认证
一种是session会话状态,信息保存在服务器端;一种是客户端发送每一个请求的同时带一个 secret access token 来验证用户。因为一个 access token 可以用来确定一个唯一的用户和验证这个用户, API Requests 应该总是通过 https 协议来传输, 以防止 man-in-the-middle (MitM) 攻击。
- HTTP Basic Authentication;客户端将用户名和密码中间用“:”分隔合并,并将合并后的字符串用BASE64编码,在每次请求数据 时,将密文附加于请求头(Request Header)Authorization: Basic XXXXXXX中。
- Query parameter;access token 在 API URL 中作为一个查询参数被传递,比如 https://example.com/users?access-token=123456789
- OAuth 2;遵照 OAth2.0 协议, 调用者从一个 授权服务器 上获取 access token, 再通过 HTTP Bearer Tokens 发送给 Api 服务器。
- JWT;客户端每次与服务器通信,都要带上这个 JWT,可以放在HTTP 请求的头信息Authorization字段里面,也可以放在 POST 请求的数据体里面;
JWT的token包含三部分:Header(头部)+ payload(负载)+ signature(签名);token的payload里面会包含用户的信息(依据业务需要存放)和token的过期时间等信息。但jwt的缺点是一生成,就是有效,没有续约机制和注销机制。
授权 - Role based access control (RBAC) 基于角色的訪问控制(RBAC)
- Access Control Filter 訪问控制过滤