一;什么是身份认证?
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。
二;为什么需要身份认证?
身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户。例如,你去找快递员取快递,你要怎么证明这份快递是你的。
三;Session认证机制
1.HTTP请求的无状态性
HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。
2.使用 Cookie 突破 HTTP 请求的无状态性
2.1 什么是 Cookie
Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一个值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成。
不同域名下的 Cookie 各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。
2.2 Cookie的四大特点
自动发送,域名独立,过期时限,4KB大小限制
3.Cookie 在身份认证中的作用
客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的 Cookie,客户端会自动将 Cookie 保存在浏览器中。
随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的 Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。
4. Cookie 不具有安全性
由于 Cookie 是存储在浏览器中的,而且浏览器也提供了读写 Cookie 的 API,因此 Cookie 很容易被伪造,不具有安全性。因此不建议服务器将重要的隐私数据,通过 Cookie 的形式发送给浏览器。
5. 提高身份认证的安全性---Session认证机制
6.Session认证的局限性
Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。
7.Cookie与Session的区别
(1)存储位置不同:
Cookie 存储在浏览器当中,Session 存储在服务器当中。
(2)安全性不同
Cookie 存储在浏览器中,浏览器提供获取和修改 Cookie 的API,使得Cookie很容易遭到篡改,而 Session 保存在服务器当中,相对Cookie更加安全。
(3)有效期不同
Cookie 的有效期很久,甚至可以是永久,但是Session为了减轻服务器的压力,会定期清除长时间没有被访问过的(超时的)Session以减轻服务器压力。
(4)对服务器压力不同
Session保存在服务器,每个用户都有一个Session,如果访问量过大,用户过多,会对服务器造成压力。Cookie保存在客户端,不占用服务器资源。
四;JWT认证机制
1.JWT的工作原理
总结:用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。
2.JWT的组成部分
JWT 的三个组成部分,从前到后分别是 Header、Payload、Signature。
Payload 部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。
Header 和 Signature 是安全性相关的部分,只是为了保证 Token 的安全性。
3. JWT 的使用方式
客户端收到服务器返回的 JWT 之后,通常会将它储存在 localStorage 或 sessionStorage 中。
此后,客户端每次与服务器通信,都要带上这个 JWT 的字符串,从而进行身份认证。推荐的做法是把 JWT 放在 HTTP 请求头的 Authorization 字段中。
2553
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
