HTTP Basic Authentication、session-cookie、Token、OAuth 常見的四種鑒權(quán)方式

第一種:最簡單的HTTP Basic Authentication,這種方式在客戶端會(huì)彈出一個(gè)登錄窗口,由用戶輸入用戶名和密碼進(jìn)行登錄,但是這種方式使用基本的Base64方式加密,賬號很容易泄露出去,現(xiàn)在很少人使用了。這種驗(yàn)證方法反應(yīng)了人們對信息私有化的需求,這是電腦從局域網(wǎng)走向互聯(lián)網(wǎng)以后產(chǎn)生的需求,

第二種:是使用session、cookie這種機(jī)制,這種方式里session是在服務(wù)器端創(chuàng)建的,可以存在內(nèi)存里,也可以存在持久化到數(shù)據(jù)庫里面,而cookie是存在用戶瀏覽器里的sessionId,sessionId一經(jīng)創(chuàng)建,就在后面的每次的HTTP請求里面,都會(huì)帶著請求頭當(dāng)中,服務(wù)器就是靠這種標(biāo)識來區(qū)別客戶端是哪一個(gè)。這種驗(yàn)證方式以及加密算法的出現(xiàn),它反映了在公開的互聯(lián)網(wǎng)上,人們對隱私對信息保密的重視,這個(gè)時(shí)期單點(diǎn)登錄的出現(xiàn),標(biāo)志著互聯(lián)網(wǎng)向分布式發(fā)展,開始出現(xiàn)了海量用戶產(chǎn)品,比如QQ、微信、Facebook等等。

第三種:Token驗(yàn)證,在這里Token是令牌的意思,這種驗(yàn)證是在App興起以后發(fā)展起來的,因?yàn)樵贏pp里它沒有瀏覽器環(huán)境沒有cookie,那么客戶端在進(jìn)行了權(quán)限驗(yàn)證以后,就把登錄憑證(Token)直接存在了客戶端里面,并且在每次請求服務(wù)器的時(shí)候都把它給帶上。最常用的Token的驗(yàn)證方式是JWT,他是Json Web Token的縮寫,這種驗(yàn)證方式它代表了移動(dòng)互聯(lián)網(wǎng)的崛起。

具體來說,Token在客戶端和服務(wù)器端共發(fā)生了6次交互,第一步:客戶端使用用戶名和密碼請求登錄;第二步:服務(wù)器收到請求以后去驗(yàn)證用戶名和密碼;第三步:驗(yàn)證成功以后,服務(wù)器會(huì)簽發(fā)一個(gè)Token,再把Token發(fā)送給客戶端;第四步:客戶端收到Token以后把它給存儲(chǔ)起來,例如放在Cookie里面或者Local Storage里面,或者是內(nèi)存里面,第五步:客戶端每次向服務(wù)器請求資源的時(shí)候,都需要帶著這個(gè)服務(wù)器剛剛簽發(fā)的Token,這個(gè)Token一般是有時(shí)效性的,如果超時(shí)了還需要重新去獲??;第六步:服務(wù)端收到請求,然后去驗(yàn)證客戶端送來的Token,驗(yàn)證成功就向客戶端返回?cái)?shù)據(jù)。

JWT是目前使用最廣泛的Token驗(yàn)證方式,JWT在登錄成功以后,將相關(guān)的信息組成JSON對象,然后將這個(gè)對象進(jìn)行某種方式的加密,在返還給客戶端,客戶端在下次請求的時(shí)候再帶上Token,服務(wù)器端收到這個(gè)Token以后,在驗(yàn)證Token的合法性。

JWT主要包括三分部分,第一個(gè)部分是Headers,主要是包括類別以及加密的算法;第二部分是Claims,這個(gè)主要是需要傳遞的一些用戶信息,這個(gè)里邊的一些字段,都是開發(fā)者自定義的一些字段;第三部分是Signature,它是根據(jù)上面的指定的算法以及私密的私匙,然后在服務(wù)器端進(jìn)行加密而得到的簽名的字符串。

第四種:OAuth驗(yàn)證,這種方式在今天是非常常見的,我們經(jīng)常看到一些網(wǎng)站登錄的時(shí)候,可以使用QQ或者是微信賬號登錄,這種登錄方式本身就是OAuth驗(yàn)證,還有我們在小程序里面使用微信一鍵登錄的時(shí)候,也是這種方式。這種方式我們先向鑒權(quán)服務(wù)器請求,拿到了一個(gè)code,這個(gè)code代表的是用戶的許可,然后再以這個(gè)code,加上開發(fā)者自己的AppID和appSecret,再請求鑒權(quán)服務(wù)器拿到一個(gè)success token,這個(gè)才是真正的Token代表的是服務(wù)器的許可,有了這個(gè)Token才可以把加密的用戶信息給解密出來,這種方式它代表了大平臺(tái)作為基礎(chǔ)賬號存在已變成了一種事實(shí),像QQ、微信、Facebook等等。

在這四種鑒權(quán)方式中,從表面上看,Token驗(yàn)證與前面的session-cookie驗(yàn)證有點(diǎn)像,但是他們是不一樣的,session-cookie是通過sessionId來作為瀏覽器和服務(wù)器之前的溝通的橋梁;而Token驗(yàn)證方式,它貌似是Token充當(dāng)了session的角色,但其實(shí)這兩者的差別還是挺大的,第一點(diǎn)不同:sessionId它只是一個(gè)唯一標(biāo)識的字符串,服務(wù)器是根據(jù)這個(gè)字符串,來查詢在服務(wù)器端存儲(chǔ)的session對象,在session對象里面才保存著用戶的登錄狀態(tài)以及其他的信息,但是Token本身就是一種登錄憑證,它本身就保存著用戶的登錄信息,還包括其他的一些算法以及解密的一些這些信息,這種Token更方便在多個(gè)分布式服務(wù)器之間共享,服務(wù)器端只需要驗(yàn)證token的合法性就可以了。第二點(diǎn)不同:session-cookie是需要cookie配合使用的,但是我們知道在進(jìn)入App時(shí)代以來,HTTP客戶端不只有瀏覽器這一個(gè)客戶端的環(huán)境,還有原生的App、小程序等其它形式,在這些環(huán)境下,cookie是不起作用的,還有瀏覽器端是可以禁止cookie的,他可以存儲(chǔ)在cookie當(dāng)中,也可以存在storage當(dāng)中,或者存在內(nèi)存里面,只要是每次HTTP請求頭里面,然后帶上token就可以了,Token的客戶端驗(yàn)證適用的客戶端驗(yàn)證更多,方式也更加的靈活。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。
  • 序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 230,825評論 6 546
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 99,814評論 3 429
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 178,980評論 0 384
  • 文/不壞的土叔 我叫張陵,是天一觀的道長。 經(jīng)常有香客問我,道長,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 64,064評論 1 319
  • 正文 為了忘掉前任,我火速辦了婚禮,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 72,779評論 6 414
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 56,109評論 1 330
  • 那天,我揣著相機(jī)與錄音,去河邊找鬼。 笑死,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 44,099評論 3 450
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 43,287評論 0 291
  • 序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 49,799評論 1 338
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 41,515評論 3 361
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 43,750評論 1 375
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 39,221評論 5 365
  • 正文 年R本政府宣布,位于F島的核電站,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 44,933評論 3 351
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 35,327評論 0 28
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 36,667評論 1 296
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 52,492評論 3 400
  • 正文 我出身青樓,卻偏偏與公主長得像,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 48,703評論 2 380

推薦閱讀更多精彩內(nèi)容