客户端与服务器通讯详解（6）：如何进行身份验证

客户端与服务通讯的一个重要步骤就鉴权，也就是验证客户端的身份，符合就通过，不符合就不让通过。贝格前端工场为大家分分析下，客户端与服务器通讯为什么要鉴权？都有哪些鉴权方式？这些方式有什么优缺点？身份验证的流程是什么？欢迎大家阅读点赞。

一、客户端和服务器通讯为什么要鉴权

鉴权是保障客户端与服务器通讯安全、可靠、有序进行的重要环节，对于保护系统和用户的利益都具有关键意义。

确保安全性：

• 防止未经授权的访问，避免恶意攻击者伪装成合法客户端来获取敏感信息或进行破坏性行为，如窃取数据、篡改数据等。
• 例如，银行客户端与服务器通讯时必须进行严格鉴权，以保障用户的资金安全。

维护数据完整性：

• 只有经过鉴权的客户端才能进行数据交互，确保数据的来源可靠，减少数据被非法篡改或错误操作的风险。
• 像医疗系统中，患者信息的交互必须经过鉴权，以确保信息准确且不被随意更改。

保护资源：

• 服务器上的资源（如计算能力、存储等）是有限的，通过鉴权可以限制对资源的使用，只允许合法客户端访问。
• 比如某些付费会员才能使用的特定功能或服务，就需要通过鉴权来区分不同用户的权限。

责任追溯：

• 准确识别客户端身份有助于在出现问题时进行责任追溯和故障排查。
• 假如一个电商平台出现交易异常，通过鉴权可以确定是哪个客户端的操作，便于后续处理。

遵守法规和政策：

• 在某些行业和领域，有法规要求对客户端与服务器的通讯进行鉴权，以保障合规性。
• 例如涉及个人隐私数据的处理时，必须进行严格的身份验证。

---

二、都有哪些鉴权方式？

用户名和密码：这是最基本的方式，客户端输入正确的用户名和密码通过验证。

令牌（Token）：

• 访问令牌（Access Token）：服务器颁发给客户端，客户端携带令牌进行请求以表明身份。
• JSON Web Token（JWT）：包含用户身份信息等，具有不可篡改的特点。

会话（Session）：服务器为客户端创建会话，通过会话 ID 识别客户端。

数字证书：利用公钥基础设施（PKI），客户端提供数字证书来证明身份。

单点登录（SSO）：用户只需一次登录，就可以在多个相关系统中无需再次登录而被自动识别。

生物识别：如指纹识别、面部识别、虹膜识别等，基于用户独特的生物特征进行鉴权。

OAuth：常用于第三方应用授权访问资源。

API 密钥：客户端持有特定的 API 密钥进行身份验证。

短信验证码：通过向用户手机发送验证码来验证用户。

硬件特征码：基于客户端设备的特定硬件特征进行识别。

---

三、上述鉴权方式都有啥优缺点

用户名和密码：

• 优点：简单直接，广泛应用和理解。
• 缺点：容易遭受密码泄露、暴力破解等攻击；用户可能忘记密码。

令牌（Token）：

• 访问令牌（Access Token）：

• • 优点：灵活，可设定有效期和权限范围；不需要频繁重新登录。
  • 缺点：令牌可能被窃取或滥用。

• JSON Web Token（JWT）：

• • 优点：可自包含信息，易于传输和验证；去中心化。
  • 缺点：一旦签发，难以撤销（除非有效期到）。

会话（Session）：

• 优点：相对简单实现。
• 缺点：服务器需要存储会话信息，增加存储负担；如果会话 ID 泄露存在风险。

数字证书：

• 优点：安全性高，难以伪造。
• 缺点：部署和管理相对复杂，成本较高。

单点登录（SSO）：

• 优点：提升用户体验，减少登录次数；便于集中管理。
• 缺点：单点故障可能影响多个系统；安全风险集中。

生物识别：

• 优点：便捷，难以模仿。
• 缺点：存在识别错误的可能；可能涉及隐私问题；设备成本较高。

OAuth：

• 优点：适合第三方授权场景，安全隔离较好。
• 缺点：流程相对复杂，理解和实施难度较大。

API 密钥：

• 优点：简单有效。
• 缺点：密钥一旦泄露影响较大；密钥管理较麻烦。

短信验证码：

• 优点：验证实时性较好。
• 缺点：依赖短信通道，可能存在延迟或收不到的情况；可能被短信嗅探等攻击。

硬件特征码：

• 优点：与特定设备绑定，较难伪造。
• 缺点：用户更换设备可能带来不便；可能存在误判。

---

四、通过token进行身份验证（鉴权）的流程是什么，给出代码实例

以下是一个使用 JWT（JSON Web Token）进行身份验证的基本流程示例，这里使用 Node.js 和 jsonwebtoken 库：

const jwt = require('jsonwebtoken');

// 生成 token
const generateToken = (user) => {
  return jwt.sign({ id: user.id },'secretKey', { expiresIn: '1h' });
};

// 验证 token
const verifyToken = (token) => {
  try {
    return jwt.verify(token,'secretKey');
  } catch (error) {
    return null;
  }
};

// 示例用法
const user = { id: 1 };
const token = generateToken(user);
console.log('Generated Token:', token);

const verified = verifyToken(token);
if (verified) {
  console.log('Token verified successfully');
} else {
  console.log('Token verification failed');
}

大致流程如下：

1. 在用户登录成功等合适时机，使用特定信息（如用户 ID）和密钥生成一个 token。
2. 客户端在后续请求中携带 token。
3. 服务器接收到请求后，提取 token 并使用相同密钥进行验证，以确定用户身份。

---

相关阅读

客户端与服务器通讯详解（1）：定义、流程、协议

客户端与服务器通讯详解（2）：12种常见通讯方式

客户端与服务器通讯详解（3）：如何选择合适的通讯方式

客户端与服务器通讯详解（4）：支持实时通讯的协议

客户端与服务器通讯详解（5）：安全威胁与应对策略

贝格前端工场→10年经验的前端开发和UI设计老司机，1400+项目交付经历，专注互联网产品前台部分的研究、设计与开发。关注我，带您了解最新的观点、技术、干货，如有需求可私信。