你确定不了解一下常见的认证机制吗?

最新推荐文章于 2024-07-14 15:37:30 发布
最新推荐文章于 2024-07-14 15:37:30 发布
阅读量114 收藏
点赞数
文章标签: 网络 分布式 python java jwt
原文链接:https://mp.weixin.qq.com/s?__biz=MzUxNzI3MjM1NA==&mid=2247496308&idx=1&sn=6026f833655107eb760f0cb92b826594&chksm=f9981439ceef9d2fdde24f94044ba8c3648b1d9456e4e2f25fcea28189e26a15b835b541a440&scene=126&&sessionid=0
版权

84024f6c069a8f818c121eb7870f9ce6.png

点击上方蓝字关注我们

1

HTTP Basic Auth

HTTP Basic Auth 就是每次请求API时都需要提供用户的账号和密码来验证用户身份,是配合 RESTful API 使用的最简单的认证方式(服务端不保存用户状态),但由于有把账号和密码暴露给第三方客户端的风险,因此在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth。

44fce93643f6a1ca832a2958157d2b5b.png

2

Cookie Auth

Cookie认证机制就是为一次请求认证在服务端创建一个Session对象,同时在客户端(浏览器)创建了一个Cookie对象,通过客户端发送请求时携带的Cookie对象与服务端的session对象匹配来实现状态管理。Cookie认证机制是一种传统非 RESTful API 风格的的认证方式。当关闭浏览器的时候,客户端的Cookie会被删除。也可以通过修改Cookie的到期时间使Cookie在一定时间内有效。

优点:信息存储在服务端,相对安全。实现简单,session技术属于servlet规范。

缺点:不符合 RESTful API 风格,在服务端存储了用户状态,维护session需要消耗资源。分布式环境中需要处理session共享问题。

01fe494835fe6813e18d6b4caa9385ce.png

3

OAuth

OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一web服务上存储的私密资源(如照片,视频,联系人列表),而无需将账号和密码提供给第三方应用。OAuth允许用户提供一个令牌来访问用户存放在特定服务提供者的数据,而不是使用账号和密码来访问。每一个令牌授权一个特定的第三方系统(如视频编辑网站)在特定的时段内(如接下来的2小时内)访问特定的资源(如某一相册中的视频)。这样OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。OAuth 认证机制不符合 RESTful API 风格,需要额外的认证服务器,成本高。基于OAuth的认证机制适用于个人消费者类的互联网产品,如社交类APP等应用,但是不太适合拥有自有认证权限管理的企业应用。

dc402ce1c405e754a69f6fb2c30e39b1.png

4

Token Auth

Token Auth是一种符合 RESTful API 风格的认证机制。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。

Token Auth认证机制的流程:

1、客户端使用账号和密码向服务端发送登录请求。

2、服务端收到请求后去验证账号和密码。

3、账号和密码验证成功,服务端会签发一个Token令牌,并将这个Token令牌发送到客户端。

4、客户端收到Token令牌后会将其保存在Cookie中。

5、客户端每次向服务端请求资源时,都要携带服务端签发的Token令牌(放在请求头)。

6、服务端收到请求后会去验证客户端请求携带的Token令牌,如果Token令牌验证成功,就向客户端返回请求的数据。

Token Auth认证机制相对于Cookie Auth认证机制的好处:

1、支持跨域访问:Cookie是不允许跨域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输。

2、无状态(服务端可扩展):Token机制在服务端不需要存储session信息,因为Token令牌自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储用户状态信息。

3、更适用CDN:可以通过内容分发网络请求服务端的所有资料(如javascript,HTML,图片等),而服务端只要提供API即可。

4、去耦:不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在API被调用的时候,可以进行Token生成调用即可。更适用于分布式环境。

5、更适用于移动应用:当客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。

6、CSRF:因为不再依赖于Cookie,所以不需要考虑对CSRF(跨站请求伪造)的防范。

7、性能:一次网络往返时间(通过数据库查询session信息)比做一次MACSHA256计算的Token验证和解析要费时得多。

8、不需要为登录页面做特殊处理:如果使用Protractor做功能测试的时候,不再需要为登录页面做特殊处理。

ed43c79409c309a1882f13178495c3e7.png

5

基于JWT的Token认证

JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。使用可逆的加密方式,为了服务端能解析得到客户端发送Token令牌中的用户信息。

JWT组成:一个JWT实际上就是一个字符串,它由三部分组成:

1、头部 Header:头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

2、载荷 playload:存放有效信息的地方,标准中注册的声明、公共的声明、私有的声明。

3、签证 signature:签证信息,这个签证信息由三部分组成:header (base64后) 、payload (base64后)、secret。签证信息需要base64加密后的header和base64加密后的payload使用.连接组成的字符串,然后通过header中声明的加密方式进行加盐secret组合加密。

91cbf61512a5dc9999da64f73f6d8f78.png

原文链接:

https://blog.csdn.net/qq_42141141/article/details/123600136

6544b98332768f367cfd2bb46826b9be.png

点个在看你最好看

f45b1e24ad279c3b3a8b8fb3cb359ac1.png

IT学习小镇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你真的了解接口测试吗?
萌笑天的博客
12-03 1万+
本文章详细介绍接口测试的基础理论知识、为什么要测试接口,测试接口有哪些好处以及相关的扩展知识和疑问解答 文章目录一、前言二、接口测试基础理论三、为什么要进行接口测试四、接口测试有哪些好处五、如何开展接口测试六、知识小课堂
扫码登录的原理你真的了解吗?
Always-Learning
04-23 1393
为什么要了解扫码登录的原理? 通过扫面二维码进行登录已经成为了一种常见登录方式,这种方式可以在不输入用户名和密码的情况下快速的实现登录,其背后涉及到PC端、移动端和服务端三者之间的交互,无论是对前端开发者还是后端开发者而言,掌握了扫码登录的原理都可以很好的帮助我们设计一套登录机制为我们自己的应用服务。 扫码登录的主要阶段 阶段1:待扫描阶段 待扫描阶段是PC端和服务端交互的过程,主要包括以下几个步骤: PC端携带着自身的设备信息,向服务端发送一个请求获取二维码信息。 服务端生成一个唯一的二维码I
单点登录SSO
dengs11111的博客
06-24 297
SSO单点登录(用户只需登录一次,就可以访问互相信任的系统) 通过一次性登录,当用户在身认证器上登录以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理 单点登录的设计策略 步骤 1.用户输入用户名和密码点击登录按钮时,将数据交给jt-web服务器 2.jt-web服务器接收数据之后,将数据传给jt-sso进行
谈谈单点登录
YXZL的博客
06-21 823
谈谈单点登录? 1. 什么是单点登录? 2. 单点登录的实现; 3. 单点登录的延续性? 4. 踢掉线与挤掉线的实现; 什么是单点登录? 单点登录是在微服务中的一种安全校验方式; 在微服务中,根据功能和需求将项目划分成多个子服务;在最初的单体架构中,我们使用的是Session的方式实现的安全认证。 Session的认证: 浏览器输入用户名密码;传入后台服务器,服务器根据用户名密码,去往数据库中查找用户数据进行校验,成功则返回数据,此时将用户信息存入session中,下次用户访问时,先判断session中有没
http authorization 基本认证
极客神殿
11-14 2853
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢? 阅读目录 什么是HTTP基本认证 HTTP基本认证的过程 HTTP基本认证的优点 每次都要进行认证 HTTP基本认证和HTTPS一起使用就很安全 HTTP OAuth认证 其他认证 客户端的使用 什么是HTTP基本认...
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4288
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
你还不了解基于session的授权认证吗???速来
BUG制造者:图图 <p>这是一个P标签</p>
05-25 5778
前言 在漫长的开发过程中,权限认证是一个永恒不变的话题,随着技术的发展,从以前的基于sessionId的方式,变为如今的token方式。session常用于单体应用,后来由于微服务的兴起,分布式应用占了很大的一部分。本文将为大家介绍基于session的单体应用授权认证方式。后续会介绍基于token的认证方式。 什么是认证 输入账号和密码登录的过程就是认证,看是否合法。认证是为了保护系统的隐私数据和资源。用户的身份合法才能访问该系统资源。 用户认证就是判断一个用户身份是否合法的过程,合法继续访问,不合.
你真的了解http,https吗?万字长文带你深入了解http!
Elegance never goes out of fashion
08-20 2万+
HTTP协议定义Web客户端如何从Web服务器请求Web页面,以及服务器如何把Web页面传送给客户端。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求报文,请求报文包含请求的方法、URL、协议版本、请求头部和请求数据。服务器以一个状态行作为响应,响应的内容包括协议的版本、成功或者错误代码、服务器信息、响应头部和响应数据。
Java面试不通过?这篇文章你看了吗?
热门推荐
程序羊的博客
08-06 4万+
Java面试题千千万,个人觉得没有最好的答案,只有最适合的答案;本文的宗旨是为读者朋友们整理一份详细而又权威的面试清单。 此文是前段时间本人根据部分文章汇总压在草稿箱(由于时间关系,忘了加上对应的原创链接,如有侵权,请联系本人删除,本人单纯秉着知识乐于分享的精神),今天发现在草稿箱,特发出来给大家,仅供参考。 注:本人才疏学浅,知识还在积累中,不能保证每个回答都满足各种等级的高手们,(由于一些技术的升级,部分答案不能保证实时同步准确,还请大家在阅读的时候多多留意)若发现有问题的话,请评论指出。.......
了解http和https的区别吗?
angula
04-16 2115
什么是http http是一种协议:超文本传输协议,是目前应用最广泛的一种协议,是一个客户端和服务器端请求和应答的标准tcp,用于从www服务器传输超文本到本地浏览器的传输协议 https是做什么的? https和http看着很像,其实,二者本就同出一源,也是一种超文本传输协议(安全套接字层超文本传输协议)是HTTP的安全版,以安全为目标的http通道。HTTP协议是以明文的方式发送内容,不提供任...
node实现后端服务器认证机制练习
02-11
你可以通过阅读和运行这些代码来深入理解每种方法的具体实现细节,并根据实际项目需求选择合适的认证机制。 总结来说,Node.js中的后端认证机制对于构建安全的Web应用程序至关重要。通过熟悉和实践session认证JWT...
身份认证系统申请表.docx
08-10
身份认证系统是一种安全机制,旨在确保用户身份的真实性和可靠性。在信息安全领域中,身份认证系统扮演着至关重要的角色。下面是对身份认证系统申请表的详细解释: 一、身份认证系统的重要性 身份认证系统是保证...
信息安全导论第5章身份认证
06-19
2. 认证不具有可传递性,即一次认证不能应用于其他场合。 3. 攻击者成功欺骗验证者的概率极低。 4. 计算有效性,保证认证过程的效率。 5. 通信有效性,确保信息交换的安全。 6. 秘密信息的安全存储,防止泄露。 ...
基于生物模式识别的网络身份认证研究
10-17
《基于生物模式识别的网络身份认证研究》 网络身份认证是现代计算机网络...未来的研究将进一步优化算法,提升生物识别的准确性和鲁棒性,同时探索更高级别的隐私保护机制,以构建更加安全、便捷的网络身份认证系统。
一个轻量级 Java 权限认证框架
04-22
Java权限认证框架是软件开发中不可或缺的部分,尤其是在构建复杂的企业级Web应用时。"一个轻量级 Java 权限认证框架"旨在简化鉴权过程,提高开发效率,并提供优雅的解决方案。下面将深入探讨该框架涉及的核心概念和...
从零开始做题:logtime
weixin_44626085的博客
07-10 250
给出1个pcapng文件。
vue2 实现原生 WebSocket
weixin_38797742的博客
07-11 357
原生WebSocket: new WebSocket。
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 666
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
hmallox勒索病毒科普:了解其威胁与防御策略
最新发布
safe130_的博客
07-14 479
halo,.360,.faust,.2700, .eking,elbie, .wis,.mkp,.malox,.rmallox,.mallox,.hmallox, .anony, .ma1x0,.live,.carver,.locked,_locked,.locked1,.svh , lockbit, .src, .secret , .datah, .BEAST,.DevicData-P, .kat6.l6st6r 等等,:用户从非官方或不受信任的源下载软件时,可能会无意中安装带有勒索病毒的软件包。
第5章 认证授权v3.1
10-29
认证授权v3.1章节详细阐述了如何在项目中建立安全、高效的身份验证和权限控制机制,以保护系统资源并提供优质的用户体验。这涉及到统一认证服务、单点登录实施以及第三方登录选项,都是现代Web应用程序设计的关键...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值