令牌

令牌 是在数字系统中用于身份验证、授权或安全数据交换的一段数据。它通常是一个随机生成的字符串，代表用户或应用程序的访问权限，而不会暴露敏感凭证。令牌通常用于 API 认证（例如，OAuth、JWT）、会话 管理和安全协议中。

也称为：身份验证令牌、访问令牌、安全令牌。

比较

• 令牌 vs. 密码：密码是用于身份验证的静态秘密，而令牌通常是临时的，用于安全地授予访问权限。

• 会话令牌 vs. API 令牌：会话令牌用于跟踪网站上的用户会话，而 API 令牌用于在 API 通信中认证和授权请求。

优点

• 增强安全性：减少存储或传输敏感凭证的需要。

• 支持无状态身份验证：令牌使有效的身份验证成为可能，而无需在服务器上维护会话状态。

• 灵活性：可以包含自定义数据以实现细粒度访问控制。

缺点

• 令牌过期：过期的令牌需要刷新，增加了复杂性。

• 安全风险：不当的令牌存储或暴露可能导致未经授权的访问。

示例

一个Web应用程序在用户登录后会发放一个JWT（JSON Web令牌）。然后，令牌会包含在API请求中，以便在不需要每次请求登录凭证的情况下对用户进行身份验证。