稍微了解下这几个概念,以备面试时使用:
认证/授权/鉴权/权限控制/越权(水平/垂直)
1、认证就是识别身份的过程,登陆的过程
2、授权就是分配操作权限,授予权限的过程
3、鉴权就是获取认证信息,校验登陆并获取信息
4、权限控制就是访问控制,校验权限的过程
5、水平越权就是跨用户数据访问,比如用A钥匙开B锁
6、垂直越权就是该用户下权限控制漏洞,比如查询权限可以转账
鉴权有几种:
1.HTTP Basic Authentication:用的比较少,一般用在内网系统。
2.session-cookie:一般用在web系统上
3.Token:适用于app鉴权,微信开发平台access token也是差不多这种思路。
4.OAuth:这个是趋势吧,用于接入微信、QQ等第三方平台登录,降低用户使用门槛。