百科生活 投稿
关于【token是什么意思】:token是什么意思(软件token是什么意思),今年以来2000多款App被举报 有的每五秒收集一次设备号,今天小编给您分享一下,如果对您有所帮助别忘了关注本站哦。
- 内容导航:
- 1、token是什么意思(软件token是什么意思)
- 2、今年以来2000多款App被举报 有的每五秒收集一次设备号
1、token是什么意思(软件token是什么意思)
对于初学者来说,对Token和Session的使用难免会限于困境,开发过程中知道有这个东西,但却不知道为什么要用他?更不知道其原理,今天我就带大家一起分析分析这东西。
一、我们先解释一下他的含义:
1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。
2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
3、使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。
了解了Token的意义后,我们就更明确的知道为什么要用他了。
二、如何使用Token?
这是本文的重点,在这里我就介绍常用的两种方式。
1、用设备号/设备mac地址作为Token(推荐)
客户端:客户端在登录的时候获取设备的设备号/mac地址,并将其作为参数传递到服务端。
服务端:服务端接收到该参数后,便用一个变量来接收同时将其作为Token保存在数据库,并将该Token设置到session中,客户端每次请求的时候都要统一拦截,并将客户端传递的token和服务器端session中的token进行对比,如果相同则放行,不同则拒绝。
分析:此刻客户端和服务器端就统一了一个唯一的标识Token,而且保证了每一个设备拥有了一个唯一的会话。该方法的缺点是客户端需要带设备号/mac地址作为参数传递,而且服务器端还需要保存;优点是客户端不需重新登录,只要登录一次以后一直可以使用,至于超时的问题是有服务器这边来处理,如何处理?若服务器的Token超时后,服务器只需将客户端传递的Token向数据库中查询,同时并赋值给变量Token,如此,Token的超时又重新计时。
2、用session值作为Token
客户端:客户端只需携带用户名和密码登陆即可。
客户端:客户端接收到用户名和密码后并判断,如果正确了就将本地获取sessionID作为Token返回给客户端,客户端以后只需带上请求数据即可。
分析:这种方式使用的好处是方便,不用存储数据,但是缺点就是当session过期后,客户端必须重新登录才能进行访问数据。
三、使用过程中出现的问题以及解决方案?
刚才我们轻松介绍了Token的两种使用方式,但是在使用过程中我们还出现各种问题,Token第一种方法中我们隐藏了一个在网络不好或者并发请求时会导致多次重复提交数据的问题。
总结:以上是个人对开发中使用Token和session的一点总结,如有叙述不当之处请指正,我将及时改正并感谢,我知道还有更多更好的使用方式,我在这里只是抛砖引玉,希望大家将您的使用方式提出来,我们一起讨论,学习,一起进步,同时也为像我一样对这方面理解薄弱的朋友提供点帮助,谢谢。
2、今年以来2000多款App被举报 有的每五秒收集一次设备号
9月17日,2019年国家网络安全宣传周“个人信息保护高峰论坛”在天津举行。论坛吸引了来自行业相关机构、知名App、SDK企业,以及应用商店和设备制造厂商的嘉宾,他们共同探讨了App收集使用个人信息的相关问题。
南都记者了解到,目前App专项治理工作组已经收到近9000条举报信息,涉及2000多款App,整改问题多达800余个。有专家指出,App治理需要设备厂商、SDK和应用商店多方共治,App如何在越发严峻的监管下找到适合自己的发展路径在下一阶段将会非常重要。
长期以来,强制、过度收集和使用个人信息,似乎成为App发展的常态,而用户往往只能被迫接受。
为了改变这种“野蛮生长”的局面,今年1月,中央网信办、工信部、公安部、市场监管总局四部门联合发布公告,宣布开展为期一年的App违法违规收集使用个人信息专项治理,并委托成立了App专项治理工作组。
工作组副组长、北京大学法治与发展研究院高级研究员洪延青。冯群星摄
据工作组副组长、北京大学法治与发展研究院高级研究员洪延青介绍,截至9月12日,工作组建立的举报平台共收到举报信息8992条。他强调,这是经过工作组核实和初步验证的有效举报量。
接到举报后,工作组再选取下载量大且用户常用的App纳入评估范围。
工作组成员、中国电子技术标准化研究院信安中心审查部总监何延哲。朱芳圆摄
工作组成员、中国电子技术标准化研究院信安中心审查部总监何延哲在会上透露,这些举报信息共涉及2000多款App,目前已经有近600款被纳入评估范围,整改问题达800余个。
在评估过程中,工作组总结出App收集使用个人信息的十大典型问题,其中无隐私政策,要求用户一次性同意开启多个可收集个人信息权限,强制索要通讯录、位置等无关权限,未经用户同意收集个人信息等问题得到了显著改善。
比如,下载量靠前的头部App无隐私政策的已经是少数,而在前两年,有隐私政策的才是少数;还有要求用户一次性同意开启多个可收集个人信息权限,强制获取通讯录、位置权限的情况,也已经有了很大好转。
何延哲特别指出,第五个典型问题“申请权限时未向用户同步说明目的”在举报的问题中比较新,很多用户不明白为什么App要获取存储权限,以为App获取电话权限是想偷听他的电话。
“我们在这几天做展览的过程中也能发现,我们告诉用户权限怎么关闭,结果他们问,权限是什么?”他说,“我们都说产品要做得人性化,但是安全什么时候真能做到人性化?跟产品经理一样思考问题,可能才会让老百姓对安全问题有更加深入的了解。”
那么,App到底应该收集哪些个人信息?
8月,全国信息安全标准化技术委员会就《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》(下称《规范》)向社会公开征求意见。《规范》规定了21种常用App类型可收集的最少信息。
在何延哲看来,《规范》想要解决的就是上面那个企业最关心的问题。“《规范》是对‘最少够用’原则的细化,也是对‘无关个人信息’的一个反面解释”,他强调,界定最小权限范围则是App的一个特色。
《规范》分两部分,第一部分是管理要求。其中一条提到:App 不得收集不可变更的设备唯一标识(如 IMEI 号、MAC 地址等),用于保障网络安全或运营安全的除外。
何延哲解释说,工作组统计了100款常用App,发现收集IMEI号的概率是100%。“不是说它没用,但确实引发很多问题。我们希望把IMEI号用在安全这块,让它发挥好的作用,而不是放大它骚扰方面的坏的作用。”
第二部分是技术要求。其中一条要求:App 应以实现服务所必需的最低合理频率向后台服务器发送个人信息。
“我们发现有个App获取IMEI号权限之后每五秒钟收集一次,一天24小时不断地收集”,何延哲指出,这种情况下,App打开权限是有合理性的,但如此频繁的收集过程可能就不合理了。
他强调,希望通过对收集端的严格管控,尽可能地推动企业对自生业务的改造来适应日渐严峻的监管环境。“我觉得下个阶段,大家怎么在这么严的监管下找到自己适合的发展路径,是非常重要的。”
在论坛上,多位嘉宾提出,由于App生态的复杂性,它的治理不能仅靠App厂商,而是需要多方共治。
中央网信办网络安全协调局处长唐鑫。朱芳圆摄
“App收集使用个人信息涉及到很多环节,比如手机应用厂商、应用商店、SDK(软件开发工具包)”,中央网信办网络安全协调局处长唐鑫举例说,以前有App厂商喊冤,说他也无法控制App里嵌入的SDK收集哪些个人信息。
中国信息通信研究院安全研究所所长魏亮。朱芳圆摄
中国信息通信研究院安全研究所所长魏亮进一步指出,在App个人信息生态安全中,除了App以外,还存在用户、设备厂商、SDK和应用商店等主体,而App和用户之间的关系是最直观和最主要的。
“App为个人提供服务,提供服务的过程中需要一些个人信息,这个时候两者之间就有一定的矛盾”,他说,这个矛盾是天然存在的:App收集的个人信息越多,就能为个人提供更多更有价值的服务;而用户希望得到便捷的服务,却又不希望过度交出自己的个人信息。
App和设备厂商之间更多的则是数据权利方面的争端。比如设备厂商为了更好地提供服务,也希望拿到App的一些数据,这就涉及到这些数据属于个人还是属于App,个人授权后App和设备如何分享数据、如何确权的问题。
而对于SDK和应用商店来说,如何跟App划分数据管理责任是首要问题。“应用商店是App分发的一个重要渠道,对App有管理责任”,魏亮表示,但也有App可以绕开应用商店对App进行更新,这时如何界定管理责任的范围和界限就需要研究。
在唐鑫看来,App治理要做到行业协同,各个环节不能“各自为战”,而是应该坐在一起研究讨论、把环节打通,形成综合治理的生态。这样才能让网民使用App的时候有更多的体验感。
采写:南都记者 蒋琳
本文关键词:拼多多token是什么意思,token验证失败什么意思,登录token是什么意思,中国银行token是什么意思,游戏王token是什么意思。这就是关于《token是什么意思,今年以来2000多款App被举报》的所有内容,希望对您能有所帮助!
- 最近发表