اطلاعات توکن
سلام متخصصین برنامه نویس عزیز دو تا سوال داشتم اگه میشه کمی توضیح بدین ممنون.در وب اپلیکیشن موبایل . 1 - توکنی که برای کاربر ارسال میکنیم ایا لازمه که سمت کاربر دی کد بشه و اطلاعاتش برای کاربر باز بشه؟؟؟؟ 2 - چه اطلاعاتی باید برای کاربر داخل توکن فرستاده بشه و ایا یکبار مثلا همون بار اول این اطلاعات دی کد بشه کافیه برای بعدن دیگه لازم نیست دی کد کنیم؟؟؟
@Raymond
@MortezaVaezi
@Pouyab
@FullStack
@Farzadameri
@Arshiamohammadei
@ossvahid
@hussain2
گزینش سوالات
گفت و گو های مرتبط
دسته بندی سوالات
تگهای محبوب
بله، البته! در خلاصه:
-
توکن کاربر باید در سمت کاربر نهان بماند و دیکد شده یا اطلاعات آن برای کاربر قابل مشاهده نباشد.
-
اطلاعات مورد نیاز برای کاربر باید در توکن قرار داده شود و یک بار توکن را دیکد کرده و اطلاعات را استخراج کنید، سپس برای دفعات بعدی نیازی به دیکد مجدد توکن نیست.
میشه بگید چه اطلاعاتی باید فرستاده بشه که مورد نیاز یک اپلکیشن موبایل سمت کاربر هست؟
خوب مسئله اینه برای دی کد توکن سمت کاربر باید کلید رو بهش بدم این کلید رو چطوری به دستش برسونم تا شنود نشه؟ یا کلیدی که کاربر داره من ازش مطلع بشم؟بدون اینکه پیامی رد و بدل شه .ایا راهی هست مخفیانه و در امنیت کامل کلیدی رد و بدل بشه؟؟؟
@MortezaVaezi
سلام. در مورد سوالات شما:
1- توکنی که برای کاربر ارسال میکنید به صورت تصادفی و یا با استفاده از الگوریتمهای رمزنگاری تولید میشود و نباید دیکد شود. به عبارت دیگر، بهتر است که توکن ایجاد شده فقط با استفاده از کلید اختصاصی سمت سرور قابل دسترسی باشد و کاربران نباید امکان داشته باشند آن را دیکد کنند.
2- توکن معمولاً برای تأیید هویت کاربر و احراز هویت استفاده میشود. اطلاعاتی که در توکن قرار میگیرد، بستگی به نیازهای برنامه شما دارد. معمولاً توکن حاوی اطلاعاتی مانند شناسه کاربر، مجوزها و دسترسیها، تاریخ انقضاء و ... است. برای امنیت بیشتر، بهتر است این اطلاعات با استفاده از الگوریتمهای رمزنگاری از قبل کد شوند و در توکن قرار داده شوند. همچنین برای هر تعامل با سرور، توکنی جدید ارسال شود تا احتمال دردسترس قرار گرفتن توکنهای قدیمی که ممکن است توسط مهاجمان سوء استفاده شوند، کاهش یابد.
لازم به ذکر است که برای پیادهسازی صحیح توکنها، بهتر است از روشهای استاندارد و امن مانند JWT استفاده کنید.