Перейти к основному содержимому

Токены: Типы и сроки действия

Вот некоторые ключевые термины, с которыми мы столкнемся в Пользовательской аутентификации.

  • Токен аутентификации: Токен аутентификации действует как цифровой ключ, предоставляемый клиентским приложениям после успешного входа в систему. Этот ключ проверяет идентичность пользователя для последующих действий в приложении, исключая необходимость повторного ввода данных для входа. Он обеспечивает безопасный и плавный доступ к функциям приложения.

  • Токен обновления: Этот токен является вторичным механизмом для обновления токена аутентификации без необходимости повторного ввода учетных данных. Это особенно полезно для безопасного поддержания пользовательской сессии даже при истечении срока действия первичного токена аутентификации, улучшая как безопасность, так и пользовательский опыт.

  • Срок действия токена: Это относится к сроку действия токена аутентификации. Он определяет период, в течение которого токен остается действительным. Это критическая мера безопасности для предотвращения несанкционированного доступа, гарантируя регулярное обновление и аутентификацию токенов.

Разработчики должны сохранять эти значения в постоянном состоянии приложения для обеспечения его безопасности.

Помните

Не все API входа будут возвращать токен аутентификации, токен обновления и срок действия токена. Детали ответа зависят от конфигурации вашего API на стороне сервера. Всегда проверяйте документацию вашего API, чтобы понять, что возвращается после успешной аутентификации.

login-request.png

1.1 Пример транзакции API входа, возвращающей вышеуказанные значения в ответе

Пример аутентификации с использованием токенов

Например, когда пользователь входит в систему с помощью API входа, сервер проверяет предоставленные учетные данные и обычно отвечает как Токеном аутентификации, так и Токеном обновления (оба в виде строк). Токен аутентификации действует ограниченное время; например, он может быть действителен 1 час и используется для аутентификации запросов к API (как показано на диаграмме 1.1).

Если необходимо использовать токен, его обычно включают в любой аутентифицированный запрос к API, например, для доступа к списку пользователей, доступному только для авторизованных пользователей. В этом случае приложение отправляет запрос к API с заголовком, содержащим заголовок авторизации с токеном аутентификации.

token-success-request.png

Пример аутентифицированного запроса к API, отправляющего Заголовок авторизации в виде токена медведя, используя сохраненный токен аутентификации

Через час, или как определено сроком действия токена, токен аутентификации истекает. Любая попытка доступа к другому посту с истекшим токеном вызовет ответ 401 Unauthorized.

Для получения нового токена распространенной практикой является сделать запрос клиентского приложения к конкретной точке входа, отправив сохраненный токен обновления в теле запроса. Затем сервер проверяет токен обновления и отвечает новым токеном аутентификации.

token-fail-request.png

Благодаря токену обновления пользователи могут продолжать пользоваться приложением без необходимости снова входить в систему. Этот процесс повышает безопасность, ограничивая срок действия каждого токена, гарантируя при этом бесшовный опыт для пользователя.