security - टोकन आधारित प्रमाणीकरण क्या है?




authentication token (6)

एक टोकन सर्वर द्वारा बनाए गए डेटा का एक टुकड़ा है, और इसमें किसी विशेष उपयोगकर्ता और टोकन वैधता की पहचान करने के लिए जानकारी शामिल है। टोकन में उपयोगकर्ता की जानकारी होगी, साथ ही साथ एक विशेष टोकन कोड जो उपयोगकर्ता प्रमाणीकरण का समर्थन करने वाली हर विधि के साथ सर्वर को पास कर सकता है, उपयोगकर्ता नाम और पासवर्ड को सीधे पास करने के बजाय।

टोकन-आधारित प्रमाणीकरण एक सुरक्षा तकनीक है जो सर्वर द्वारा प्रदान की गई सुरक्षा टोकन का उपयोग करके सर्वर, नेटवर्क या किसी अन्य सुरक्षित सिस्टम में लॉग इन करने का प्रयास करने वाले उपयोगकर्ताओं को प्रमाणित करती है।

एक प्रमाणीकरण सफल होता है यदि कोई उपयोगकर्ता किसी सर्वर को साबित कर सकता है कि सुरक्षा टोकन पास करके वह वैध उपयोगकर्ता है। सेवा सुरक्षा टोकन को मान्य करती है और उपयोगकर्ता अनुरोध को संसाधित करती है।

टोकन सेवा द्वारा मान्य होने के बाद, इसका उपयोग क्लाइंट के लिए सुरक्षा संदर्भ स्थापित करने के लिए किया जाता है, इसलिए सेवा लगातार उपयोगकर्ता अनुरोधों के लिए प्राधिकरण निर्णय या ऑडिट गतिविधि कर सकती है।

स्रोत पर जाएं

मैं समझना चाहता हूं कि टोकन-आधारित प्रमाणीकरण का अर्थ क्या है। मैंने इंटरनेट की खोज की लेकिन कुछ भी समझ में नहीं आया।


जब आप एक नई वेबसाइट के लिए पंजीकरण करते हैं, तो अक्सर आपको अपना खाता सक्रिय करने के लिए एक ईमेल भेजा जाता है। उस ईमेल में आम तौर पर क्लिक करने के लिए एक लिंक होता है। उस लिंक का हिस्सा, टोकन होता है, सर्वर इस टोकन के बारे में जानता है और इसे आपके खाते से जोड़ सकता है। टोकन आमतौर पर इसके साथ जुड़ी समाप्ति तिथि होगी, इसलिए आपके पास लिंक पर क्लिक करने और अपने खाते को सक्रिय करने के लिए केवल एक घंटा हो सकता है। कुकीज़ या सत्र चर के साथ इनमें से कोई भी संभव नहीं होगा, क्योंकि यह अज्ञात है कि ग्राहक किस ईमेल या ब्राउज़र को ईमेल जांचने के लिए उपयोग कर रहा है।


यह केवल अक्षरों की पूर्वनिर्धारित संख्या की एक स्ट्रिंग है जो उपयोगकर्ता के डेटाबेस या किसी अन्य तरीके से जुड़ा हुआ है। उस टोकन का उपयोग किसी उपयोगकर्ता को एप्लिकेशन की अन्य संबंधित सामग्री तक पहुंचने के लिए अधिकृत करने के लिए किया जा सकता है। क्लाइंट साइड लॉगिन पर इस टोकन को पुनर्प्राप्त करने के लिए आवश्यक है। पहली बार लॉगिन के बाद आपको पुनर्प्राप्त टोकन को सहेजने की आवश्यकता है, सत्र, सत्र आईडी जैसे किसी अन्य डेटा को नहीं, क्योंकि यहां सबकुछ एप्लिकेशन के अन्य संसाधनों तक पहुंचने के लिए टोकन है।

टोकन का प्रयोग उपयोगकर्ता की प्रामाणिकता को आश्वस्त करने के लिए किया जाता है।


सवाल पुराना है और तकनीक उन्नत है, यहां वर्तमान स्थिति है:

वेब अनुप्रयोग पर्यावरण में पार्टियों के बीच दावों को पारित करने के लिए जेएसओएन वेब टोकन (जेडब्ल्यूटी) एक जेएसओएन आधारित ओपन स्टैंडर्ड (आरएफसी 7519) है। टोकन को कॉम्पैक्ट, यूआरएल-सुरक्षित और उपयोग करने योग्य बनाने के लिए डिज़ाइन किया गया है विशेष रूप से वेब ब्राउज़र एकल साइन-ऑन (एसएसओ) संदर्भ में।

https://en.wikipedia.org/wiki/JSON_Web_Token


टोकन आधारित (सुरक्षा / प्रमाणीकरण)

इसका मतलब है कि यह साबित करने के लिए कि हमारे पास पहुंच है, हमें पहले टोकन प्राप्त करना होगा। वास्तविक जीवन परिदृश्य में, टोकन इमारत के लिए एक एक्सेस कार्ड हो सकता है, यह आपके घर के लॉक की कुंजी हो सकता है। आपके कार्यालय या आपके घर की कुंजी के लिए एक महत्वपूर्ण कार्ड पुनर्प्राप्त करने के लिए, आपको सबसे पहले यह साबित करने की आवश्यकता है कि आप कौन हैं, और वास्तव में आपके पास उस टोकन तक पहुंच है। यह किसी को आपकी आईडी दिखाने या उन्हें एक गुप्त पासवर्ड देने जैसा सरल हो सकता है। तो कल्पना करें कि मुझे अपने कार्यालय तक पहुंच प्राप्त करने की आवश्यकता है। मैं सुरक्षा कार्यालय में जाता हूं, मैं उन्हें अपना आईडी दिखाता हूं, और वे मुझे यह टोकन देते हैं, जो मुझे इमारत में जाने देता है। अब तक इमारत के अंदर जो कुछ भी मैं चाहता हूं उसे करने के लिए अप्रतिबंधित पहुंच है, जब तक मेरे पास मेरा टोकन है।

टोकन आधारित सुरक्षा का क्या फायदा है?

अगर हम असुरक्षित एपीआई पर वापस सोचते हैं, तो हमें उस मामले में क्या करना था था कि हमें वह सब कुछ देना था जो हम करना चाहते थे।

कल्पना कीजिए कि हर बार जब हम अपने कार्यालय में एक दरवाजा डालते हैं, तो हमें अपने पासवर्ड के दरवाजे के बगल में बैठे सभी को देना होगा। अब यह बहुत बुरा होगा, क्योंकि इसका मतलब है कि हमारे कार्यालय के अंदर कोई भी हमारा पासवर्ड ले सकता है और हमें प्रतिरूपण कर सकता है, और यह बहुत बुरा है। इसके बजाए, हम क्या करते हैं कि हम टोकन को निश्चित रूप से पासवर्ड के साथ पुनर्प्राप्त करते हैं, लेकिन हम इसे एक व्यक्ति से पुनर्प्राप्त करते हैं। और फिर हम इमारत के अंदर जहां भी चाहें इस टोकन का उपयोग कर सकते हैं। बेशक अगर हम टोकन खो देते हैं, तो हमें वही समस्या होती है जैसे किसी और को हमारा पासवर्ड पता था, लेकिन यह हमें चीजों में ले जाता है जैसे हम कैसे सुनिश्चित करते हैं कि अगर हम टोकन खो देते हैं, तो हम एक्सेस को निरस्त कर सकते हैं, और शायद टोकन 24 घंटे से अधिक समय तक नहीं रहना चाहिए, इसलिए अगले दिन हम कार्यालय आएंगे, हमें फिर से अपना आईडी दिखाना होगा। लेकिन फिर भी, केवल एक व्यक्ति है जिसे हम आईडी दिखाते हैं, और वह सुरक्षा गार्ड है जहां हम टोकन पुनर्प्राप्त करते हैं।


एक token डेटा का एक टुकड़ा है जो केवल Server X संभवतः बनाया गया हो सकता है, और जिसमें किसी विशेष उपयोगकर्ता की पहचान करने के लिए पर्याप्त डेटा होता है।

आप अपनी लॉगिन जानकारी पेश कर सकते हैं और एक token लिए Server X पूछ सकते हैं; और फिर आप अपना token पेश कर सकते हैं और कुछ उपयोगकर्ता-विशिष्ट क्रिया करने के लिए Server X से पूछ सकते हैं।

Token एस क्रिप्टोग्राफी के क्षेत्र से विभिन्न तकनीकों के विभिन्न संयोजनों के साथ-साथ सुरक्षा अनुसंधान के व्यापक क्षेत्र से इनपुट के साथ बनाए जाते हैं। यदि आप अपना खुद का token सिस्टम जाने और बनाने का फैसला करते हैं, तो आप वास्तव में वास्तव में स्मार्ट थे।





http-token-authentication