21、身份验证技术全解析：从令牌到安全金字塔

身份验证技术全解析：从令牌到安全金字塔

1. 基于令牌的身份验证

在现实生活中，电影票是一种典型的令牌。它不包含持票人的任何信息，仅表明持票人有权在特定时间坐在特定影院。游乐园的季票更是如此，它只说明持票人在公园开放时可以使用任何游乐设施。

同样，身份验证令牌是一串不包含可用信息的字符串，它仅仅代表执行某项操作的权限。只要令牌有效，持有者就可以访问相应的服务。通常，身份验证令牌是基于其他身份验证活动颁发的，并且与特定账户和服务权限相关联。

令牌具有以下几个优点：
- 减少重复验证 ：尽管令牌依赖于其他身份验证方法，但它减少了反复进行身份验证的需求。
- 独立验证服务 ：可以使用与主要服务分离（甚至在不同域中）的身份验证服务，这对于身份联合具有明显优势。
- 限时或基于事件的访问 ：令牌可设置过期时间，并根据上下文或情况允许刷新或不刷新，适用于授予限时或基于事件的访问权限。

基于令牌的身份验证在 API 中非常有用。例如，移动应用或单页 Web 应用等访问 API 的服务会频繁进行访问，有时请求者不在场进行身份验证。请求者进行身份验证后，移动应用或 Web 应用会获得一个令牌，用于其所需的访问。令牌与 Cookie 有一些共同特征，但令牌通常设计为可进行加密验证，并且可在不支持 Cookie 的情况下使用，如 API 访问。

2. 身份验证强度分类

2.1 信息安全的转变

过去，信息安全严重依赖防火墙来防止入侵者进入企业网络。当大多数 IT 资产都在本地