第一種:最簡單的HTTP Basic Authentication,這種方式在客戶端會(huì)彈出一個(gè)登錄窗口,由用戶輸入用戶名和密碼進(jìn)行登錄,但是這種方式使用基本的Base64方式加密,賬號很容易泄露出去,現(xiàn)在很少人使用了。這種驗(yàn)證方法反應(yīng)了人們對信息私有化的需求,這是電腦從局域網(wǎng)走向互聯(lián)網(wǎng)以后產(chǎn)生的需求,
第二種:是使用session、cookie這種機(jī)制,這種方式里session是在服務(wù)器端創(chuàng)建的,可以存在內(nèi)存里,也可以存在持久化到數(shù)據(jù)庫里面,而cookie是存在用戶瀏覽器里的sessionId,sessionId一經(jīng)創(chuàng)建,就在后面的每次的HTTP請求里面,都會(huì)帶著請求頭當(dāng)中,服務(wù)器就是靠這種標(biāo)識來區(qū)別客戶端是哪一個(gè)。這種驗(yàn)證方式以及加密算法的出現(xiàn),它反映了在公開的互聯(lián)網(wǎng)上,人們對隱私對信息保密的重視,這個(gè)時(shí)期單點(diǎn)登錄的出現(xiàn),標(biāo)志著互聯(lián)網(wǎng)向分布式發(fā)展,開始出現(xiàn)了海量用戶產(chǎn)品,比如QQ、微信、Facebook等等。
第三種:Token驗(yàn)證,在這里Token是令牌的意思,這種驗(yàn)證是在App興起以后發(fā)展起來的,因?yàn)樵贏pp里它沒有瀏覽器環(huán)境沒有cookie,那么客戶端在進(jìn)行了權(quán)限驗(yàn)證以后,就把登錄憑證(Token)直接存在了客戶端里面,并且在每次請求服務(wù)器的時(shí)候都把它給帶上。最常用的Token的驗(yàn)證方式是JWT,他是Json Web Token的縮寫,這種驗(yàn)證方式它代表了移動(dòng)互聯(lián)網(wǎng)的崛起。
具體來說,Token在客戶端和服務(wù)器端共發(fā)生了6次交互,第一步:客戶端使用用戶名和密碼請求登錄;第二步:服務(wù)器收到請求以后去驗(yàn)證用戶名和密碼;第三步:驗(yàn)證成功以后,服務(wù)器會(huì)簽發(fā)一個(gè)Token,再把Token發(fā)送給客戶端;第四步:客戶端收到Token以后把它給存儲(chǔ)起來,例如放在Cookie里面或者Local Storage里面,或者是內(nèi)存里面,第五步:客戶端每次向服務(wù)器請求資源的時(shí)候,都需要帶著這個(gè)服務(wù)器剛剛簽發(fā)的Token,這個(gè)Token一般是有時(shí)效性的,如果超時(shí)了還需要重新去獲??;第六步:服務(wù)端收到請求,然后去驗(yàn)證客戶端送來的Token,驗(yàn)證成功就向客戶端返回?cái)?shù)據(jù)。
JWT是目前使用最廣泛的Token驗(yàn)證方式,JWT在登錄成功以后,將相關(guān)的信息組成JSON對象,然后將這個(gè)對象進(jìn)行某種方式的加密,在返還給客戶端,客戶端在下次請求的時(shí)候再帶上Token,服務(wù)器端收到這個(gè)Token以后,在驗(yàn)證Token的合法性。
JWT主要包括三分部分,第一個(gè)部分是Headers,主要是包括類別以及加密的算法;第二部分是Claims,這個(gè)主要是需要傳遞的一些用戶信息,這個(gè)里邊的一些字段,都是開發(fā)者自定義的一些字段;第三部分是Signature,它是根據(jù)上面的指定的算法以及私密的私匙,然后在服務(wù)器端進(jìn)行加密而得到的簽名的字符串。
第四種:OAuth驗(yàn)證,這種方式在今天是非常常見的,我們經(jīng)常看到一些網(wǎng)站登錄的時(shí)候,可以使用QQ或者是微信賬號登錄,這種登錄方式本身就是OAuth驗(yàn)證,還有我們在小程序里面使用微信一鍵登錄的時(shí)候,也是這種方式。這種方式我們先向鑒權(quán)服務(wù)器請求,拿到了一個(gè)code,這個(gè)code代表的是用戶的許可,然后再以這個(gè)code,加上開發(fā)者自己的AppID和appSecret,再請求鑒權(quán)服務(wù)器拿到一個(gè)success token,這個(gè)才是真正的Token代表的是服務(wù)器的許可,有了這個(gè)Token才可以把加密的用戶信息給解密出來,這種方式它代表了大平臺(tái)作為基礎(chǔ)賬號存在已變成了一種事實(shí),像QQ、微信、Facebook等等。
在這四種鑒權(quán)方式中,從表面上看,Token驗(yàn)證與前面的session-cookie驗(yàn)證有點(diǎn)像,但是他們是不一樣的,session-cookie是通過sessionId來作為瀏覽器和服務(wù)器之前的溝通的橋梁;而Token驗(yàn)證方式,它貌似是Token充當(dāng)了session的角色,但其實(shí)這兩者的差別還是挺大的,第一點(diǎn)不同:sessionId它只是一個(gè)唯一標(biāo)識的字符串,服務(wù)器是根據(jù)這個(gè)字符串,來查詢在服務(wù)器端存儲(chǔ)的session對象,在session對象里面才保存著用戶的登錄狀態(tài)以及其他的信息,但是Token本身就是一種登錄憑證,它本身就保存著用戶的登錄信息,還包括其他的一些算法以及解密的一些這些信息,這種Token更方便在多個(gè)分布式服務(wù)器之間共享,服務(wù)器端只需要驗(yàn)證token的合法性就可以了。第二點(diǎn)不同:session-cookie是需要cookie配合使用的,但是我們知道在進(jìn)入App時(shí)代以來,HTTP客戶端不只有瀏覽器這一個(gè)客戶端的環(huán)境,還有原生的App、小程序等其它形式,在這些環(huán)境下,cookie是不起作用的,還有瀏覽器端是可以禁止cookie的,他可以存儲(chǔ)在cookie當(dāng)中,也可以存在storage當(dāng)中,或者存在內(nèi)存里面,只要是每次HTTP請求頭里面,然后帶上token就可以了,Token的客戶端驗(yàn)證適用的客戶端驗(yàn)證更多,方式也更加的靈活。