身份认证
也称:身份验证,鉴权
不同的身份认证:
服务渲染推荐使用Session认证机制
前后端分离则推荐使用JWT认证机制
Session认证机制
Http协议的无状态性
指的是客户端的每次HTTP请求都是独立的,连续多个请求之间都是没有关系的,服务器不会主动保留每次HTTP请求的状态
Cookie:
Cookie是存储在用户浏览器中的一段不超过4KB的字符串。有一个名称,一个value值和其他控制Cookie有效期,安全性,使用范围的可选属性组成。
不同域名下的Cookie各自独立,每当客户端发送请求时,会自动把当前域名下所有未过期的Cookie一同发送到服务器中。
特性:
- 自动发送
- 域名独立
- 过期时限
4、4KB
安全性:
浏览器提供了读写Cookie的Api,因此Cookie很容易伪造,不具有安全性,一次不建议服务器将重要的隐私数据,通过Cookie的形式发送给浏览器。
(提高身份认证的安全性)
通过cookie的认证进行确认用户
Session认证机制的局限性:
Session认证机制需要配合Cookie才能实现,由于Cookie默认不支持跨域访问,所以,当涉及前端跨域请求后端接口的时候,需要做很多额外额配置,才能实现跨域Session认证。