超级会员免费看
Web服务器与浏览器的认证过程不固定,依赖于认证模式。简单流程包括浏览器向服务器请求,服务器请求用户名和密码,浏览器再次请求时携带凭证,服务器验证权限后返回资源。认证模式和权限验证是关键,前者是客户端与服务端的交互约定,后者涉及资源与角色映射。《Tomcat内核设计剖析》一书对此有深入探讨。
Web服务器与浏览器之间的认证流程没有规定的步骤,根据不同的认证模式及鉴权方式可能会有不同的执行步骤。下图用一个最简单的流程了解整个认证过程是如何工作的,首先浏览器向服务器发起请求,然后服务器向浏览器质问用户名及密码,浏览器带上用户名及密码重新请求,服务器根据用户名获取相应角色并判断是否有权限访问该资源,最后通过认证后返回受保护资源。
在这整个过程中可以分为客户端与服务端交互、服务端权限验证两部分,客户端与服务端的交互其实就是认证模式,这是客户端与服务端之间的约定,存在多种认证模式。服务端权限验证则是将资源与角色映射起来,根据保存的用户信息判断客户端用户是否有权限访问。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
