目录
1、什么是鉴权
鉴权:是指验证用户是否拥有访问系统的权限
为什么要鉴权:对用户进行鉴权,防止非法用户占用网络资源,非法用户接入网络,被骗取关键信息
2、token鉴权
鉴权流程:
鉴权过程详解:
1)、用户发起登录,客户端提交用户名和密码,服务端会对用户提交的数据进行校验,检验通过以后会提取用户关键信息(比如用户名密码、用户id、时间戳等信息进行排序,然后再签名运算)通过特定的算法生成token,然后将会这个token返回给客户端
2)、客户端收到响应结果之后,从响应结果中获取token,然后将token放在请求头响应的字段中,再去请求其他接口,
3)、服务端再次收到客户端的请求,会从请求头中取出token,然后对token进行解签,获取到用户相关信息,再去数据库查询是否存在该用户。但凡这个token被修改过,解签就会失败,鉴权失败
4)、服务端鉴权成功后会返回对应接口数据给客户端,鉴权失败就不会返回对应数据。
3、session+cookie鉴权(目前用的不多)
鉴权流程:
鉴权过程详解:
1)、用户注册的时候,客户端提交用户名和密码,服务端会存储用户名和密码,为了防止被脱库,密码存储一般会进行加密存储,比如md5、rsa加密等待。
2)、注册完成后,用户发起登录,客户端提交用户名和密码,服务端会对用户提交的数据进行校验,用户名密码正确,此时服务端会根据用户信息(用户id、用户名、user_agent)等创建一个session,并存储在数据库中(一般是redis),保存好之后,服务端会将这个session通过响应头的Set-cookie字段返回给客户端。
3)、客户端收到服务端的响应之后,浏览器会自动将响应头Set-cookie的内容添加到请求头的cookie中(代码实现要手动添加,或者使用其他创建session的方式自动添加),在请求其他接口时会始终携带这个请求头。
4)、服务端是收到客户端发起的请求后,会将请求头中的session提取出来与之前存储到redis中的session进行对比,如果一致则返回对应的接口数据给客户端,如果不一致或者超时则不返回接口数据
5)、session鉴权缺点很明显,服务端存储压力较大,需要大量的存储空间来存储session,因此token就诞生了