我在互联网上搜索了几天如何进行基于令牌的身份验证,但仍然不是100%肯定。据我所知,它根据link包含以下步骤:
- 当客户端第一次登录时,它会通过SSL将用户名 U 和密码发送到服务器。
- 服务器检查用户名和密码是否正确。如果是,则服务器生成一个令牌,其中包含 U 的HMAC和令牌发布时间戳 T ,由静态加密密钥 K 。然后将令牌发送给客户端。
- 在从客户端发送到服务器的以下请求中,包含令牌。然后,服务器可以使用 K 解码令牌,并检查它是否有效。
我很困惑,因为有一种完全不同的方法,请参考link。步骤应该是:
- 当客户端第一次登录时,它会通过SSL将用户名和密码发送给服务器。
- 服务器生成令牌并将其存储在表中。发送到客户端的平均时间,存储在cookie中。
- 在从客户端发送到服务器的以下请求中,包含令牌。服务器检查发送的令牌是否存在。
应该选择哪种方法?
请帮助〜