授权 Authorization
OAuth 行业标准授权协议
Open Authorization RFC6749中文翻译 OAuth2
授权第三方应用获取有限的权限
有时效性的令牌token
An open protocol to allow secure API authorization in a simple and standard method from web, mobile and desktop applications.
特点
安全
第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权 没有涉及到用户密钥等信息,更安全更灵活;
开放
任何服务提供商都可以实现OAUTH认证,任何软件开发商都可以使用OAUTH;
简易
多种语言开发包 不管是OAUTH服务提供者还是应用开发者,都很易于理解与使用;
使用
- 获取未授权的Request Token
Request Token URL: 获取未授权的Request Token服务地址;
- 获取用户授权的Request Token
User Authorization URL: 获取用户授权的Request Token服务地址;
- 用授权的Request Token换取Access Token
Access Token URL: 用授权的Request Token换取Access Token的服务地址;
SSO
SingleSign-On 单点登录。
解决多个相关自系统之间的登陆问题。是一种帮助用户快捷访问网络中多个站点的安全通信技术。
单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。单点登录使用户可以快速访问网络,从而提高工作效率,同时也能帮助提高系统的安全性。
功能
系统共享
统一的认证系统,进行登录认证,认证成功之后生成统一的认证标志(ticket),返还给用户,校验有效性。
信息识别
对ticket进行识别和提取,通过与认证系统的通讯,判断用户登录状态。
认证 Authentication
Tocken可防止CSRF(Cross Site Request Forgery )跨站请求伪造,误点攻击链接,无法避免跨站脚本攻击 XSS。
cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session;
session会在一定时间内保存在服务器上。当访问增多,会比较占用服务器的性能。考虑到减轻服务器性能方面,应当使用COOKIE;
session和cookie的区别:cookie数据存放在客户的浏览器(客户端)上,cookie存储在本地,根据域名和路径的不同存储不同的信息,只能存放数字,字符串,不能存放对象。session数据放在服务器上,但是服务端的session的实现对客户端的cookie有依赖关系的;
Cookie
HTTP Cookie(也叫 Web Cookie或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能。
浏览器内真实文件。
使用场景
会话状态管理
如用户登录状态、购物车、游戏分数或其它需要记录的信息
个性化设置
如用户自定义设置、主题等
浏览器行为跟踪
如跟踪分析用户行为等
Session
req.getSession
从Cookie里获得JSESSIONID (请求头中获得,第一次创建新的Session setMaxActiveInterval) 鉴别用户身份 保存一份session信息在服务器端
可存放键值对
Session 代表着服务器和客户端一次会话的过程。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当客户端关闭会话,或者 Session 超时失效时会话结束。session生命周期从getSession开始,默认在没人请求时30分钟后结束,是容器保存的一个对象
Token
不需要自己存放Session信息就能实现身份验证。
客户端保存服务端返回给客户的Token。
验证真实性 扩展性提升
1178
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
