摘要：在信息安全领域，Token（令牌）是一种用于身份验证、授权或安全通信的凭证或工具。它通常用于替代敏感信息（如密码）或增强系统安全性。以下是其核心概念和应用场景：

信息安全之Token令牌

在信息安全领域，Token（令牌）是一种用于身份验证、授权或安全通信的凭证或工具。它通常用于替代敏感信息（如密码）或增强系统安全性。以下是其核心概念和应用场景：

- 代替敏感信息：避免直接传输或存储密码、密钥等敏感数据。

- 动态验证：生成一次性或短期有效的凭证，降低泄露风险。

- 权限控制：限制访问范围（如仅允许读取数据，不能修改）。

- 防重放攻击：通过动态性防止攻击者截获并重复使用旧凭证。

(1) 身份验证令牌（Authentication Token）

- 用途：验证用户或设备的身份。

- 场景：

- OAuth 2.0 访问令牌：用户登录后，授权服务器颁发一个访问令牌（如 `access_token`），客户端用它访问受保护的资源（如API）。

- JWT（JSON Web Token）：一种包含用户身份和权限的签名令牌，常用于无状态会话（如前后端分离应用）。

- 会话令牌（Session Token）：Web 应用中的 Session ID，用于跟踪用户登录状态。

(2) 硬件令牌（Hardware Token）

- 用途：生成动态验证码，增强多因素认证（MFA）。

- 场景：

- TOTP（基于时间的动态口令）：如 Google Authenticator、银行U盾，每30秒生成一次临时密码。

- 事件同步令牌：按按钮生成一次性密码（如RSA SecurID）。

(3) 安全通信令牌

- 用途：加密或签名数据，确保传输安全。

- 场景：

- CSRF Token：防止跨站请求伪造攻击，嵌入在表单中验证请求合法性。

- API 令牌：替代用户名密码调用API（如GitHub Personal Access Token）。

- 减少密码暴露：无需频繁传输密码。

- 短生命周期：访问令牌通常有过期时间（如1小时），刷新令牌（`refresh_token`）用于续期。

- 细粒度控制：可限制令牌的权限（如仅允许读取特定资源）。

- 可撤销性：发现泄露可立即吊销令牌。

- 传输安全：必须通过 HTTPS 传输，防止中间人窃取。

- 存储安全：避免客户端明文存储（如浏览器 LocalStorage 需加密）。

- 签名验证：JWT 等需验证签名防止篡改。

- 防泄漏：硬件令牌需物理保护，软件令牌防范恶意软件截获。

- JWT 结构：

- 硬件令牌动态码：如 6位数字，每30秒更新一次。

Token 是信息安全中的核心机制，通过动态、短效、可管控的凭证，平衡了便利性与安全性。正确使用 Token 可显著降低密码泄露、会话劫持等风险，常见于现代认证协议（OAuth 2.0、OpenID Connect）和多因素认证场景。

来源：法律联讯