使用Token认证方案时，密钥是否需要随Token一起颁发给用户？

token认证方案的疑问

提问：

网上有一种token认证方案，为了避免token被截获，会在请求时使用(userid+token+时间戳+密钥+请求参数)进行签名。请问这里的密钥是否也要随token一起颁发给用户？

解答：

JWT虽然无法控制失效，但可以配合Redis实现Token黑名单机制弥补。

避免token被截取的方法：

• 通过HTTPS传送token，防止明文传输。
• 禁用客户端Cookie，防止XSS攻击通过浏览器获取token。
• 使用CSP(内容安全策略)控制加载的第三方资源。

关于自定义签名方案：

• 移动端需要始终携带密钥，存在被获取的风险。
• 防止密钥泄露是关键。
• 实践中发现，该方案意义不大。
• 推荐使用最简单的HTTPS进行保护。

以上就是使用Token认证方案时，密钥是否需要随Token一起颁发给用户？的详细内容，更多请关注其它相关文章！