Для чего нужен токен

Что такое токен?

Токен – это разновидность актива, единица учета и измерения ценности, необходимая для проведения ICO (первичного предложения токенов), то есть привлечения инвестиций с целью запуска и развития проекта. В этой статье мы расскажем о токенах простыми словами и максимально подробно.

Для чего нужен токен ICO?

Вкладывая средства в ICO, инвестор взамен получает токены – внутреннюю валюту проекта, их можно считать криптовалютным аналогом акций компании. По сути, это обязательство разработчиков проекта перед инвесторами, которое предоставляется взамен вложенных фиатных средств или цифровых активов.

Однако токены могут выполнять и другие функции:

Практически все ICO проходят одинаково: организаторы проекта после презентации и публикации технической документации сообщают адрес кошелька, на который инвесторы присылают средства. По окончании ICO начинается распределение заранее оговоренного количества токенов между покупателями пропорционально вложениям.

Важно! Определить инвестиционную привлекательность проекта поможет White Paper и Roadmap. В этих документах должна присутствовать подробная информация об особенностях и перспективах проекта, проведении ICO и начислении токенов, команде проекта. В Roadmap или «дорожной карте» в хронологической последовательности описываются все этапы реализации стартапа.

Физическими аналогами токенов можно считать:

Все они имеют определенную стоимость или дают владельцу возможность воспользоваться услугой (проехать в транспорте, войти в музей или сыграть в казино).

Преимущества и недостатки токенов

Токены – удобное средство привлечения инвестиций, у них масса преимуществ:

Чем токен отличается от криптовалюты?

Эмитируется и централизованно (есть организация, ответственная за выпуск), и децентрализованно (согласно прописанному алгоритму).

Как правило, это децентрализованная система, эмиссия криптовалют контролируется программой.

Нет сети блокчейн и публичного кошелька.

Есть публичный блокчейн и кошелек.

Транзакции могут осуществляться централизованно, сервера находятся под контролем организации-эмитента токенов.

Обработка и осуществление транзакций производится автоматически и не контролируется финансовыми учреждениями и организациями.

На цену влияют дополнительные аспекты: известность проекта, правила вознаграждения, подкрепление внешними активами.

Цена зависит преимущественно от спроса и предложения.

Цифровой актив, предоставляемый инвестору в обмен на деньги или услуги (по продвижению, рекламе).

Является внутренней единицей расчета в сети блокчейн.

Важно! Криптовалюта – это часть цифровой экономики, ее можно купить на биржах или добыть (майнить). Первостепенная задача токенов – привлечение инвестиций для определенного проекта, их можно приобрести во время пресейла или ICO.

Самые популярные платформы для выпуска токенов – Ethereum, NEM, Waves, KickICO и прочие. Разработчики пользуются готовым программным кодом и алгоритмом, внося необходимые изменения.

Как и где купить токены?

Приобрести токены можно следующими способами:

В ходе ICO. Первичное предложение токенов – это кампания по сбору средств на развитие проекта. Впоследствии инвестор может продать, обменять или хранить токены и участвовать в развитии проекта. Крайне важно хорошо изучить и проанализировать перспективность проекта. В противном случае, такое инвестирование приведет к потере средств. Актуальную информацию о проведении ICO можно получить здесь: https://tokenmarket.net/ico-calendar#upcoming и https://www.icoalert.com.

Криптовалютные биржи. После завершения сейла токены становятся доступными всем участникам рынка и появляются на биржах. Курс определяется наличием спроса и предложения, но на него влияют и внешние факторы – новости о проекте, изменения регулировании и законодательстве в сфере криптовалют и др. Перед покупкой стоит проанализировать динамику курса.

Чаще всего новые токены добавляют наиболее популярные биржи с большими объемами торгов, их сервисы более лояльны к недавно появившимся монетам. Иногда токены доступны только на одной торговой площадке.

Приятные бонусы. Речь пойдет о баунти-кампаниях и airdrop, когда разработчики проекта раздают бесплатные токены в рекламных целях. От пользователей требуется регистрация, подписка на новости, репосты и прочие действия. В дальнейшем полученные токены также можно продать или обменять на другую криптовалюту. Если ICO, конечно, будет успешным.

Какие бывают токены в криптовалюте

Выделяют следующие разновидности токенов:

Стоит ли инвестировать в токены?

Если вы собираетесь покупать токены, обязательно проанализируйте ситуацию на рынке и ответьте на несколько вопросов:

На PRE-ICO стоимость токенов, как правило, невелика. Еще не до конца ясно, что за стартап и есть ли у него перспективы, так что это большой риск. Покупка во время первичного предложения токенов менее рискованная. Как минимум, у организаторов появились средства для инициирования ICO, и аудитория проявляет интерес. У проектов на официальных сайтах есть «счетчики», показывающие количество проданных токенов. И, наконец, биржа. Если обменником добавлены токены в торговые пары, значит, проект признан на рынке. Это наименее рискованный способ покупки токенов.

Важно! Есть сервисы, ведущие статистику и мониторинг ICO. К примеру, icorating.com и icostats.com. Там собраны и самые успешные проекты, и сводки анализа привлекательности новых стартапов.

Покупка токенов может стать неплохой инвестицией, но подходить к выбору проекта нужно с умом, тщательно проанализировав и взвесив ситуацию на рынке.

Смотрите также:

Подписывайтесь на наш Телеграм-канал или группы Вконтакте и Facebook и будьте в курсе событий!

Источник

Обзор аутентификации на основе токенов

В прошлом для аутентификации в большинстве приложений и веб-сервисов пользователи должны были запоминать и при каждом логине вводить свои пароли. Кроме неудобства, это создавало ещё и угрозы безопасности, поскольку пользователи часто выбирали слабые пароли и использовали их в нескольких сервисах. Аутентификация на основе токенов устраняет подобные проблемы. Давайте разберёмся, как она реализуется.

Что такое аутентификация на основе токенов?

Аутентификация на основе токенов упрощает процесс аутентификации для уже известных пользователей. Для начала работы пользователь отправляет запрос к серверу, указав имя пользователя и пароль. Затем сервер подтверждает их на основании значений, зарегистрированных в его базе данных идентификационной информации. Если идентификационные данные подтверждены, сервер возвращает токен аутентификации (который тоже хранится в базе данных).

Когда тот же пользователь в дальнейшем шлёт запросы на доступ к защищённым ресурсам, эти запросы могут быть авторизованы при помощи токена аутентификации вместо имени пользователя и пароля. Сервер сверяет токен с зарегистрированным в базе данных токеном и предоставляет доступ. Аутентификацию можно реализовать на основе различных типов токенов, например, OAuth и JSON Web Tokens (JWT).

JWT использует безопасный способ, основанный на подписанных токенах, что позволяет с лёгкостью выявлять модификации. Аппаратные токены могут содержать идентификационные данные или генерировать одноразовый пароль.

Как работает аутентификация на основе токенов?

Существует множество способов предоставления пользователям токенов аутентификации — аппаратные токены, одноразовые пароли (обычно передаваемые через мобильный телефон) и программные токены, обычно основанные на стандарте JWT.

Все токены безопасным образом хранят идентификационную информацию и данные пользователя. Токен также может подтвердить, что данные верны и их не модифицировали — важное требование безопасности с учётом множества современных законов о конфиденциальности. Также они значительно повышают удобство работы для пользователя, поскольку позволяют пользователям выполнять вход без необходимости запоминания паролей.

Аутентификация на основе токенов обычно состоит из четырёх этапов:

Основные типы токенов аутентификации

Вот несколько популярных типов токенов, используемых разработчиками для аутентификации пользователей или аккаунтов сервисов.

Аппаратные токены (USB)

Аппаратные токены — это физические устройства, обеспечивающие авторизацию пользователей для доступа к защищённым сетям. Также иногда их называют токенами аутентификации или безопасности. Задача аппаратного токена — обеспечение дополнительного слоя защиты благодаря двухфакторной или многофакторной аутентификации (2FA или MFA). Владелец токена привязывает токен к системе или сервису, доступ к которому ему необходим.

Аппаратные токены спроектированы с учётом удобства для пользователей и возможности настройки, поэтому они могут иметь различные форматы. Самыми распространёнными типами токенов являются брелки, USB и беспроводные токены. Аппаратные токены можно разделить на три категории.

JSON Web Tokens (JWT)

JSON Web Token (JWT) — это открытый стандарт (RFC 7519). Он определяет простой автономный способ защищённой передачи информации между сторонами. Стандарт JWT использует объекты JavaScript Object Notation (JSON) для передачи токенов между сторонами. Эти токены могут использоваться для аутентификации, а также для передачи дополнительной информации о пользователе или аккаунте.

Благодаря своему малому размеру JWT могут передаваться как URL, параметры POST или заголовки HTTP и доставляться быстро. JWT содержит всю необходимую информацию о сущности, чтобы избежать многократных запросов к базе данных. Получателю JWT не нужно вызывать сервер, чтобы проверить токен.

JWT состоит из трёх частей:

Одноразовые токены One-Time Password (OTP)

Токены One-time password (OTP) — это защищённые аппаратные устройства или программы, способные генерировать одноразовые пароли. Чаще всего это personal identification numbers (PIN) — числовые коды длиной 4-12 цифр.

Для генерации или получения одноразовых паролей часто применяются смартфоны. После того, как пользователь доказал, что владеет конкретным телефоном, он может использовать приложение аутентификатора, генерирующее пароли OTP — в этом случае телефон служит генератором кодов. Или же OTP могут отправляться в устройство через SMS.

Одноразовые пароли усиливают существующие системы идентификации и паролей, добавляя в них динамически генерируемые идентификационные данные. Токены OTP генерируют PIN синхронно или асинхронно, это зависит от их поставщика:

API-токены

Если вкратце, то API-токены используются как уникальные идентификаторы приложения, запрашивающего доступ к сервису. Сервис генерирует API-токен для приложения, чтобы оно использовало его при запросе сервиса. Для аутентификации и предоставления доступа API-токен можно сопоставить с сохранённым токеном. В некоторых случаях можно реализовать Session ID, но это бывает очень нечасто.

API-токены получили популярность благодаря тому, что они заменяют небезопасную практику отправки сочетаний имени пользователя и пароля по HTTP. Одним из самых популярных сегодня способов реализации безопасности API является OAuth2 (токены доступа).

Безопасна ли аутентификация на основе токенов?

Киберпреступления становятся всё более изощрёнными, поэтому поставщики сервисов с удалённым управлением должны непрерывно обновлять методики и политики безопасности. В последнее время выросло количество атак, нацеленных на идентификационные данные при помощи таких способов, как фишинг, брутфорс и атаки по словарю. Это значит, что аутентификация больше не может использовать только пароли.

Аутентификация на основе токенов в сочетании с дополнительными техниками аутентификации может создать более сложный барьер, чтобы помешать умным хакерам использовать украденные пароли. Токены можно получать только с уникального устройства, которое их создало (например, смартфона или брелка), благодаря чему они становятся сегодня высокоэффективной методикой авторизации.

Хотя платформы токенов аутентификации совершили большой прогресс, угроза частично сохраняется. Хранящиеся в мобильных устройствах токены легко использовать, но они могут оказаться доступными из-за уязвимостей устройства. Если токены отправляются текстовым сообщением, их можно легко перехватить во время передачи. Если устройство украдено или утеряно, злоумышленник может получить доступ к хранящимся на нём токенам.

Однако всегда нужно помнить о том, что никогда не стоит полагаться на один способ аутентификации. Аутентификация токенами должна считаться только одним из компонентов стратегии двухфакторной или многофакторной аутентификации.

Плюсы и минусы программных токенов

Как и в случае с любой методологией или техникой, при выборе программных токенов нужно учитывать их достоинства и недостатки.

Источник

Токен авторизации на примере JSON WEB Token

Введение

Начнем с того, что важно уметь различать следующие два понятия: аутентификации и авторизации. Именно с помощью этих терминов почти все клиент-серверные приложения основывают разделение прав доступа в своих сервисах.

Еще одно небольшое введение

Формальное определение

Приступим наконец к работе самого токена. Как я сказал ранее в качестве токенов наиболее часто рассматривают JSON Web Tokens (JWT) и хотя реализации бывают разные, но токены JWT превратились в некий стандарт, именно поэтому будем рассматривать именно на его примере.

JSON Web Token (JWT) — это открытый стандарт (RFC 7519) для создания токенов доступа, основанный на формате JSON.

Фактически это просто строка символов (закодированная и подписанная определенными алгоритмами) с некоторой структурой, содержащая полезные данные пользователя, например ID, имя, уровень доступа и так далее. И эта строчка передается клиентом приложению при каждом запросе, когда есть необходимость идентифицировать и понять кто прислал этот запрос.

Принцип работы

Рассмотрим принцип работы клиент серверных приложений, работающих с помощью JWT. Первым делом пользователь проходит аутентификацию, конечно же если не делал этого ранее и в этом есть необходимость, а именно, например, вводит свой логин и пароль. Далее приложение выдаст ему 2 токена: access token и refresh token (для чего нужен второй мы обсудим ниже, сейчас речь идет именно об access token). Пользователь тем или иным способом сохраняет его себе, например, в локальном хранилище или в хранилище сессий. Затем, когда пользователь делает запрос к API приложения он добавляет полученный ранее access token. И наконец наше приложение, получив данный запрос с токеном, проверяет что данный токен действительный (об этой проверке, опять же, ниже), вычитывает полезные данные, которые помогут идентифицировать пользователя и проверить, что он имеет право на запрашиваемые ресурсы. Таким нехитрым образом происходит основная логика работы с JSON Web Tokens.

https://habr.com/ru/post/336082/

Структура токена

Пришло время обсудить структуру токена и тем самым лучше разобраться в его работе. Первое что следует отметить, что JWT токен состоит из трех частей, разделенных через точку:

Полезные данные (playload)

funnytorimage.pw

Рассмотрим каждую часть по подробнее.

Заголовок

Это первая часть токена. Она служит прежде всего для хранения информации о токене, которая должна рассказать о том, как нам прочитать дальнейшие данные, передаваемые JWT. Заголовок представлен в виде JSON объекта, закодированного в Base64-URL Например:

Если раскодировать данную строку получим:

Полезные данные

Что в JSON формате представляет собой:

Именно здесь хранится вся полезная информация. Для данной части нет обязательных полей, из наиболее часто встречаемых можно отметить следующие:

Одной из самых важных характеристик любого токена является время его жизни, которое может быть задано полем exp. По нему происходит проверка, актуален ли токен еще (что происходит, когда токен перестает быть актуальным можно узнать ниже). Как я уже упоминал, токен может помочь с проблемой авторизации, именно в полезных данных мы можем добавить свои поля, которые будут отражать возможности взаимодействия пользователя с нашим приложением. Например, мы можем добавить поле is_admin или же is_preferUser, где можем указать имеет ли пользователь права на те или иные действия, и при каждом новом запросе с легкостью проверять, не противоречат ли запрашиваемые действия с разрешенными. Ну а что же делать, если попробовать изменить токен и указать, например, что мы являемся администраторами, хотя таковыми никогда не были. Здесь мы плавно можем перейти к третьей и заключительной части нашего JWT.

Подпись

Время жизни токена и Refresh Token

Заключение

В данной статье я постарался подробно рассмотреть работу клиент-серверных приложений с токеном доступа, а конкретно на примере JSON Web Token (JWT). Еще раз хочется отметить с какой сравнительной легкостью, но в тоже время хорошей надежностью, токен позволяет решать проблемы аутентификации и авторизации, что и сделало его таким популярным. Спасибо за уделенное время.

Источник

Зачем нужен Refresh Token, если есть Access Token?

Зачем вообще нужны токены

Зачем нужен первый токен

Есть много разных токенов. Обычные, криптографические, «access key», «session token», разные схемы получения, использования и revoke. При этом одна из ключевых идей заключается в том, что если кто нехороший получит чужой токен, то самое неприятное, что случится — это доступ похитителя к сервису, от которого токен похищен. Пароль, тот самый, который один на все сервисы, похититель не получит. А пользователь, если поймет, что кроме него к сервису получил доступ кто-то другой, может токен отозвать. После чего получить себе новый, имея логин и пароль.

Зачем нужен второй токен

В OAuth 2 и некоторых других схемах авторизации (например, у нас) есть не один, а целых два токена. Первый, access token, используется при запросах к серверу (например, при логине). У него есть два свойства: он многоразовый и короткоживущий. Наш, к примеру, живет 48 часов, а у кого-то 30 минут. Время выбирается на основании того, как используется сервис. Второй, refresh token, используется для обновления пары access и refresh токенов. У него тоже есть два свойства, обратные первому токену: он одноразовый и долгоживущий. Совсем долгоживуший, наш живет месяц.

Зачем на самом деле нужен второй токен

Все оказалось и проще, и сложнее чем я думал. Следите за руками:

Случай 1: Боб узнал оба токена Алисы и не воспользовался refresh

В этом случае Боб получит доступ к сервису на время жизни access token. Как только оно истечет и приложение, которым пользуется Алиса, воспользуется refresh token, сервер вернет новую пару токенов, а те, что узнал Боб, превратятся в тыкву.

Случай 2: Боб узнал оба токена Алисы и воспользовался refresh

В этом случае оба токена Алисы превращаются в тыкву, приложение предлагает ей авторизоваться логином и паролем, сервер возвращает новую пару токенов, а те, что узнал Боб, снова превратятся в тыкву (тут есть нюанс с device id, может вернуть ту же пару что и у Боба. В таком случае следующее использование refresh токена превратит токены Боба в то, что изображено справа).

Таким образом, схема refresh + access токен ограничивает время, на которое атакующий может получить доступ к сервису. По сравнению с одним токеном, которым злоумышленник может пользоваться неделями и никто об этом не узнает.

Источник

Что такое токены в криптовалюте и для чего они нужны?

Что такое токены в криптовалюте — определение

Токены в криптовалюте — это:

В дальнейшем с помощью токена проще идентифицировать пользователя. В процессе участия инвесторы знакомятся со специальным договором и подтверждают передачу средств в обмен на токены. В содержании этого договора прописывается, что именно вправе получить инвестор за имеющиеся коины в будущем.

Зачем нужны токены в криптовалюте?

Полученные инвестором токены (их можно представлять в виде своеобразных жетонов) имеют следующие функции:

Особенности токенов в криптовалюте

Знакомясь с понятием токен в криптовалюте, важно понимать следующие нюансы:

Виды и типы токенов в криптовалюте

Сегодня выделяется несколько видов токенов, отличающихся по функциональному назначению и особенностям:

Тонкости покупки токенов в криптовалюте

Покупка новых токенов — возможность получать прибыль на будущем удорожании монет. Успех предприятия подтверждается статистикой, по которой в прошлом 2017 году новые проекты привлекли больше 200 млн долларов. Еженедельно появляется 3–5 платформ, рассчитывающих на привлечение инвестиций.

Потенциальный инвестор при выявлении прибыльного ICO изучает документацию (вайт-лист и дорожную карту), проверяет репутацию команды и принимает решение о передаче средств. Если оно положительное, остается купить токены. Для этого выполняются такие шаги (общий формат):

Как создать токены криптовалюты — краткая инструкция

Зная особенности токенов в криптовалюте, что это, и какие дает перспективы, пользователь может создать собственные монеты (к примеру, на базе блокчейна Эфириум, с помощью стандарта ERC-20). Применение платформы позволяет использовать монету на биржах и специальных платформах без потребности внесения изменений в работу ресурса. К примеру, на площадке etherdelta.com торги токенами доступны сразу после их добавления. Требуется выбрать адрес контракта новой монеты и второго коина (того, что будет в паре).

При создании токена потребуется первичный код, представленный на официальном сайте Эфириума по ссылке ethereum.org/token. В распоряжении пользователей два варианта — полный и с ограниченным функционалом (первый более предпочтителен). Далее алгоритм такой:

Кошельки для токенов в криптовалюте

Большая часть токенов создаётся на базе стандарта ERC-20, что учитывается при выборе подходящего кошелька. Выделим основные варианты:

Как заработать на токенах в криптовалюте?

Существует несколько путей заработка с помощью токенов:

Риски покупки токенов в криптовалюте

Инвестирование в токены несет следующие риски для участника:

Что касается токена — это коин с широким функционалом, но ограниченным масштабом применения. Такая монета может играть роль бонуса или скидки, а эмитентами выступают создатели ICO.

Видео о токенах простыми словами:

Источник