token需要加密嗎

① Oauth的access token 安全么

嚴格來講，token只是定義了一種存儲數據的格式，分為header,claims set(body),
signature三個部分。具體定義在 RFC 7519 - JSON Web Token (JWT) 我大概說下。
第一部分 header是說明，說明這個token是什麼類型，加密驗證還是摘要驗證。Base64公開的。如:

{"typ":"JWT",
"alg":"HS256"}

第二部分 claims set就是存儲的數據。至於用戶授權信息放不放在裡面，rfc裡面沒有規定，可以放可以不放，但大家都是放的。Base64公開的。如：

{"iss":"joe",
"exp":1300819380,
"http://example.com/is_root":true}

② cookie和token的區別

區別在於：
登出是指客戶端主動退出登錄狀態。容易想到的方案是，客戶端登錄成功後， 伺服器為其分配sessionId, 客戶端隨後每次請求資源時都帶上sessionId。
伺服器判斷用戶是否登錄， 完全依賴於sessionId, 一旦其被截獲， 黑客就能夠模擬出用戶的請求。於是我們需要引入token的概念： 用戶登錄成功後， 伺服器不但為其分配了sessionId, 還分配了token， token是維持登錄狀態的關鍵秘密數據。在伺服器向客戶端發送的token數據，也需要加密。於是一次登錄的細節再次擴展。
客戶端向伺服器第一次發起登錄請求（不傳輸用戶名和密碼）。
伺服器利用RSA演算法產生一對公鑰和私鑰。並保留私鑰， 將公鑰發送給客戶端。
客戶端收到公鑰後， 加密用戶密碼，向伺服器發送用戶名和加密後的用戶密碼； 同時另外產生一對公鑰和私鑰，自己保留私鑰, 向伺服器發送公鑰； 於是第二次登錄請求傳輸了用戶名和加密後的密碼以及客戶端生成的公鑰。
伺服器利用保留的私鑰對密文進行解密，得到真正的密碼。 經過判斷， 確定用戶可以登錄後，生成sessionId和token， 同時利用客戶端發送的公鑰，對token進行加密。最後將sessionId和加密後的token返還給客戶端。
客戶端利用自己生成的私鑰對token密文解密， 得到真正的token。

③ token是什麼意思Token的三個要素是什麼

token，通常翻譯成通證。Token是區塊鏈中的重要概念之一，它更廣為人知的名字是「代幣」，但在專業的「鏈圈」人看來，它更准確的翻譯是「通證」，代表的是區塊鏈上的一種權益證明，而非貨幣。
一、是數字權益證明，通證必須是以數字形式存在的權益憑證，代表一種權利、一種固有和內在的價值；
二、是加密，通證的真實性、防篡改性、保護隱私等能力由密碼學予以保障；
三、是能夠在一個網路中流動，從而隨時隨地可以驗證。

④ app怎樣防止token被盜取

token是個憑條，不過它比門票溫柔多了，門票丟了重新花錢買，token丟了重新操作下認證一個就可以了，因此token丟失的代價是可以忍受的——前提是你別丟太頻繁，要是讓用戶隔三差五就認證一次那就損失用戶體驗了。

客戶端方面這個除非你有一個非常安全的辦法，比如操作系統提供的隱私數據存儲，那token肯定會存在泄露的問題。比如我拿到你的手機，把你的token拷出來，在過期之前就都可以以你的身份在別的地方登錄。
解決這個問題的一個簡單辦法
1、在存儲的時候把token進行對稱加密存儲，用時解開。
2、將請求URL、時間戳、token三者進行合並加鹽簽名，服務端校驗有效性。
這兩種辦法的出發點都是：竊取你存儲的數據較為容易，而反匯編你的程序hack你的加密解密和簽名演算法是比較難的。然而其實說難也不難，所以終究是防君子不防小人的做法。話說加密存儲一個你要是被人扒開客戶端看也不會被噴明文存儲……
方法1它拿到存儲的密文解不開、方法2它不知道你的簽名演算法和鹽，兩者可以結合食用。
但是如果token被人拷走，他自然也能植入到自己的手機裡面，那到時候他的手機也可以以你的身份來用著，這你就瞎了。
於是可以提供一個讓用戶可以主動expire一個過去的token類似的機制，在被盜的時候能遠程止損。
話說一個人連自己手機都保護不好還談什麼安全……

在網路層面上token明文傳輸的話會非常的危險，所以建議一定要使用HTTPS，並且把token放在post body里。

⑤ https+token 能保證絕對安全嗎

不能說絕對安全，但至少是當前最為安全的加密方式，比如說網上銀行的安保級別多高，他們一樣的用的是 https+token 的方式，不過 銀行 都是用的類似 沃通EV SSL證書 這種業界高級別的HTTPS加密證書。

⑥ Token是什麼

Token是服務端生成的一串字元串，以作客戶端進行請求的一個令牌，當第一次登錄後，伺服器生成一個Token便將此Token返回給客戶端，以後客戶端只需帶上這個Token前來請求數據即可，無需再次帶上用戶名和密碼。token其實說的更通俗點可以叫暗號，在一些數據傳輸之前，要先進行暗號的核對，不同的暗號被授權不同的數據操作。

基於Token的身份驗證的過程如下:

1、用戶通過用戶名和密碼發送請求。

2、程序驗證。

3、程序返回一個簽名的token 給客戶端。

4、客戶端儲存token,並且每次用於每次發送請求。

5、服務端驗證token並返回數據。

⑦ 求助一個token的JS 加密 演算法

你可以到網上下載下面所用的js文件。
1、base64加密
在頁面中引入base64.js文件，調用方法為：
<script type="text/javascript" src="base64.js"></script>
<script type="text/javascript">
var b = new Base64();
var str = b.encode("admin:admin");
alert("base64 encode:" + str);
str = b.decode(str);
alert("base64 decode:" + str);
</script>
2、md5加密
在頁面中引用md5.js文件，調用方法為
<script type="text/ecmascript" src="md5.js"></script>
<script type="text/javascript">
var hash = hex_md5("123dafd");
alert(hash)
</script>
3、sha1加密
據說這是最安全的加密
頁面中引入sha1.js，調用方法為
<script type="text/ecmascript" src="sha1.js"></script>
<script type="text/javascript">
var sha = hex_sha1('mima123465')
alert(sha)
</script>

⑧ token是什麼意思

token
美
['toʊkən]
英
['təʊkən]
n.表示；專用輔幣；代價券；贈券
adj.裝樣子的；裝點門面的；敷衍的；象徵性的
令牌；標記；代幣
復數：tokens
例句篩選
1.
He
gave
me
a
necklace
as
a
token
of
his
affection.
他給我一條項鏈作為愛情的象徵。
2.
He
gave
her
the
ring
as
a
token
of
his
love.
他給她一隻戒指作為信物。

⑨ token什麼意思

在計算機身份認證中是令牌（臨時）的意思，在詞法分析中是標記的意思。
token,
令牌，代表執行某些操作的權利的對象
訪問令牌（access
token）表示訪問控制操作主題的系統對象
邀請碼，在邀請系統中使用
token,
petri
網（petri
net）理論中的token
密保令牌（security
token），或者硬體令牌，例如u盾，或者叫做認證令牌或者加密令牌，一種計算機身份校驗的物理設備
會話令牌（session
token）,交互會話中唯一身份標識符
令牌化技術
(tokenization),
取代敏感信息條目的處理過程