基本认证、Token、OAuth2、API Key四种认证对比

于 2024-07-23 16:19:17 发布
阅读量1.2k 收藏 13
点赞数 12
文章标签: Java springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43657722/article/details/140123061
版权

基本认证、Token、OAuth2、API Key四种认证对比

在当今数字化的世界中,认证机制是保障系统安全和数据隐私的关键环节。基本认证、Token、OAuth2 和 API Key 作为常见的认证方式,各自具有独特的特点和适用场景。为了帮助您更好地理解它们之间的差异和优势,我们将从原理、安全性、复杂度、性能以及使用场景等多个方面进行详细的对比分析。通过这样的对比,您能够根据实际需求选择最适合您项目或应用的认证方式,从而构建一个安全可靠、高效便捷的系统环境。

基本认证

基本认证是最为简单的认证方式,一共包含 4 个步骤:
步骤一:客户端请求资源。
步骤二:服务器收到客户端的请求后,向客户端请求用户名和密码。
步骤三:客户端在请求头中携带用户名和密码。例如:请求头的 key 为 basic,value 为{username:admin,password:123456},然后将 value 的值进行 base64 编码。
步骤四:服务器接收请求,从请求头中解析 basic 的值,将 base64 还原,解析出用户名和密码,比对通过后把资源返回给客户端。

在这里插入图片描述

Token认证

Token 认证的步骤如下:
步骤一:客户端输入用户名和密码进行登录,此时调用服务端的认证接口,服务器认证通过后将生成令牌,其中最常见的令牌为 JWT。
步骤二:令牌被返回给客户端,客户端对令牌进行存储。
步骤三:后续客户端的请求会携带上 token,服务端会对令牌的有效性进行校验。
步骤四:若令牌有效,表明用户已登录过,此时服务器会返回资源。

在这里插入图片描述

OAuth2认证

OAuth2 认证的步骤如下:
步骤一:客户端输入用户名和密码向用户服务发出请求。
步骤二:用户服务通过后返回一个授权码。
步骤三:客户端获取授权码后向认证服务发起请求。
步骤四:认证服务依据授权码返回 token,通常为 JWT。
步骤五:请求资源时携带 token。
步骤六:返回资源。

在这里插入图片描述

API Key认证

API Key 认证方式通常应用于调用第三方 API,步骤如下:
步骤一:创建 Key,一般是在第三方平台上进行创建,例如阿里云。
步骤二:创建 Key 之后,会返回 Key 以及一个极为重要的秘钥。
步骤三:请求阿里云接口时携带 Key 和秘钥。
步骤四:阿里云返回资源。
在这里插入图片描述

使用场景

基本认证

  • 适用于内部网络或对安全性要求不高的小型应用。
  • 简单的 Web 服务,访问控制较为简单,且用户数量较少的情况。

Token

  • 移动应用与后端服务的交互,因为移动设备难以安全保存用户名和密码。
  • 单点登录(SSO)系统,方便用户在多个相关应用间无需重复登录。

OAuth2

  • 第三方应用访问用户在其他平台的资源,如社交媒体平台授权第三方应用获取用户的部分数据。
  • 大型互联网应用,支持多种授权模式以满足不同的业务需求。

API Key

  • 调用第三方提供的有限功能的 API 服务,如天气数据接口、地图服务接口等。
  • 企业内部不同系统之间的 API 调用,对访问控制有一定要求但不需要复杂的授权流程。

总结

认证方式原理安全性复杂度性能
基本认证客户端在请求头中携带用户名和密码,服务器进行校验较低,用户名和密码以明文或简单编码形式传输简单较差
Token服务器生成令牌返回给客户端,客户端后续请求携带令牌,服务器校验较高,令牌可包含多种信息且可设置有效期适中较好
OAuth2通过授权码获取令牌,涉及多个步骤和角色的交互高,多种授权模式适应不同场景复杂较好
API Key客户端请求时携带创建的 Key 和秘钥,服务端校验较高,Key 和秘钥需妥善保管简单较好
記億揺晃着的那天
关注
服务认证授权:使用OAuth2或者JWT方式,实现服务之间的认证和授权
AI天才研究院
09-27 873
在过去的一段时间里,越来越多的互联网公司开始尝试基于云计算架构部署服务。随着云计算带来的弹性、可靠、高效、按需付费等特性,这种方式越来越受到企业青睐。但同时也面临着安全问题。因为在这样一个开放的平台上,数据的隐私、访问控制、身份验证等方面都需要做好相应的措施才能保障用户数据安全。为了解决这些问题,云计算架构中常用的两种安全模式就是“共享密钥”(Shared Secret)模式和“OAuth2”模式。
oauth2 token为空拦截_配合OAuth2进行单设备登录拦截
weixin_39750410的博客
12-19 1148
要进行单设备登录,在其他地点登录后,本地的其他操作会被拦截返回登录界面。原理就在于要在登录时在redis中存储Session,进行操作时要进行Session的比对。具体实现,假设我们的OAuth 2的登录调用接口如下:共享Session,User模块跟OAuth模块都要设置@Configuration@EnableRedisHttpSessionpublic class SessionConfig...
关于JWT 和Token
热门推荐
架构专栏
07-04 1万+
关于 Token token 即使是在计算机领域中也有不同的定义,这里我们说的token,是指访问资源的凭据。例如当你调用Google API,需要带上有效 token 来表明你请求的合法性。这个 token 是 Google 给你的,这代表 Google 给你的授权使得你有能力访问 API 背后的资源。 请求 API 时携带 token 的方式也有很多种,通过 HTTP Header 或者 ...
ASP.NET Core 实现基于 ApiKey认证
dotNET跨平台
03-06 563
ASP.NET Core 实现基于 ApiKey认证Intro之前我们有介绍过实现基于请求头的认证,今天来实现一个基于 ApiKey认证方式,使用方式参见下面的示例Sample注册...
API keytoken 有什么区别?
最新发布
Jernnifer_mao的博客
03-13 1458
我们可以通过以下定义来区分 API keytokenAPI key — 通过代码调用 API 时提供的值,用于识别和授权调用者。它旨在以编程方式使用,通常是一长串字母和数字。token — 代表用户会话或特定权限的一段数据。供个人用户在有限的时间内使用。API keytoken 各有优缺点。一个并不比另一个更好。在决定要应用哪种身份验证机制时,请结合你的应用场景来进行选择。如果是用在用户会话的身份验证场景时,可以使用 token
《开放平台鉴权方式详解:OAuth 2.0、API Key、HTTP Basic Authentication》
weixin_42233867的博客
04-22 4819
当今开放平台已经成为了很多应用程序的核心,如何在保证用户数据安全的前提下,为第三方应用程序提供必要的数据访问权限,是开放平台鉴权方式设计的关键问题之一。本文将从OAuth 2.0API Key和三个方面来介绍开放平台主要鉴权方式。
ChatGPT 开放接口使用的认证方式 API Key Authentication 详解
路多辛的所思所想
02-07 2239
API Key 通常是一个字符串,由 API 提供者生成并提供给 API 调用者。当 API 调用者发起请求时,需要在请求中包含这个 API Key,服务端接收到请求后会检查这个 Key 是否有效。
REST接口安全认证方式对比:API Key vs OAuth令牌 vs JWT
王浩的技术博客
07-23 1万+
REST(Representational State Transfer)服务最初是作为一种极其简化的Web服务方法开始的。我们可以在纯文本文件中描述REST服务,并使用我们想要的任何消息格式,例如JSON,XML等。如果通过构建可以读取,写入和删除用户数据的API调用,使得API成为产品的强大扩展,几乎肯定是需要身份验证的。 下面我们将介绍三种流行的身份验证方法:API密钥,OAuth访问令牌...
使用新浪微博APIOAuth认证发布微博实例
10-24
整个认证流程包括用户授权、获取oauth_tokenoauth_token_secret、保存认证信息以及使用这些信息进行API调用。 其次,新浪微博API是一套供开发者调用的接口,通过这些接口,开发者可以实现与新浪微博平台的各种...
在Kong网关中使用OAuth2认证
锐意工作室
07-21 3327
文章目录在Kong网关中使用OAuth2认证前言在Kong上开启HTTPSOAuth2认证添加OAuth2插件创建Consumer的OAuth2 credential测试OAuth2 Authorization Flow获取Authorization Code获取Access Token用Access Token来调用接口用Refresh Token来重新获取Access Token与IDP集成参考文档 在Kong网关中使用OAuth2认证 前言 在Kong网关快速入门指南 和 在Kong网关中使用JWT认
web api JWT token认证
04-24
Web API JWT Token认证是现代Web应用中一种常见的安全机制,用于保护API接口免受未经授权的访问。JWT(JSON Web Tokens)是一种轻量级的身份验证和授权机制,它允许客户端通过在请求头中发送一个令牌来证明其身份。...
Python | 为FastAPI后端服务添加API Key认证(分别基于路径传参和header两种方式且swagger文档友好支持)
野生猿林仔的博客
09-18 2987
FastAPI,如其名所示,是一个极为高效的框架,特别适用于构建 API 后端服务。而在与其他网站的 API 接口进行交互时,API Key认证是一种非常普遍的安全机制。典型的例子是ChatGPT的接口,我们需要申请一个专属的API Key才能发起有效的请求。虽然我们可以直接在定义接口时自定义接收参数,但这种方式需要在每个接口都增加相同的代码,十分不优雅,且该方式不支持FastAPI自带的swagger文档友好显示。
API认证方法(OpenAPI标准解析 - 1)
baijiafan的博客
10-21 5393
服务开发干活,API认证方法总结
了解认证、授权、凭证、Cookie、Session、Token、JWT
suifeng0614的博客
01-03 1559
了解认证、授权、凭证、Cookie、Session、Token、JWT
cookie session token APi Key区别和联系
weixin_46383186的博客
04-20 668
cookie与token
OAuth认证实现机制及单点登录原理
李昊轩的博客
02-27 6667
OAuth认证 OAuth认证是为了做到第三方应用在未获取到用户敏感信息(如:账号密码、用户PIN等)的情况下,能让用户授权予他来访问开放平台(主要访问平台中的资源服务器Resource Server)中的资源接口。 其流程主要是: 用户首先要保持登录,即已认证通过的状态 第三方应用请求用户授权(我理解是弹出一个显示的操作界面让用户确认给第三方授权) 用户授权成功之后会向Authori...
从内到外,彻底搞懂sa-tokenOauth2.0的防线
todoitbo的博客
12-22 2496
本文将带你深入了解sa-tokenOauth2.0两大安全框架。通过对这两者的对比与结合应用场景,我们将揭示它们的强大功能,帮助你构建更安全、可靠的应用。无论你是初次接触还是已经使用过其中一个,都能在本文中找到实用的安全建议和最佳实践。
OAuth认证(完整版)
weixin_33824363的博客
11-15 221
拿人人的OAuth认证举例吧。其实这个认证就是原则上实现了程序开发人员和用户的用户名密码的分离,使密码不会被第三方获取。 只有被认证后,才能有权限调用人人网的接口方法。首先要去人人的开放平台去注册,各种信息都填好后,会给你一个API key和一个Secret key. 首先,浏览器跳转到人人指定的授权服务页面,"https://graph.renren.com/oauth/au...
常见的Token获取方式包括OAuth2授权、API Key等方式
05-18
是的,常见的Token获取方式包括OAuth2授权、API Key等方式。OAuth2授权是一种常见的用于认证和授权的标准协议,它允许用户授权第三方应用访问他们的数据,而无需将他们的用户名和密码提供给第三方应用。API Key则是一种简单的身份验证机制,通常用于对API进行身份验证和授权,以确保只有经过授权的应用程序才能使用API。两种方式都可以用于获取访问令牌(Token),以便应用程序访问受保护的资源。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值