前后端常见的几种鉴权方式

最新推荐文章于 2022-11-10 18:15:37 发布
最新推荐文章于 2022-11-10 18:15:37 发布
阅读量671 收藏
点赞数
文章标签: ajax http 数据库
原文链接:https://blog.csdn.net/wang839305939/article/details/78713124
版权

本文链接:https://blog.csdn.net/wang839305939/article/details/78713124
最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。

目前我们常用的鉴权有四种:

HTTP Basic Authentication
session-cookie
Token 验证
OAuth(开放授权)
一.HTTP Basic Authentication

   这种授权方式是浏览器遵守http协议实现的基本授权方式,HTTP协议进行通信的过程中,HTTP协议定义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。

认证过程:

  1. 客户端向服务器请求数据,请求的内容可能是一个网页或者是一个ajax异步请求,此时,假设客户端尚未被验证,则客户端提供如下请求至服务器:

  Get /index.html HTTP/1.0 
  Host:www.google.com

  2. 服务器向客户端发送验证请求代码401,(WWW-Authenticate: Basic realm=”google.com”这句话是关键,如果没有客户端不会弹出用户名和密码输入界面)服务器返回的数据大抵如下:

  HTTP/1.0 401 Unauthorised 
  Server: SokEvo/1.0 
  WWW-Authenticate: Basic realm=”google.com” 
  Content-Type: text/html 
  Content-Length: xxx

  3. 当符合http1.0或1.1规范的客户端(如IE,FIREFOX)收到401返回值时,将自动弹出一个登录窗口,要求用户输入用户名和密码。

  4. 用户输入用户名和密码后,将用户名及密码以BASE64加密方式加密,并将密文放入前一条请求信息中,则客户端发送的第一条请求信息则变成如下内容:

  Get /index.html HTTP/1.0 
  Host:www.google.com 
  Authorization: Basic d2FuZzp3YW5n

注:d2FuZzp3YW5n表示加密后的用户名及密码(用户名:密码 然后通过base64加密,加密过程是浏览器默认的行为,不需要我们人为加密,我们只需要输入用户名密码即可)

  5. 服务器收到上述请求信息后,将Authorization字段后的用户信息取出、解密,将解密后的用户名及密码与用户数据库进行比较验证,如用户名及密码正确,服务器则根据请求,将所请求资源发送给客户端

效果: 
  客户端未未认证的时候,会弹出用户名密码输入框,这个时候请求时属于pending状态,这个时候其实服务当用户输入用户名密码的时候客户端会再次发送带Authentication头的请求。

认证成功:

server.js

let express = require("express");
let app = express();

    app.use(express.static(__dirname+'/public'));

    app.get("/Authentication_base",function(req,res){
        console.log('req.headers.authorization:',req.headers)
        if(!req.headers.authorization){
            res.set({
               'WWW-Authenticate':'Basic realm="wang"'
            });
            res.status(401).end();
        }else{
            let base64 = req.headers.authorization.split(" ")[1];
            let userPass = new Buffer(base64, 'base64').toString().split(":");
            let user = userPass[0];
            let pass = userPass[1];
            if(user=="wang"&&pass="wang"){
                res.end("OK");
            }else{
                res.status(401).end();
            }

        }

    })

    app.listen(9090)

index.html:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title>HTTP Basic Authentication</title>
    </head>
    <body>
        <div></div>
        <script src="js/jquery-3.2.1.js"></script>
        <script>
            $(function(){
              send('./Authentication_base');
            })
            var send = function(url){
                        $.ajax({  
                        url : url,  
                        method : 'GET',  
                    });
           }
        </script>
    </body>
</html>

lionzl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
postman第5讲-核心功能四:Authorization鉴权
weixin_57724816的博客
05-18 3328
本篇着重向大家介绍下postman 在鉴权方面的应用,学习之前先向大家解释下何为鉴权鉴权 鉴权就是验证您是否有权从服务器访问所需的数据。发送请求时,通常必须包含相应的检验参数以确保请求具有访问权限并返回所需数据。通俗的讲就是一个门禁,您想要进入室内,必须通过门禁验证身份,这就是鉴权; postman 支持的鉴权方式(此部分了解) postman 支持多种鉴权方式,具体如下: Inherit auth from parent:是默认的鉴权方式,继承; No Auth:代表不需要鉴权 .
Jquery 添加Authorization认证
斗战圣佛91的博客
01-25 1万+
$.ajax({ type: "GET", url: "http://localhost:8080/books", beforeSend: function(xhr) { xhr.setRequestHeader("Authorization", "Bearer eyJhbGciOiJIUzI1NiJ9.eyJwcmluY2
http请求头字段
mkymab的博客
02-19 912
http请求头字段对应含义 Accept : 浏览器(或者其他基于HTTP的客户端程序)可以接收的内容类型(Content-types),例如 Accept: text/plain Accept-Charset:浏览器能识别的字符集,例如 Accept-Charset: utf-8 Accept-Encoding:浏览器可以处理的编码方式,注意这里的编码方式有别于字符集,这里的编码方式通常指gzip,deflate等。例如 Accept-Encoding: gzip, deflate Accept-Lang
请求报文详解req.url、req.method、req.headers、res.end()
weixin_45147894的博客
03-26 2955
无论加上后缀index还是list还是aaaaaaa什么后缀。都返回get,不是我们想要的结果。该怎么办呢 我们可以加上判断条件。因为req.url是获取请求地址的方法。所以可以用这个方法来进行判断分别输出不同的语句结果。 可以试试req.url是不是获取的请求地址。下面是验证一下: 当我们什么后缀也不加。只有localhost:3000时,获取的地址却是一个/(斜杠) 获取的斜杠。而页面上显示的是not found.也不是我们想要的结果,因...
请求头部 request headers
有你真好的博客
03-03 1631
请求头是http请求行下面的 的内容,里面存放 一些 信息。 比如,请求发送的服务端域名是什么, 希望接收的响应消息使用什么语言,请求消息体的长度等等。 通常请求头 都有好多个,一个请求头 占据一行 单个请求头的 格式是: 名字: 值 HTTP协议规定了一些标准的请求头,点击查看MDN的描述 开发者,也可以在HTTP消息中 添加自己定义的请求头 ...
node中request对象常用属性、response对象常用成员
qq_15769147的博客
02-21 2067
request对象常用属性 let http = require('http'); http.createServer(function(req, res) { //1.获取所有请求报文头 //req.headers返回的事一个对象,这个对象中包含了所有的请求报文头 console.log(req.headers); //req.rawHeaders返回的事一个数组...
前后端常见几种鉴权方式(小结)
10-16
主要介绍了前后端常见几种鉴权方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PPP协议概念及鉴权方式概述
10-01
PPP是为在同等单元之间传输数据包这样的简单链路设计的链路层协议,本文将详细介绍PPP协议的应用
中台Admin前后端分离的权限管理系统.zip
最新发布
01-03
中台Admin前后端分离的权限管理系统。支持多租户、数据权限、动态Api、任务调度、OSS文件上传、滑块拼图验证、国内外主流数据库自由切换和动态高级查询。基于.Net跨平台开发的WebApi。集成统一认证授权、事件总线、...
高德地图⾏业数据开放平台相关API鉴权方式
07-29
请求⽅式 HTTP 接⼝,HTTP 基于服务器/客户端模式的请求/应答协议,⽤户通过 HTTP、GET、 POST 等⽅式发送数据请求,服务端接收到请求并进⾏鉴权、数据返回。
【模块】【通信】---http模块中req和res 常用的属性介绍
weixin_30590285的博客
08-19 1016
【模块】【通信】---http模块中req和res 常用的属性介绍 const http = require("http"); const fs = require("fs"); let server = http.createServer((req,res)=>{ console.log(req.url); console.log(r...
请求头中的Authorization
m0_61672533的博客
11-10 1万+
Authorization的理解
(精华)2020年6月26日 C#类库 HttpRequest(扩展方法)
热门推荐
时光隧道
06-26 56万+
using Microsoft.AspNetCore.Http; using Microsoft.AspNetCore.Http.Extensions; using System; using System.Text.RegularExpressions; namespace Core.Util { /// <summary> /// 拓展类 /// </summary> public static partial class Extention
请求头authorization中加入认证信息
SueLight的博客
02-04 3171
axios.interceptors.request.use( config => { //请求拦截 if (config.url.includes('/es')) { const username = 'admin'; const pasw = 'IwdPkriZxAqpN0hV2qCx1HyQ_'; config.headers['Authorization'] = 'Basic' + ' ' + btoa(username + ':' + p
ASP.NET Core 判断请求是否为Ajax请求
weixin_34110749的博客
04-14 888
我们可以通过HTTP请求头来判断是否为Ajax请求,Ajax请求的request headers里都会有一个key为x-requested-with,值为XMLHttpRequest的header 所以我们可以添加一个扩展方法: public static bool IsAjax(this HttpRequest req) { bool result = false; var ...
jwt java redis_一步一步搭建react应用-使用 jwt + redis 来做基于token的用户身份认证...
weixin_28888459的博客
02-27 168
基于token的认证流程客户端用户发登录请求服务端验证用户名密码验证成功服务端生成一个token,响应给客户端客户端之后的每次请求header中都带上这个token服务端对需要认证的接口要验证token,验证成功接收请求这里我们采用jsonwebtoken来生成token,jwt.sign(payload, secretOrPrivateKey, [options, callback])使用exp...
ajax身份验证,jQuery-Ajax调用基本身份验证失败
weixin_36026440的博客
08-05 384
我有2个Web2Py应用程序,让我称之为Provider和Receiver。 Provider提供基本身份验证功能,Receiver使用它来登录。用户已在Provider和Receiver的本地数据库中创建使用这些用户凭据成功登录。但是当我在我的控制器中使用RESTful方法时,如果我使用相同的用户名通过相同的浏览器会话手动登录到Provider,则jQuery-Ajax调用只能起作用。如果我不这...
node学习---jwt实现验证用户身份
weixin_34346099的博客
10-06 441
个人主要使用的前后端框架是 express + mongodb + mongoose + vue + elementUI, 前后端分离 本文主要记录使用 express-jwt + jsonwebtoken 实现验证用户身份。 node 代码 项目的目录结构如左图。 // app.js import expressJwt from 'express-jwt' imp...
k8s有哪几种鉴权方式
07-16
Kubernetes(k8s)支持多种鉴权方式常见的包括以下几种: 1. 基于 RBAC 的鉴权:使用 Role-Based Access Control(基于角色的访问控制)来管理对 Kubernetes 资源的访问权限。通过定义角色、角色绑定和集群角色绑定,可以精确控制用户或服务账号对资源的访问权限。 2. 基于 Webhook 的鉴权:使用外部的 Webhook 服务来进行鉴权。Kubernetes 在认证请求时将请求转发给 Webhook 服务进行验证,并根据 Webhook 返回的结果来决定是否允许访问。 3. 基于 ABAC 的鉴权:Attribute-Based Access Control(基于属性的访问控制)是一种较为简单的鉴权方式,通过在 Kubernetes 对象的注解中定义访问规则,对请求进行匹配和授权。 4. 基于 Node 的鉴权:在 Kubernetes 集群中,可以配置节点级别的鉴权策略,限制节点上运行的 Pod 对其他资源的访问权限。 这些鉴权方式可以根据实际需求进行组合和配置,以达到对 Kubernetes 资源的安全访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值