学习笔记之开发相关概念(7)--认证和授权

最新推荐文章于 2024-06-22 17:44:41 发布
最新推荐文章于 2024-06-22 17:44:41 发布
阅读量431 收藏 2
点赞数
分类专栏: 学习笔记 文章标签: 开发概念
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huayuekonghoui/article/details/78952254
版权

认证(Authentication)解决你是谁的问题,授权(Authorization)解决你能干什么的问题。由于HTTP是无状态协议,客户端和服务端无法记住彼此,必须借助某些机制实现认证与授权。目前常用的认证授权机制包括cookie-session、OAuth和JWT(JSON WEB TOKEN),下面介绍下cookie-session和JWT。OAuth没用过不谈!


一、cookie-session

服务端在成功验证用户的登录信息后,创建session并赋予其唯一的标识sessionID,然后将该用户的个人信息与权限信息存入此session中,最后将sessionID写入响应首部的Set-Cookie中。客户端收到响应后就会自动将sessionID存入cookie中,这样当前域下的所有请求都会自动将cookie中的sessionID置于请求首部的Cookie中(cookie不允许跨域请求)。服务端就可以根据sessionID找到具体的session,并获取其中的用户信息与权限信息,这样就实现了认证和授权。


二、JWT

服务端在成功验证用户的登录信息后,根据用户信息,权限信息和自定义密钥生成token,然后将token传给客户端。客户端首先解析token中的权限信息进行页面授权,并将token存在cookie(这样无法进行跨域请求,不推荐)或者localstorage中,如果token存在localstorage中就要手动将token写入到请求首部的Authorization中(Authorization:Bearer token)。服务端接收请求后,会优先在请求首部的Cookie中寻找token,如果没有就去Authorization找,都没找到则返回401错误。找到后根据自定义密钥对此token进行检验,如果合法即认证成功(不合法也返回401),然后解析token中的用户信息与权限信息,进行操作授权与业务授权。


JWT分为三个部分:头、负载和签名头用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的加密算法等负载中存有若干JWT标准所定义的字段(如token签发时间,过期时间等),还可以添加用户信息和权限信息。实际上头与负载都是json,将这两个json分别进行Base64编码得到两个字符串,然后将这两个字符串拼接起来得到一个拼接字符串。签名就是将拼接字符串通过头中声明的加密算法与自定义密钥进行加盐加密得来的,将签名拼在拼接字符串后面,就得到了token。在服务端进行用户认证时,只要使用自定义密钥和签名加密算法将签名解密,并与头+负载的拼接字符串进行比对即可验证token的合法性。



附:

授权,分为页面授权、操作授权、数据授权
1.授权也是借助token实现的,在token中的permissions数组中设置菜单权限,前端页面通过解析token中的permission数组,进行前端react路由配置,规定用户可见的菜单(单页应用是这么玩的,非单页应用应该不用前端进行页面授权,而是由后端返回该用户可访问的页面url)。比如permissions中含有1才能访问会议系统,permissions中含有2才能访问设备系统。--页面授权
2.但是这样授权还没有完善,用户可以通过浏览器拿到token,然后根据现有接口的url风格,使用POSTMAN等工具尝试调用其它接口。比如某用户只有会议系统的权限,会议系统某接口的url是xxx/api/conference/msg?id=1,用户拿到token后使用POSTMAN尝试调用xxx/api/device/msg?id=1,这样设备系统的数据就会泄露。为了解决这个问题,不仅前端要进行页面授权,后端也要针对每个REST接口进行授权,比如xxx/api/conference/msg只能是permissions含有1才能调用,xxx/api/device/msg只能是permissions含有2才能调用。--操作授权
3.这样授权依旧没有完善,用户可以通过改变请求参数获取别人信息。还是刚才的例子,调用xxx/api/conference/msg?id=2就可以看到别人的会议信息。解决这个问题只能在程序或sql中进行逻辑控制,比如先从token中获取其userId,通过userId拿到用户所有的会议,再与请求参数做对比,判断该用户是否具有请求参数中的会议。如果用户确实有这个会议,再将查询结果返回;但如果用户没有此会议,返回一个错误响应。--数据授权

三、JWT相比于cookie-session的优点

  • cookie不支持跨域访问,JWT可以(前提是通过请求首部的Authorization传输token)
  • JWT机制不需要在服务端创建session,减少服务端压力
  • 在分布式应用中,要将同一份session复制到集群的所有机器中(因为不能确定到底是哪台服务器处理用户请求),增大服务端压力;JWT机制只需要服务端持有密钥即可完成认证授权,更加方便
  • 因为有了负载部分,所以JWT机制可以在token中存储一些其他业务逻辑所必要的非敏感信息。

四、JWT安全相关

  • 由于负载使用Base64编码,所以实际上它是明文的,不应该放置敏感信息
  • 服务端的自定义密钥是token安全的唯一保障,绝对不能泄露
华月箜篌
关注
专栏目录
说透OAuth 2.0 [1] - 什么是认证授权
李浩好好学习
10-11 2743
说透OAuth 2.0 [1] - 什么是认证授权?引子认证认证实体变更认证方式变更信任系统变更授权总结 引子 我在面试Web相关岗位时,经常会问面试者一个问题,什么是认证,什么是授权?(也请你花一分钟时间思考一下) … 部分面试者会给我如下的答案: 当用户打开浏览器或者App的时候,如果某些功能不是匿名用户能操作的,那么我们就会将用户引导到登录页面,让用户输入自己的用户名和密码、当然也可能是手机短信验证等方式,在安全性较高的系统还会要求输入验证码。如果验证通过,那么用户就拥有了可以操作这些功能的权限。
Shiro学习笔记-----小组开发前后端分离项目---登陆认证盐值加密
RSDYS的博客
07-21 491
基于springboot框架前后端分离项目实现的Shiro登录认证以及盐值加密功能。
认证授权概念
罗彬桦的博客
06-02 246
认证授权概念 什么是认证 认证(Authentication) 什么是授权 授权(Authorization)
有关认证授权的详细理解
最新发布
m0_58989398的博客
06-22 666
举个例子:假设我们部署了两份相同的服务器A和B,用户第一次登录的时候,Nginx通过负载均衡机制将用户请求转发到A服务器,此时用户的Session信息保存到A服务器,结果,用户第二次登录,Nginx将用户的请求路由到B服务器,而B服务器没有存储用户的Session信息,此时用户需要重新登录。(简单地说就是,一个用户可以拥有多个角色,一个角色可以被分配多个权限,这样就构成了“用户--角色--权限”的授权模式,在这种模型,用户与角色,角色与权限之间构成了多对多的关系。
认证授权
chenhui88889的博客
05-06 372
关于授权 一般来说用户通过认证后既可以访问服务获取资源,提交、更新信息,甚至删除信息 但是每个用户存在的环境不同,可以操作的内容也不同,如果所有用户都有权限去新增删除用户那就会乱套了,所以系统的用户具有角色、部门甚至是岗位的描述。这种描述就是用来对用户做分级,达到不同用户的授权独立 简单...
认证授权
小码哥222的博客
03-18 375
参考:《认证授权基础》 1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 说简单点就是: 认证 (Authentication): 你是谁。 授权 (Authorization): 你有哪些权限 干什么事情。 稍微正式点(啰嗦点)的说法就是: Authentication(认证) 是验证您的身份的凭据(例如用户名/用户ID和密码),通过这个凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称为身份/用户验证
FlaskWeb开发:基于Python的Web应用开发实战-学习笔记.zip
02-21
通过这份学习笔记,读者不仅可以了解Flask框架的基本用法,还能深入学习到Web开发的关键概念和技术,如路由设计、模板引擎、数据库操作、用户认证、API设计等,从而具备独立开发复杂Web应用的能力。
学习笔记开发相关概念(11)--框架相关
huayuekonghoui的博客
01-14 267
一、SpringMVC 架构流程: 1、  用户发送请求至前端控制器DispatcherServlet 2、  DispatcherServlet收到请求调用HandlerMapping处理器映射器。 3、  HandlerMapping根据用户请求的url查找相应的处理器Handler(XML配置或者注解),生成Handler对象及处理器拦截器(如果有则生成)一并返回给Dispatc
网络安全最新网络安全-sqlmap学习笔记_sqlmap --no-cast
2301_82242964的博客
05-04 644
检测和利用SQL注入的工具。sqlmap官网sqlmapWiki本文参考用户手册,有删减,算是低创,但并非完全翻译,有包含自己的抓包及部分使用sqlmap注入的内容,sqlmap实战在文末链接。--prefix和--suffix在某些情况下,仅当用户提供要添加到注入有效负载的特定后缀时,漏洞参数才可利用。当用户已经知道查询语法并想通过直接提供注入有效载荷前缀和后缀来检测和利用SQL注入时,这些选项很方便出现的另一种情况就会出现。为了检测和利用此SQL注入,您可以让sqlmap 在检测阶段为您检测边界。
计算机网络-甘晴void学习笔记
05-12
### 计算机网络-甘晴void学习笔记 #### 一、甘晴void概念解析 在探讨计算机网络之前,我们先来理解“甘晴void”这一独特的编程概念。“甘晴void”结合了“甘晴”与“void”的内涵,旨在为编程领域注入一种新的哲学...
认证 (authentication) 和授权 (authorization)
原创学无止尽
08-15 1301
认证 (authentication) 和授权 (authorization) 的区别        你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。        在 computer science 领域再举...
我眼认证授权
ovowovo的博客
02-25 779
区别 OpenId: Authentication :认证 Oauth: Aurhorize :授权 输入账号密码,QQ确认输入了正确的账号密码可以登录 —>认证 下面需要勾选的复选框(获取昵称、头像、性别)----->授权 OpenID 当你需要访问A网站的时候,A网站要求你输入你的OpenId,即可跳转到你的OpenId服务网站,输入用户名和密码之后,再调回A网站,则认证成功。 ...
OAuth2.0 开放平台认证授权开发套件 Authmore-Framework 1.0 发布
weixin_33980459的博客
06-04 192
简介 | Intro 基于 OAuth2.0 协议的开放平台认证授权开发套件, 包含授权服务和开放平台 Docker 镜像,基于 Spring Boot Starter 的资源服务工具包和客户端(第三方应用)工具包 优点 | Advantages 简洁:专注核心功能 —— 社会化网络下的跨应用认证授权,基于 Spring Boot Starter 的工具包,为开发者提供最简洁的配置。 快速:Au...
《Enterprise Application Pattern—using Xamarin.Forms》文简述九——认证授权
catshitone的专栏
03-10 593
认证是一个获取身份证明的过程,一般都是验证用户名和密码是否匹配。如果身份验证通过,然后授权就会决定哪些数据是这身份可以访问的。 有很多种方式可以将认证授权组件添加到基于ASP.NET MVC的Xamarin.Forms应用程序,如ASP.NETCore Identity,Microsoft、Google、Facebook等的认证API,或者一些其它的认证间件。eShopOnContainer...
Spring Security的认证授权
zyzk666的博客
03-05 1097
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,用于保护基于Spring的应用程序。它提供了一套全面的安全性功能,包括用户认证授权、会话管理、密码管理等,可以帮助开发人员轻松地集成安全性功能到他们的应用程序。Spring Security通过过滤器链、安全上下文、认证提供者等核心概念来实现安全性功能。开发人员可以根据自己的需求来配置和定制Spring Security,以满足不同应用程序的安全性要求。
Phalcon PHP Framework 学习笔记:从安装到高级应用
Phalcon学习笔记 Phalcon是基于C扩展的PHP框架,旨在提供高性能、灵活性和可维护性的Web应用程序开发解决方案。下面是Phalcon学习笔记的详细知识点总结: 一、Phalcon简介 Phalcon是一个开源的PHP框架,由C语言...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值