前言
1.为什么需要身份认证?
为了确认当前所声称为某种身份的用户,确实是所声称的用户。
2.不同开发模式下的身份认证
对于服务端渲染和前后端分离这两种开发模式来说,分别有着不同的身份认证方案:
(1)服务端渲染推荐使用Session认证机制
(2)前后端分离推荐使用JWT认证机制
一、Session认证机制
1.HTTP协议的无状态性
指的是客户端的每次HTTP请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次HTTP请求的状态。
举例:超市收银员为每个客户进行现金结算,那么收银员能记住当前的客户是否为VIP会员嘛?肯定是记不住的,超市的客流量每天都很大。假如第一天有一个客人来找收银员办了一张会员卡,用会员身份结算,那么第二天这个客人又来到超市买东西,如果他不出示会员卡,收银员肯定不知道客人的会员身份。
所以收银员相当于服务器,每个客人相当于一个客户端。
客户端在请求服务器的时候,连续发起多个http请求,服务器是不会保留你之前的状态的。
2.如何突破HTTP无状态的限制?
对于超市来说,为了方便收银员在进行结算时给VIP用户打折,超市可以为每个VIP用户发放会员卡。虽然收银员记不住客人的身份,但客人可以主动出示会员卡,告诉收银员自己的身份。
现实生活中的会员卡身份认证方式,在web开发中的专业术语叫做Cookie
当客户端登录成功后,服务器会向客户端颁发一个cookie(就是一个身份认证的标识),今后,客户端再次请求服务器,必须把cookie再发送给服务器,来进行客户端身份的认证。
通过cookie就可以突破http的无状态的限制,让服务器知道客户端的身份。
3.什么是Cookie?
(1)Cookie是存储在用户浏览器中的一段不超过4KB的字符串。它由一个名称(Name),一个值(Value)和其他几个用于控制Cookie有效期,安全性,使用范围的可选属性组成。
(2)不同域名下的Cookie各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的Cookie一同发送到服务器。
也就是说,百度有百度自己的Cookie,小米有小米自己的Cookie。百度这个域名不能去访问小米域名下的Cookie,同样小米这个域名也不能去访问百度域名下的Cookie。
(3)Cookie几大特性:
自动发送,域名独立,过期时限,4KB限制
4.Cookie在身份认证中的作用
客户端第一次发送请求的时候,服务器通过响应头的形式,向客户端发送一个身份认证的Cookie,客户端会自动将Cookie保存在浏览器中。
随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的Cookie,通过请求头的形式发送给服务器,服务器即可验证客户端身份。
5.Cookie的不安全性
由于Cookie是存储在浏览器中的,而且浏览器也提供了Cookie的API,因此Cookie很容易被伪造,不具有安全性。因此不建议服务器将重要的隐私数据,通过Cookie的形式发送给浏览器。就像有的客户会伪造会员卡。
千万不要使用Cookie存储重要且隐私的数据!比如用户信息,密码等!!!!
6.提高身份认证的安全性
举例:为了防止客户伪造会员卡,收银员在拿到客户会员卡之后,可以在收银机上进行刷卡认证。只有收银机确认存在的会员卡,才能被正常使用。
这种**“会员卡”+刷卡认证**的设计理念,就是Session认证机制的精髓。会员卡相当于Cookie,刷卡认证相当于在服务器端进行Cookie的身份认证,只有Cookie认证通过后,才能具体的确认身份。
7.Session工作原理
(1)客户端登录:提交账号密码_____服务器验证账号密码,将登录成功后的用户信息存储在服务器的内存中(保证安全性),同时生成对应的Cookie字符串
(2)服务器响应:将生成的Cookie响应给客户端____浏览器自动将Cookie存储在当前域名下
(3)客户端再次发起请求:通过请求头自动把当前域名下所有可用的Cookie发送给服务器_____服务器根据请求头中携带的Cookie,从内存中查找对应用户信息,用户身份认证成功后,服务器针对当前用户生成的特定的相应内容
(4)服务器响应:把当前用户对应的页面和人内容响应给浏览器
8.Session认证的局限性
Session认证机制需要配合Cookie才能实现。由于Cookie默认不支持跨域访问,所以当涉及到前端跨域请求后端接口时,需要做很多额外的配置,才能实现跨域Session认证
二、JWT认证机制
注意:当前端请求后端接口不存在跨域问题时,推荐使用Session身份认证机制;当前端需要跨域请求后端接口时,不推荐使用Session身份认证机制,推荐使用JWT认证机制。
1.什么是JWT
JSON Web Token 是目前最流行的跨域认证解决方案
2.JWT的工作原理
(1)客户端登录:提交账号密码___服务器验证账号密码,验证通过后,将用户信息对象经过加密之后生成Token字符串(把用户信息保存在Token字符串中)
(2)服务器响应:将生成的Token发送给客户端___客户端将Token存储到LocalStorage/SessionStorage
(3)客户端再次发起请求时,通过请求头的Authorization字段,将Token发送给服务器____服务器把Token字符串还原成用户的信息对象,用户的身份认证成功后,服务器针对当前用户生成特定的相应内容
(4)服务器响应:把当前用户对应的页面内容响应给浏览器
用户的信息通过Token字符串的形式,保存在客户端浏览器中。服务器通过还原Token字符串的形式来认证用户的身份。
3.JWT的组成部分
JWT通常由三部分组成,分别是Header(头部),Payload(有效荷载),Signature(签名)。
三者之间用英文的"."分隔,格式:Header.Payload.Signature
(1)Header和Signature是安全性相关的的部分,只是为了保证Token的安全性(防止别人破解Token中携带的用户信息)
(2)Payload:是真正的用户信息,它是用户信息经过加密之后生成的字符串
4.JWT的使用方式
客户端收到服务器返回的JWT之后,通常会将它存储到localStorage/SessionStorage中。
此后,客户端每次与服务器通信,都要带上这个JWT的字符串,从而进行身份认证。推荐做法是把JWT放在HTTP请求头的Authorization字段中,格式:Authorization: Bearer
315
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
