在前后端分离的常见应用中,后端主要作为model层为前端提供数据访问API,为保证数据安全为保证数据安全可靠地在用户与服务端之间传输命令,由此服务端的认证尤为重要 常见的服务端验证方法:
1、session认证,基于Cookie认证
2、JWT(JSON web token): token令牌认证(主流)
1、cookie + session Auth理解
该方式特点分析 cookie 客户端运行,session在服务端运行,而且cookie存储的数量大小有限,一般最大4-5kb,当超过此大小时,数据会被截断或者丢失,当用户创建登录对象时,可能创建大量的session对象形成session 池,保留在服务器,可能导致服务器无法正常运行, 客户端可以通过cookie接收来自服务端器的发送的数据,cookie信息客户端可见,在一些原生平台不支持cookie而且cookie存储sessionID存在一定的安全隐患 如:XSS 等 当然因为http协议为无状态的,通过cookie和session,可以克服此缺陷。
2、JWT token认证令牌
jwt相关组成
jwt由链接的3部分组成 1、经过Base64编码的header 2、经过 Base64 编码的 Payload 3、$Signature。它由 Header 指定的算法 HS256 加密产生。该算法有两个参数,第一个参数是经过 Base64 分别编码的 Header 及 Payload 通过 . 连接组成的字符串,第二个参数是生成的密钥,由服务器保存
JWT特点介绍
1、体积小传输,传输速度快
2、传输方式多样: header url post (params)传输
3、严谨的结构化,即payload包含了用户认证的相关信息
4、充分依赖无状态 API ,契合 RESTful 设计原则
5、易于实现cdn,将静态资源分布式管理,在传统的 session 验证中,服务端必须保存 session ID,用于与用户传过来的 cookie 验证。而一开始 sessionID 只会保存在一台服务器上,所以只能由一台 server 应答,就算其他服务器有空闲也无法应答,无法充分利用到分布式服务器的优点。 JWT 依赖的是在客户端本地保存验证信息,不需要利用服务器保存的信息来验证,所以任意一台服务器都可以应答,服务器的资源也能被较好地利用。
6 验证解耦,随处生成,即一次生成,永久使用
JWT安全空间与扩展思考
1、在客服端应该采用什么来存储JWT? 可以通过localStorage, cookie, sessionStorage来储存JWT。但是由于sessionStorage和localStorage都能被js访问,容易受到Xss攻击。当用set-Cookie来传输token时,可指定httpOnly 防止js读取,指定secure,来保证token只在https下传输,但是这种存储方式不符合restful最佳实践,也容易送到csrf攻击。
2、jwt 刷新问题 ,可通过access Token 和refresh Token 更新token值。 3、为满足不同API被不同APP或者客户端使用,而且使用方式不同可配合单点登录或者OAuth2.0使用。(暂没实现,不散播谣言)
1601
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
