Token主流认证方式及其应用场景

于 2025-01-11 22:10:27 发布
阅读量951 收藏 13
点赞数 19
分类专栏: 随便放吧 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ray_paul1/article/details/145083392
版权

1. Basic Authentication(基础认证)

  • 格式Authorization: Basic <Base64(username:password)>
  • 说明
    • 基础认证是一种简单的认证方式,客户端在请求头中直接发送用户名和密码(经过 Base64 编码)。
  • 使用场景
    • 开发环境中快速测试。
    • 低安全需求或内部服务的简单认证。
  • 缺点
    • 用户名和密码容易被窃取(即使经过 Base64 编码,也很容易被解码)。
    • 每次请求都发送用户名和密码,安全性较低。
  • 示例
    Authorization: Basic YWRtaW46cGFzc3dvcmQ=
    YWRtaW46cGFzc3dvcmQ=admin:password 的 Base64 编码)

2. Bearer Token

  • 格式Authorization: Bearer <token>
  • 说明
    • Bearer Token 是 OAuth 2.0 中常用的一种认证方式,强调 "持票者" 即可访问资源,无需其他凭据。
    • Token 通常是由后端生成并颁发的,例如 JWT(JSON Web Token)。
  • 使用场景
    • 前后端分离的 Web 应用。
    • 需要较高安全性的系统。
  • 优点
    • 不用每次发送用户名和密码。
    • Token 可以设计为有有效期,增强安全性。
  • 示例
    Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

3. Digest Authentication(摘要认证)

  • 格式Authorization: Digest <digest-string>
  • 说明
    • Digest Authentication 是 HTTP 认证的一种方式,利用摘要算法(如 MD5)对用户名、密码和请求数据生成摘要信息,避免直接传输明文密码。
  • 使用场景
    • 比 Basic Authentication 更安全的简单认证场景。
  • 缺点
    • 实现较复杂。
    • 安全性较现代 Token 方案(如 Bearer Token)低。
  • 示例
    Authorization: Digest username="user",
              realm="example.com",
              uri="/protected",
              response="5e98362d1c..."

4. API Key(API 密钥)

  • 格式
    • 通常直接附加到 URL、请求头或请求体中:
      • URL 参数:https://api.example.com/resource?api_key=123456
      • HTTP 头:Authorization: Api-Key 123456
      • 请求体:{ "api_key": "123456" }
  • 说明
    • API Key 是一种简单的身份验证方法,常用于访问公开的 API 服务。
    • API Key 通常由服务提供方生成,分发给客户端。
  • 使用场景
    • 第三方服务访问(如 Google Maps API)。
    • 应用程序间通信。
  • 优点
    • 实现简单。
  • 缺点
    • 如果 API Key 泄露,就可能被滥用。
  • 示例
    Authorization: Api-Key 123456

5. JWT(JSON Web Token)

  • 格式Authorization: Bearer <jwt>
  • 说明
    • JWT 是一种结构化的 Token,包含用户信息和签名,可以用来验证用户身份。
    • 它分为三部分(用点号 . 分隔):
      • Header:元数据(如算法类型)。
      • Payload:用户信息(如用户名、权限)。
      • Signature:签名,确保数据未被篡改。
  • 使用场景
    • 前后端分离。
    • 分布式系统中的无状态认证。
  • 优点
    • 无需服务器存储会话,Token 本身包含用户状态。
    • 支持加密和签名,安全性高。
  • 缺点
    • 如果 Token 被截获,仍可能被使用,需搭配 HTTPS。
  • 示例
    Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

6. OAuth(授权框架)

  • 格式Authorization: Bearer <token>(一般用 Bearer Token 实现)
  • 说明
    • OAuth 是一种授权框架,常用于第三方应用获取用户授权。
    • 流程
      1. 用户通过客户端请求授权。
      2. 授权服务器颁发 Token。
      3. 客户端使用 Token 访问资源。
  • 使用场景
    • 社交登录(如使用 Google、Facebook 登录)。
    • 第三方授权(如让应用访问你的 Google Drive 文件)。
  • 优点
    • 用户无需泄露用户名和密码给第三方应用。
  • 缺点
    • 实现较复杂。

7. Session ID

  • 格式
    • 通常通过 Cookie 传递: 
      Cookie: session_id=abc123xyz
  • 说明
    • 传统的身份验证方式,用户登录后,服务器生成一个唯一的会话 ID 并存储在服务器端。
    • 客户端通过 Cookie 在后续请求中携带这个 Session ID。
  • 使用场景
    • 传统 Web 应用(如 JSP、PHP)。
  • 优点
    • 实现简单。
  • 缺点
    • 需要服务器存储会话状态(占用内存)。
    • 分布式系统中扩展性差。
  • 示例
    Cookie: session_id=1234567890

8. Custom Token

  • 格式:完全自定义,例如: 
    Authorization: CustomToken abc123xyz
  • 说明
    • 开发者可以设计自己的 Token 格式和认证机制。
    • 例如:Token 包含用户名和时间戳,通过特定算法加密。
  • 使用场景
    • 特殊业务场景。
  • 优点
    • 灵活,可根据需求定制。
  • 缺点
    • 不符合标准化,兼容性差。

总结

常见的认证方式对比
认证方式优点缺点场景
Bearer Token安全、支持无状态认证Token 泄露后可能被滥用前后端分离、分布式系统
Basic Auth简单易用安全性差,每次请求都带用户名密码开发测试
Digest Auth密码不以明文传输实现复杂、现代场景较少用较低安全需求的服务
API Key简单易用Key 泄露后无法撤销访问第三方服务(如 API)
JWT支持无状态认证,包含用户信息Token 长度较长,可能增加网络开销前后端分离、移动应用
Session ID传统 Web 应用的核心方案需服务器存储会话状态,扩展性差传统服务器端渲染
选择建议
  • 如果你是现代前后端分离项目,推荐使用 JWT(JSON Web Token)
  • 如果是访问第三方 API,推荐使用 Bearer Token 或 API Key
  • 如果是传统服务器渲染的应用(如 PHP、Django),可以用 Session ID
Chapter10:接口权限管理-Token认证
天然玩家的博客
07-03 1384
说明: 项目地址在文章最后 本章代码所在分支为chapter10 代码规则:每章一个分支 后一章代码继承前一章代码 1 接口权限 2 配置 2.1 路由拦截 拦截所有接口,授权/**/api/v1/**接口,即保证前面8章所有接口不用token即可测试。 路由拦截使用的实例在注入Bean之前,因此需要先将请求拦截注入Bean,方可在请求拦截中正常注入Bean。 package com.monkey.tutorial.common.config; import org.springframework.
解析Web开发中的几种认证方法及应用场景
最新发布
星哥玩云
01-22 863
令牌认证是一种安全协议,通过使用加密令牌来验证用户的身份。与传统的用户名和密码相比,令牌认证提供了一个额外的安全层,可以更有效地保护用户的数据。简单来说,令牌就像是一张通行证。当你成功登录一个系统后,系统会给你颁发一个独特的令牌。这个令牌包含了你的身份信息,但它不是明文,而是经过加密的。在后续的请求中,你只需要携带这个令牌,系统就能识别你的身份,而不需要你每次都重新输入密码。
接口的token验证
weixin_30374009的博客
06-06 1454
token和RBAC的区别 就像上图所描述的一样,当前用户拿到授权码才可以有使用平台的权限,而我们之前使用的RBAC控制,是用户授权之后才发挥作用的。 Token在接口上的应用 我先说一下,什么是三端分离? 从上面的图我们可以看到,什么是三段分离,也就是说我们把客户端、服务器、数据端完全分开,他们三者各自部署在不同的服务器上。这样做的好处是:对于类似功能模块,服务端可以...
基于token认证
极客神殿
02-28 636
传统的认证系统 用户在登录域输入用户名和密码,然后点击登录 请求发送之后,通过在后端查询数据库验证用户的合法性。如果请求有效,使用在数据库得到的信息创建一个session,然后在响应头信息中返回这个session的信息,目的是把这个session ID存储在浏览器中 在访问应用中受限制的后端服务器提供这个session信息 如果session信息有效,允许用户访问受限制的后端服务器,并且把渲染好的HTML内容返回 缺点 无法在移动端共享服务器创建的session和cookie 在web端渲染好的HT
Token 认证
2301_79544047的博客
01-12 1519
创作灵感记录一下简单的token使用,
40.TokenAuthentication认证
木子七的博客
10-09 281
TokenAuthentication认证介绍 TokenAuthentication是一种简单的基于令牌的HTTP认证 适用于CS架构,例如普通的桌面应用程序或移动客户端 TokenAuthentication认证使用 # 将rest_framework.authtoken 添加到 INSTALLED_APPS INSTALLED_APPS = ( 'rest_framework.a...
应用的认证和授权(基本认证、session-cookie认证token认证及OAuth2.0授权)
you are sherlocked by me!
04-13 1854
前后端常见鉴权方式: 基于cookie认证: HTTP Basic Authentication基本认证 session认证 token(令牌)认证 JWT(JSON Web Token)
理解基于Token的WEB后台认证机制
本文将深入探讨这些认证机制及其应用场景。 HTTPBasicAuth是最简单的认证方式,它需要在每次请求时提供用户名和密码,但这可能导致敏感信息泄露,因此在开放的RESTful API中不推荐使用。 OAuth是一种开放的授权...
基于JS的token无感刷新
08-07
使用场景及目标 场景:用户在使用Web应用或服务时,经常需要保持会话状态,进行长时间的操作或数据交互。 目标: 减少用户因token过期而需要重新登录的次数,提升用户体验。 通过自动化的token刷新流程,降低系统因...
【收藏版】常用中间件及业务场景梳理汇总
m0_57021623的博客
06-14 2306
中间件是指在分布式应用系统中,介于操作系统和应用程序之间的一类软件,为应用程序提供服务并简化其开发。中间件通常用于实现各种业务场景,例如数据处理、消息传递、负载均衡、安全管理等。
java token认证机制_Dubbo服务接口认证-Token机制实战三之验证token
weixin_26805451的博客
02-25 1080
“如何发布服务/接口;如何调用别人服务/接口”的场景在当前互联网应用中并不少见,传统的调用方式就有rmi以及基于soap的webservice等方式。而在当前微服务、分布式时代,更多的则有spring cloud以及dubbo+zookeeper等方式,相对而言,sc更适用于大型体系的互联网应用,而针对微型、小而简的独立服务或者项目而言,dubbo算是应用相当广泛的方式了 !本课程讲述了当前微服务...
什么是token认证
weixin_47427787的博客
07-30 3234
token认证
rest-framework源码解析--TokenAuthentication
Sthons的博客
09-04 498
首先,在token验证模块中,我们看到的是这一函数: def get_model(self): if self.model is not None: return self.model from rest_framework.authtoken.models import Token return Token 这里我们先不看 if 语句,直接去看 Token (如下图) class Token(...
四、【Django】基于Jwt的token认证(登录接口)
Ataoker的博客
07-18 6467
django 使用jwt token的东西来进行认证
6、DRF实战总结:认证及使用Token认证,代码示例详解(附源码)
SteveRocket's-Blog
04-08 3359
身份验证是将传入的请求对象(request)与一组标识凭据(例如请求来自用户或其签名的令牌token)相关联的机制。REST framework 提供了一些开箱即用的身份验证方案,并且还允许实现自定义方案。 DRF的每个认证方案实际上是一个类。可以在视图中使用一个或多个认证方案类。REST framework将尝试使用列表中的每个类进行身份验证,并使用成功完成验证的第一个类返回的元组设置 request.user 和request.auth。
令牌身份验证(Token-Based Authentication)的原理及使用例子
lunan的博客
10-14 1771
令牌身份验证是一种安全、高效的无状态身份验证方式,适合在现代 Web 应用和移动应用中使用。通过 JWT,我们可以将用户信息安全地封装在令牌中,并通过令牌实现跨服务器的身份验证。梧桐数据库(WuTongDB)是基于 Apache HAWQ 打造的一款分布式 OLAP 数据库。产品通过存算分离架构提供高可用、高可靠、高扩展能力,实现了向量化计算引擎提供极速数据分析能力,通过多异构存储关联查询实现湖仓融合能力,可以帮助企业用户轻松构建核心数仓和湖仓一体数据平台。
前端应该学习的 Token 登录认证知识
04-12 535
使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:1.前端使用用户名跟密码请求首次登录2.后服务端收到请求,去验证用户名与密码是否正确3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个Token,再把这个Token发送给前端4.前端收到 返回的Token,把它存储起来,比如放在Cookie里或者里resources?: string[];5.前端每次路由跳转,判断有无token,没有则跳转到登录页。有则请求获取用户信息,改变登录状态;
请介绍一下token的概念1. 认证令牌(Authentication Token)2. 访问令牌(Access Token)3. 加密令牌(Crypto Token)4. 代码令牌(
m0_62574889的博客
02-18 2822
请介绍一下token的概念 1. 认证令牌(Authentication Token) 2. 访问令牌(Access Token) 3. 加密令牌(Crypto Token) 4. 代码令牌(Code Token) 5. 网络令牌(Network Token) 6. 数字货币和区块链中的Token 请介绍一下在大语言模型中token的含义 1. Token的种类 2. Tokenization(分词) 3. 为什么使用Token 4. Token Embeddings 5. 应用
全网超细--Java实现Token登录验证步骤实现
欢迎来到快乐懒洋洋的博客
05-08 6313
2、后端核对用户名和密码成功后,将包含用户信息的数据作为JWT的Payload,将其与JWT Header分别进行Base64编码拼接后签名,形成一个JWT Token,形成的JWT Token就是一个如同lll.zzz.xxx的字符串。5、后端检查前端传过来的JWT Token,验证其有效性,比如检查签名是否正确、是否过期、token的接收方是否是自己等等。6、验证通过后,后端解析出JWT Token中包含的用户信息,进行其他逻辑操作(一般是根据用户信息得到权限等),返回结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值