहीं देता JtextArea में टेक्स्ट का रंग कैसे बदल सकता है? << का उपयोग करते समय ओस्ट्रीम में वैज्ञानिक संकेतन को रोकें पायथन में स्ट्रिंग तुलना: बनाम == ReSharper WPF त्रुटि: "अज्ञात DataContext के कारण प्रतीक" MyVariable "का समाधान नहीं कर सकता" क्या मैं फ्लोटिंग प्वाइंट मुद्दे के लिए PHP php.ini परिशुद्धता समाधान पर भरोसा कर सकता हूं एक्लेप्से में जर्सी मेवेन क्विकस्टार्ट मूलरूप शैली एंड्रॉइड एक बटन पर डबल क्लिक को रोकना टी-एसक्यूएल पायवोट? पंक्ति मानों से तालिका स्तंभ बनाने की संभावना urllib और "SSL: CERTIFICATE_VERIFY_FAILED" त्रुटि एक फ़ंक्शन में बहुआयामी सरणी का उपयोग करें

टोकन आधारित प्रमाणीकरण क्या है?

मैं समझना चाहता हूं कि टोकन-आधारित प्रमाणीकरण का मतलब क्या है। मैंने इंटरनेट की खोज की लेकिन कुछ भी समझ में नहीं आया।

वेब के समाधान से एकत्रित समाधान "टोकन आधारित प्रमाणीकरण क्या है?"

मुझे लगता है कि यह अच्छी तरह से समझाया गया है – लंबी लेख के महत्वपूर्ण वाक्यों का हवाला देते हुए:

टोकन-आधारित प्रमाणीकरण प्रणाली के पीछे सामान्य अवधारणा सरल है। उपयोगकर्ताओं को अपने यूज़रनेम और पासवर्ड दर्ज करने के लिए एक टोकन प्राप्त करने की अनुमति दें, जो कि उनके यूज़रनेम और पासवर्ड का उपयोग किए बिना एक विशिष्ट संसाधन लाने में मदद करता है। एक बार उनकी टोकन प्राप्त हो जाने के बाद, उपयोगकर्ता टोकन की पेशकश कर सकता है – जो कि एक विशिष्ट अवधि के लिए एक विशिष्ट अवधि तक पहुंच प्रदान करता है – दूरस्थ साइट पर।

दूसरे शब्दों में: प्रमाणीकरण के लिए एक स्तर पर indirection जोड़ें – प्रत्येक संरक्षित संसाधन के लिए यूज़रनेम और पासवर्ड के साथ प्रमाणित होने के बजाय, उपयोगकर्ता एक बार (सीमित अवधि के सत्र के भीतर) को प्रमाणित करता है, बदले में समय-सीमित टोकन प्राप्त करता है , और सत्र के दौरान आगे प्रमाणीकरण के लिए उस टोकन का उपयोग करता है

लाभ कई हैं – जैसे, उपयोगकर्ता टोकन पास कर सकता है, एक बार वे इसे प्राप्त कर लेते हैं, कुछ अन्य स्वचालित सिस्टम पर, जो वे सीमित समय और सीमित संसाधनों के लिए भरोसा करने को तैयार हैं, लेकिन वे तैयार नहीं होंगे अपने उपयोगकर्ता नाम और पासवर्ड के साथ भरोसा करने के लिए (यानी, प्रत्येक संसाधन के साथ जो उन्हें एक्सेस करने की अनुमति है, हमेशा के लिए या कम से कम जब तक कि वे अपना पासवर्ड बदल न दें)

यदि कुछ भी अभी भी अस्पष्ट है, तो कृपया स्पष्ट करें कि आपके प्रश्न 100% स्पष्ट नहीं हैं, और मुझे यकीन है कि हम आपकी सहायता कर सकते हैं आगे।

Auth0.com से

टोकन-आधारित प्रमाणीकरण, एक हस्ताक्षरित टोकन पर निर्भर करता है जो प्रत्येक अनुरोध पर सर्वर को भेजा जाता है।

टोकन आधारित दृष्टिकोण का उपयोग करने के क्या लाभ हैं?

  • क्रॉस-डोमेन / CORS: कुकीज़ + CORS अलग-अलग डोमेन में अच्छी तरह से नहीं खेलती हैं एक टोकन-आधारित दृष्टिकोण आपको किसी भी डोमेन पर किसी भी सर्वर पर AJAX कॉल करने की अनुमति देता है क्योंकि आप उपयोगकर्ता सूचना प्रेषित करने के लिए HTTP शीर्षलेख का उपयोग करते हैं।

  • स्टेटलेस (उर्फ सर्वर साइड स्केलेबिलिटी): सत्र संग्रह रखने की कोई आवश्यकता नहीं है, टोकन एक स्व-निहित इकाई है जो सभी उपयोगकर्ता जानकारी बताती है राज्य के बाकी हिस्सों में कुकीज़ या स्थानीय भंडारण में क्लाइंट की तरफ रहता है।

  • सीडीएन: आप एक सीडीएन (जैसे जावास्क्रिप्ट, एचटीएमएल, इमेज इत्यादि) से अपने ऐप की सभी संपत्तियां कर सकते हैं, और आपके सर्वर की तरफ सिर्फ एपीआई है।

  • Decoupling: आप किसी भी विशेष प्रमाणीकरण योजना से बंधे नहीं हैं। टोकन कहीं भी उत्पन्न हो सकता है, इसलिए आपके एपीआई को उन कॉलों को प्रमाणीकृत करने के एक ही तरीके से कहीं से भी कहा जा सकता है।

  • मोबाइल तैयार: जब आप टोकन-आधारित दृष्टिकोण से उपभोग करते हैं, तो जब आप मूल प्लेटफॉर्म (आईओएस, एंड्रॉइड, विंडोज 8, इत्यादि) पर काम करना शुरू करते हैं तो यह बहुत ही सरल है।

  • सीएसआरएफ: चूंकि आप कुकीज़ पर भरोसा नहीं कर रहे हैं, इसलिए आपको क्रॉस साइट अनुरोधों से बचाने की आवश्यकता नहीं है (उदाहरण के लिए यह आपकी साइट को सिब्बल करना संभव नहीं होगा, एक पोस्ट अनुरोध जेनरेट करना और मौजूदा प्रमाणीकरण कुकी का दोबारा इस्तेमाल करना क्योंकि कोई भी नहीं होगा )।

  • प्रदर्शन: हम यहां किसी भी हार्ड पेर्फ मानक को प्रस्तुत नहीं कर रहे हैं, लेकिन एक नेटवर्क राउंडट्रिप (उदाहरण के लिए डेटाबेस पर सत्र ढूंढना) एचएमएसीएचएच 256 की गणना करने के लिए टोकन और उसकी सामग्री को पार्स करने के लिए अधिक समय लेना पड़ सकता है।

token डेटा का एक टुकड़ा है जो केवल Server X संभवत: बनाया हो सकता है, और जिसमें एक विशिष्ट उपयोगकर्ता की पहचान करने के लिए पर्याप्त डेटा होता है

आप अपनी लॉगिन जानकारी प्रस्तुत कर सकते हैं और एक token लिए Server X पूछ सकते हैं; और उसके बाद आप अपना token प्रस्तुत कर सकते हैं और Server X को कुछ उपयोगकर्ता-विशिष्ट कार्रवाई करने के लिए कह सकते हैं।

Token एस क्रिप्टोग्राफी के क्षेत्र से विभिन्न तकनीकों के विभिन्न संयोजनों के साथ-साथ सुरक्षा अनुसंधान के व्यापक क्षेत्र से इनपुट के साथ बनाई गई हैं। अगर आप अपना खुद का token सिस्टम बनाने और बनाने का निर्णय लेते हैं, तो आप वास्तव में स्मार्ट बन गए थे

टोकन सर्वर द्वारा बनाए गए डेटा का एक टुकड़ा है, और एक विशेष उपयोगकर्ता और टोकन वैधता की पहचान करने के लिए जानकारी शामिल है। टोकन में उपयोगकर्ता की जानकारी, साथ ही एक विशेष टोकन कोड शामिल होगा जो उपयोगकर्ता सर्वर से प्रत्येक विधि के साथ पास कर सकता है जो प्रमाणीकरण का समर्थन करता है, उपयोगकर्ता नाम और पासवर्ड सीधे पास करने के बजाय

टोकन-आधारित प्रमाणीकरण एक सुरक्षा तकनीक है जो सर्वर द्वारा प्रदान किए गए सुरक्षा टोकन का उपयोग करते हुए सर्वर, नेटवर्क या किसी अन्य सुरक्षित सिस्टम में लॉग इन करने का प्रयास करने वाले उपयोगकर्ताओं को प्रमाणित करता है।

प्रमाणीकरण सफल होता है यदि कोई उपयोगकर्ता एक सर्वर को साबित कर सकता है कि वह सुरक्षा टोकन पास करके एक वैध उपयोगकर्ता है। सेवा सुरक्षा टोकन की पुष्टि करती है और उपयोगकर्ता अनुरोध को संसाधित करती है।

टोकन सेवा के द्वारा मान्य होने के बाद, इसका उपयोग क्लाइंट के लिए सुरक्षा प्रसंग स्थापित करने के लिए किया जाता है, इसलिए सेवा उपयोगकर्ता के अनुरोधों के लिए प्राधिकरण निर्णय या ऑडिट गतिविधि बना सकती है।

स्रोत पर जाएं

सवाल पुराना है और प्रौद्योगिकी उन्नत है, यहां वर्तमान स्थिति है:

जेएसओएन वेब टोकन (जेडब्ल्यूटी) वेब एप्लिकेशन वातावरण में दलों के बीच दावों को पारित करने के लिए एक JSON- आधारित खुले मानक (आरएफसी 7519) है टोकन कॉम्पैक्ट, यूआरएल-सुरक्षित और विशेष रूप से वेब ब्राउजर सिंगल साइन-ऑन (एसएसओ) संदर्भ में उपयोग करने के लिए डिज़ाइन किए गए हैं

https://en.wikipedia.org/wiki/JSON_Web_Token

यह 32 अक्षर या उससे अधिक की एक स्ट्रिंग है जो उपयोगकर्ता के साथ डेटाबेस में या किसी अन्य तरीके से जुड़ा हुआ है। उस टोकन का उपयोग किसी उपयोगकर्ता को एप्लिकेशन के अन्य संबंधित सामग्री तक पहुंचने के लिए अधिकृत करने के लिए किया जा सकता है। क्लाइंट साइड लॉगिन पर यह टोकन पुनर्प्राप्त करने के लिए आवश्यक है। पहली बार लॉगिन करने के बाद आपको पुनर्प्राप्ति टोकन को सहेजने की आवश्यकता नहीं है, जैसे कि सत्र, सत्र आईडी जैसे कोई अन्य डेटा, क्योंकि यहां सब कुछ एप्लिकेशन के अन्य संसाधनों तक पहुंचने के लिए टोकन है।

टोकन उपयोगकर्ता की प्रामाणिकता को आश्वस्त करने के लिए प्रयोग किया जाता है

जब आप एक नई वेबसाइट के लिए पंजीकरण करते हैं, तो अक्सर आपको अपना खाता सक्रिय करने के लिए एक ईमेल भेजा जाता है। उस ईमेल में आमतौर पर क्लिक करने के लिए एक लिंक होता है उस लिंक के भाग में टोकन है, सर्वर इस टोकन के बारे में जानता है और इसे आपके खाते से जोड़ सकता है। टोकन में आम तौर पर इसके समाप्ति की समाप्ति तिथि होगी, इसलिए आपके पास लिंक पर क्लिक करने और अपना खाता सक्रिय करने के लिए केवल एक घंटे हो सकता है। कुकीज़ या सत्र चर के साथ इनमें से कोई भी संभव नहीं होगा, क्योंकि यह अज्ञात है कि ईमेल की जांच करने के लिए ग्राहक किस उपकरण या ब्राउज़र का उपयोग कर रहा है।