جزئیات آگهی
-
Ad ID: 4322
-
اضافه شده: آگوست 17, 2017
-
بازدیدها: 874
توضیحات
فیلم آموزشی توکن
فیلم آموزشی توکن :احراز هویت مبتنی بر Token در حال حاضر برجسته در همه جا در وب است. با اغلب شرکتهای وب با استفاده از یک API، ژتون ها بهترین راه برای احراز هویت برای چندین کاربر هستند.
در هنگام انتخاب احراز هویت مبتنی بر نشانگر برای درخواست شما، عوامل بسیار مهمی وجود دارد. دلایل اصلی نشانه ها عبارتند از:
سرورهای بی خانمان و مقیاس پذیر
برنامه موبایل آماده است
تأیید اعتبار را به برنامه های دیگر منتقل کنید
امنیت فوق العاده
هر API بزرگ یا برنامه وب که شما در آن قرار داده اید، به احتمال زیاد از نشانه ها استفاده می شود. برنامه های کاربردی مانند فیس بوک، توییتر، گوگل پلاس، GitHub و بسیاری دیگر از نشانه ها استفاده می شود.
بیایید نگاه دقیقی به نحوه کارکرد آن داشته باشیم.
# چرا زنگ ها در اطراف آمده است
قبل از اینکه بتوانیم ببینیم که چگونه تأیید هویت مبتنی بر مکینتاش کار می کند و مزایای آن، باید نگاهی به نحوه تأیید صحت در گذشته داشته باشیم.
تأیید اعتبار مبتنی بر سرور (روش سنتی)
فیلم آموزشی توکن : از آنجا که پروتکل HTTP بی ثبات است، به این معنی است که اگر ما یک کاربر با نام کاربری و رمز عبور را تأیید کنیم، پس در درخواست بعدی، برنامه ما نمی داند که ما چه هستیم. ما باید مجددا تأیید کنیم
روش سنتی داشتن برنامه های کاربردی ما به یاد داشته باشید که ما این است که کاربر کاربر وارد شده در اطلاعات بر روی سرور. این را می توان در چند روش مختلف در جلسه، معمولا در حافظه و یا ذخیره شده در دیسک انجام می شود.
در اینجا یک نمودار از نحوه عملکرد یک پروتکل احراز هویت سرور است:
نشانه های سنتی
همانطور که وب، برنامه های کاربردی و ظهور برنامه های تلفن همراه به وجود آمده است، این روش تأیید اعتبار، به ویژه در مقیاس پذیری، نشان داده است.
# مشکلات با تایید هویت مبتنی بر سرور
چندین مشکل عمده با این روش احراز هویت ایجاد شد.
جلسات: هر بار که یک کاربر تأیید اعتبار می کند، سرور باید یک رکورد را در جایی از سرور ما ایجاد کند. این معمولا در حافظه انجام می شود و زمانی که بسیاری از کاربران تأیید اعتبار می کنند، سربار در سرور شما افزایش می یابد.
توکن
فیلم آموزشی توکن :مقیاس پذیری: از آنجا که جلسات در حافظه ذخیره می شود، این مسائل با مقیاس پذیری مشکل می کند. همانطور که ارائه دهندگان ابر ما شروع به تکرار سرورها برای بارگذاری برنامه می کنند، داشتن اطلاعات حیاتی در حافظه جلسه توانایی ما در مقیاس را محدود خواهد کرد.
CORS: همانطور که ما می خواهیم برنامه ما را گسترش دهیم تا داده هایمان را در چندین دستگاه تلفن همراه مورد استفاده قرار دهیم، ما باید نگرانی هایی در مورد اشتراک منابع متقابل (CORS) داشته باشیم. هنگام استفاده از AJAX calls برای گرفتن منابع از دامنه دیگری (موبایل به سرور API ما)، می توانیم با درخواست های ممنوعه مشکلی ایجاد کنیم.
CSRF: ما همچنین در برابر تقلب درخواست متقابل سایت (CSRF) حمایت خواهیم کرد. کاربران به حملات CSRF حساس هستند، زیرا آنها می توانند در حال تأیید اعتبار از یک سایت بانکی باشند و این می تواند در هنگام بازدید از سایت های دیگر مورد استفاده قرار گیرد.
با توجه به این مشکلات، مقیاس پذیری بودن یکی از اصلی ترین راه هاست.
# نحوه کار با توکن
احراز هویت مبتنی بر Token بی ثمر است ما هیچ اطلاعاتی در مورد کاربر ما در سرور یا در یک جلسه ذخیره نمی کنیم.
این مفهوم به تنهایی از بسیاری از مشکلات با نیاز به ذخیره اطلاعات در سرور مراقبت می کند.
فیلم آموزشی توکن : بدون اطلاعات جلسه به این معنی است که برنامه شما می تواند مقیاس و اضافه کردن ماشین های بیشتر در صورت لزوم بدون نگرانی در مورد جایی که کاربر وارد شده است.
اگر چه این پیاده سازی می تواند متفاوت باشد، اصلی آن به شرح زیر است:
درخواست کاربر دسترسی با نام کاربری / رمز عبور
برنامه اعتبار سنجی را تایید می کند
برنامه یک امضای امضا برای مشتری فراهم می کند
مشتریان فروشگاه را به صورت صریح و با هر درخواست ارسال می کنند
سرور تایید می کند و با داده ها پاسخ می دهد
فیلم آموزشی توکن
هر یک از درخواست ها نیاز به نشانه دارند. این نشانه باید در هدر HTTP ارسال شود تا ما با ایده درخواست HTTP stateless نگه داریم. ما همچنین باید سرور خود را برای پذیرش درخواست از همه حوزه ها با استفاده از Access-Control-Allow-Origin: * تنظیم کنیم. چه چیزی در مورد تعیین * در هدر ACAO جالب است این است که اجازه نمی دهد درخواست هایی برای تأیید اعتبار مانند احراز هویت HTTP، گواهینامه های SSL سرویس دهنده و یا کوکی ها.
برای توضیح این فرآیند، یک infographic است:
نشانه های جدید
فیلم آموزشی توکن :هنگامی که ما اطلاعات خود را تأیید کردیم و ما دارایی خود را داریم، می توانیم با استفاده از این علامت، چیزهای زیادی را انجام دهیم.
ما حتی می توانیم یک نشانه مبتنی بر مجوز ایجاد کنیم و آن را به همراه یک برنامه شخص ثالث منتقل کنیم (می گویند یک برنامه تلفن همراه جدید که می خواهیم آن را استفاده کنیم)، و آنها قادر به دسترسی به داده های ما خواهند بود – اما فقط اطلاعاتی که ما اجازه دادیم با آن نشانه خاص.
# مزایای توطئه
بی بی سی و مقیاس پذیر
بی نهایت
زنگ های ذخیره شده در طرف مشتری. کاملا بی ثمر و آماده برای مقیاس متعادل کننده های بار ما قادر به عبور یک کاربر در کنار هر یک از سرور های ما هستند، زیرا هیچ دولتی یا اطلاعات جلسه در هر جایی وجود ندارد.
فیلم آموزشی توکن :اگر ما اطلاعات session را در یک کاربری که وارد سیستم شده بود را نگهداریم، این امر مستلزم این است که ما همچنان این کاربر را به همان سرور که در آن وارد شده ایم، ادامه دهیم (به نام session affinity).
این مشکلاتی را بوجود می آورد، زیرا برخی از کاربران مجبور به یک سرور مجبور می شوند و این می تواند یک نقطه از حملات سنگین را ایجاد کند
