认证(Authentication)与授权(Authorization),以及Authorization中的Auth Type

已于 2023-12-25 23:32:57 修改
阅读量1.2k 收藏 23
点赞数 15
文章标签: 网络安全
于 2023-12-13 00:24:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chrisgin/article/details/134959597
版权

认证(Authentication)

对某人身份信息的确认,通过某一凭证确认得知 “某人是谁!”
例:用户名/用户ID和密码

授权(Authorization)

当对某人完成身份确认后,获取某人能够访问资源的权限
例:信息、文件、数据等

API调用过程中有那些授权类型

  1. No auth
    请求不需要授权,无身份验证

  2. API key
    使用 API 密钥身份验证,即在请求标头或查询参数中将键值对发送到 API。
    API Key是API的密钥,是访问API或网站的必要条件之一,它通常用于防止未经授权的访问。
    Key ID:这是API Key的唯一标识符,用于在请求中识别特定的API Key。
    Key Value:这是实际的API Key值,通常是一个长字符串,用于验证请求的来源。

  3. Bearer Token
    Bearer token允许使用例如JSON Web Token (JWT)的访问秘钥。
    Bearer token常用于API的身份验证和授权,其中可能会包含用户的登录信息(如用户名、有效时间)。
    服务器接收到请求后,验证用户的登录信息是否有效。如果登录信息有效,用户无需客户端多次登录才能访问不同的API资源。Bearer token的主要优点是简单易用、轻量级且易于集成到各种应用程序中。

  4. JWT bearer
    可以在Postman的编辑器中输入有效的payload,生成的JWT可以被添加到请求的header或query parameter中。

    • 其中用于JWT Token的算法:
      • HS - HMAC with SHA
      • RS - RSA (RSASSA-PKCS1-v1_5) with SHA
      • ES - ECDSA with SHA
      • PS - RSA (RSASSA-PSS) with SHA
    • Secret - 与 HMAC-SHA 算法一起使用的Secret
    • Base64 编码
    • Payload - 以 JSON 格式输入 JWT 令牌的有效负载数据

  5. Basic auth
    在用户名和密码字段中输入您的 API 用户名和密码
    在headers中向 API 传递一个表示用户名和密码值的 Base64 编码字符串,形式是:

Basic <Base64 encoded username and password>
  1. OAuth 1.0
    OAuth1.0定义了三种角色:User、Service Provider、Consumer
 +----------+                                           +----------+
 |          |--(A)- Obtaining a Request Token --------->|          |
 |          |                                           |          |
 |          |<-(B)- Request Token & secret -------------|          |
 |          |       (Unauthorized)                      |          |
 |          |                                           |          |
 |          |      +--------+                           |          |
 |          |>-(C)-|       -+-(C)- Directing ---------->|          |
 |          |      |       -+-(D)- User authenticates ->|          |
 |          |      |        |      +----------+         | Service  |
 | Consumer |      | User-  |      |          |         | Provider |
 |          |      | Agent -+-(D)->|   User   |         |          |
 |          |      |        |      |          |         |          |
 |          |      |        |      +----------+         |          |
 |          |<-(E)-|       -+-(E)- Request Token ------<|          |
 |          |      +--------+      (Authorized)         |          |
 |          |                                           |          |
 |          |--(F)- Obtaining a Access Token ---------->|          |
 |          |                                           |          |
 |          |<-(G)- Access Token -----------------------|          |
 +----------+                                           +----------+

  1. Consumer向Service Provider请求未授权 Request Token

  2. Service Provider返回未授权Request Token和 secret,具体返回的参数为:oauth_token 和 oauth_token_secret

  3. Consumer携带上一步的 oauth_token 以及 oauth_callback 等参数请求服务器

  4. User authenticates

  5. Service Provider将用户重定向回Consumer,并带回授权过的 Request Token 也就是 oauth_token

  6. 获取到授权 Request Token,再向Service Provider换取票据 accessToken

  7. 通过票据 accessToken 访问用户在资源服务器存储的受保护的资源

  1. OAuth 2.0
    OAuth1.0定义了三种角色:User、Service Provider、Consumer。而OAuth2.0则定义了四种角色:Resource Owner、Resource Server、Client、Authorization Server
+----------+
 | resource |
 |   owner  |
 |          |
 +----------+
      ^
      |
     (B)
 +----|-----+          Client Identifier      +---------------+
 |         -+----(A)-- & Redirection URI ---->|               |
 |  User-   |                                 | Authorization |
 |  Agent  -+----(B)-- User authenticates --->|     Server    |
 |          |                                 |               |
 |         -+----(C)-- Authorization Code ---<|               |
 +-|----|---+                                 +---------------+
   |    |                                         ^      v
  (A)  (C)                                        |      |
   |    |                                         |      |
   ^    v                                         |      |
 +---------+                                      |      |
 |         |>---(D)-- Authorization Code ---------'      |
 |  Client |          & Redirection URI                  |
 |         |                                             |
 |         |<---(E)----- Access Token -------------------'
 +---------+       (w/ Optional Refresh Token)

(1)授权码模式
已使用微信登录游戏为例:
在这里插入图片描述

(2)客户端模式
客户端以自己的名义而不是用户的,向授权服务器进行验证。
举个例子:当我们的服务需要对接另一个服务时,我们的服务充当“客户端”向微信授权服务器进行认证。
在这里插入图片描述
在OAuth 2.0的客户端模式中,向授权服务器发送认证请求时client_id和client_secret是两个重要的参数。

client_id是用于在授权服务器上标识和认证客户端的ID。它是在客户端向授权服务器发起请求时,一起发送给授权服务器的。通过验证client_id,授权服务器可以确认请求来自哪个已注册的客户端。

client_secret是一个保密的字符串,用于验证客户端的身份。它是与client_id相对应的,且在授权服务器上注册应用程序时获得。

Mr Nobody鞥
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
next-authentication:Next.js框架的身份验证和授权
02-05
下次认证 Next.js的身份验证和授权next-authentication提供了一组功能和间件,以在Next.js应用程序实现身份验证,授权和会话管理。用法建立: // Setup// file: lib/auth.jsimport bcrypt from 'bcrypt' ;import...
oauth:authorization-code
ry的专栏
04-15 718
一、    授权码类型,客户端是网页,redirect_uri,code 例如微信网页授权获取用户信息过程 1. 让用户明白所做的操作并请求认证 当牵涉到OAuth认证时,首先应最好能更进一步的让用户知道该操作到底会发生什么。在用户确认之后,这时应用应将用户引导至OAuth认证页面。在该页面,API提供者会向用户说明应用会授权访问用户数据。 该授权接口的URL会在开发者文档给出,以
Postman9大Authorization授权机制
qq19970496的博客
05-28 7945
API通过授权来确保客户端请求安全地访问数据。主要包括:发送者身份验证和访问权限认证。PostmanAuthorization授权机制主要包括:下面10种 Inheriting auth继承认证 No auth授权认证 Bearer Token令牌 Basic auth基本授权认证 Digest auth OAuth 1.0 OAuth 2.0 Hawk authentication AWS Signature NLTM authentication 1Inheriting auth继承认证 如果将
SpringBoot添加swagger2接口并添加全局Authorization参数
景月娇-Kathy
10-08 7744
需求: 在项目实践,我们需要Token值去向后端发送请求,后端根据Token值去判断用户,根据不同的用户返回对应的信息。这就是Token验证。 Token是在客户端频繁向服务端请求数据服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录...
3月6日Postman之Authorization使用
qiushiqiushi的博客
03-07 6259
Postman之Authorization使用
聊聊常见的服务(接口)认证授权
dotNET跨平台
08-19 1222
写在前面头发掉得多了,总有机会接触/调到各种各样的接口,各种面向Api编程实际上已经嵌入到我们的习惯,没办法现在服务端通信还得是http(s),其他协议还未能成为通用的。大厂的开发平...
AuthenticationAuthorization 的区别
w8y56f的专栏
05-25 1789
AuthenticationAuthorization 的区别 背景 我们经常会遇到这两个单词,有些人会有疑惑,但其实他们区分还是比较清晰的。 本人用大白话,用我自己的理解写出 区别 authentication:是说 “鉴权” 的意思,主要是验证你是谁的问题。一般通过用户名和密码登录来确定你是谁,因为你知道用户名和密码所以你就是这个用户名所代表的人 authorization:这个一般和 “授权” 有关,你没有authorization去做某个事情,意思是你没权限,并不是说不能确定你是谁 补充
Authentication认证方式)与 Authorization授权
Pursuit_li的博客
03-15 1102
认证 认证是关于验证凭据,如用户名/用户ID和密码,以验证身份。系统确定凭据是否正确。在公共和专用网络,系统通过登录密码验证用户身份。认证通常通过用户名和密码完成,有时与认证因素结合使用,后者指的是认证的多种方式。 授权 授权发生在系统成功认证身份后,最终会授予访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。简单来说,授权决定了访问系统的能力以及达到的程度。
认证 (authentication) 和授权 (authorization) 的区别
weixin_64051447的博客
04-10 1587
虽然这两个术语经常相互结合使用,但它们的概念和含义完全不同。虽然这两个概念对于Web服务基础结构至关重要,特别是在授予对系统的访问权限时,理解关于安全性的每个术语是关键。虽然我们大多数人将一个术语与另一个术语混淆,但理解它们之间的关键区别很重要,实际上非常简单。如果身份验证是您的身份,则授权是您可以访问和修改的权限。简单来说,身份验证就是确定某人是否是他声称的人。另一方面,授权是确定他访问资源的权利。
安全-认证授权数据脱敏
Xue_99的博客
08-03 831
一、认证授权 JWT :JWT(JSON Web Token)是一种身份认证的方式,JWT 本质上就一段签名的 JSON 格式的数据。由于它是带有签名的,因此接收者便可以验证它的真实性。 SSO(单点登录) :SSO(Single Sign On) 即单点登录说的是用户登陆多个子系统的其一个就有权访问与其相关的其他系统。举个例子我们在登陆了京东金融之后,我们同时也成功登陆京东的京东超市、京东家电等子系统。 认证 (Authentication) 和授权 (Authorization)的区别是什
4种认证authentication)或授权authorization)方式
热门推荐
漫游学海之旅
04-12 8万+
Authentication vs. authorization It is easy to confuse authentication with another element of the security plan: authorization. While authentication verifies the user’s identity, authorization verifie...
mosquitto-go-auth:用于 mosquitto 的 Auth 插件
07-24
Mosquitto Go 认证Mosquitto Go Auth 是 Mosquitto MQTT 代理的身份验证和授权插件。 这个名字很糟糕,我知道,但现在改变它已经太晚了。 而且,您知道:命名、缓存失效、一对一错误等等。当前状态该插件是最新的...
auth:PHP的身份验证,授权和访问控制
05-16
贾斯尼·阿特(Jasny Auth) PHP的身份验证,授权和访问控制。 特征 多种,例如组(用于acl)和级别。 授权(例如“用户是该团队的管理员”)。 用于登录和注销的PSR-14。 用于访问控制的PSR-15。 ,显式或...
json-server-auth:JSON服务器的身份验证和授权流程
05-07
入门同时安装JSON服务器和JSON服务器认证: # NPMnpm install -D json-server json-server-auth# Yarnyarn add -D json-server json-server-auth 使用users集合创建db.json文件: { " users " : []} 启动JSON服务器...
graphql-directive-auth:用于处理auth的GraphQL指令
02-04
graphql-directive-auth 介绍 ... @isAuthenticated设置环境变量后,您需要具有有效的JWT令牌并通过Authorization在HTTP标头发送。 仅此而已,该指令将检查您的令牌并在令牌无效或过期时抛出错误。
rust-spa-auth:使用具有认证授权的Rust后端的Vue前端的示例应用程序
04-06
Rust SPA +授权该项目包含一个Rust服务器,该服务器服务于一个页面应用程序,并具有身份验证+基于JWT的授权。 它是作为学习练习而编写的,有望成为使用身份验证和授权的Rust支持网站的有用示例。 与我在网上看到的...
lumen-api-auth:流明作者API。 用JWT固定
05-24
此存储库演示了如何使用Lumen创建简单的API,如何使用访问令牌来访问端点以及如何使用Auth0添加权限要求。 有关说明,请。
sentinel:与框架无关的身份验证和授权系统
02-03
哨兵 Sentinel是一个与PHP 7.3+框架无关的全功能身份验证和授权系统。 它还提供了其他功能,例如用户角色和其他安全功能。 开源软件包,编码不错,!版本矩阵版LaravelPHP版本5.x 8.0 > = 7.3 4.x 7.0 > = 7.2.5 3.x...
awesome-auth::bar_chart:用于身份验证和授权的软件和库
01-31
awesome-auth::bar_chart:用于身份验证和授权的软件和库
postmanauthorization
最新发布
12-16
在PostmanAuthorization授权机制主要包括以下几种方式: 1. Inheriting auth继承认证:继承上一个请求的授权信息,适用于多个请求需要使用同一授权信息的情况。 2. No auth授权认证:不需要任何授权信息,适用于无需授权的公共API。 3. Bearer Token令牌:使用Bearer Token作为授权信息,适用于OAuth 2.0授权方式。 4. Basic auth基本授权认证:使用用户名和密码作为授权信息,适用于基本的HTTP认证方式。 5. Digest auth:使用摘要认证方式作为授权信息,适用于HTTP摘要认证方式。 6. OAuth 1.0:使用OAuth 1.0授权方式作为授权信息。 7. OAuth 2.0:使用OAuth 2.0授权方式作为授权信息。 8. Hawk authentication:使用Hawk认证方式作为授权信息。 9. AWS Signature:使用AWS Signature认证方式作为授权信息。 10. NTLM authentication:使用NTLM认证方式作为授权信息。 在Postman,你可以选择任何一种授权方式,并在Headers添加Authorization字段和对应的值来进行授权。例如,使用Bearer Token作为授权信息,可以在Headers添加Authorization字段,值为Bearer Token的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值