鉴权(authentication)是指验证用户是否拥有访问系统的权利。
传统的鉴权是通过密码来验证。弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重置,而修改密码之前还要人工验证用户的合法身份。
目前的主流鉴权方式是利用认证授权来进行验证。
前后端之间进行数据交互,后端要判断你是否是真正的操作者,也就是说必须要有一个身份证明。
前后端常见的几种鉴权方式:
- HTTP Basic Authentication
- session-cookie
- Token
- OAuth
1 HTTP Basic Authentication(HTTP基本认证)
HTTP协议进行通信的过程中,定义了基本认证,允许服务器对客户端进行用户身份认证。
认证过程:
1、客户端向服务器请求数据
2、服务器向客户端发送验证请求代码401
3、客户端收到后,弹出登录窗口,要求用户输入用户名和密码。
4、用户输入后,以base64加密,放入请求信息中
5、服务器收到后,解密,并与用户数据库进行比较验证,如果正确,则返回请求资源。
缺点:使用简单的base64编码,编码可逆且安全性低。基本上就是一种密码机制,可能会被截取,所以是很不安全的机制。
2 session-cookie机制
认证过程:
1、服务器在接受浏览器首次访问时在服务器端创建一次会话(session),然后生成一个唯一标识sessionId(用来标识该浏览器)保存在会话中,接着在响应头中种下这个sessionId。
2、浏览器收到请求响应,解析响应头,把sessionId以cookie的形式保存在浏览器中,当下一次请求时就会在请求头中加入这个cookie信息。
3、服务器收到请求,取出sessionId与之前生成的sessionId比对是否一致,来判断请求是否合法。
缺点:这种方法,信息也是存储在cookie中,也有不安全成分在里面,现在一般也不会采用这种形式的鉴权。
3 Token验证
Token 是一个令牌。比如我们熟悉的QQ都有一个令牌,而且这个令牌隔一段时间是会变化的(上一种利用cookie的形式是不会变的)。所以Token的鉴权方式更为安全。
浏览器第一次访问服务端时会签发一张令牌,之后每次请求都带上这张令牌,那么就会认证该令牌是否有效,只要服务端可以解密该令牌,就说明请求是合法的。
认证过程
- 客户端使用用户名和密码请求登陆
- 服务端验证身份成功后,下发令牌Token给客户端
- 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里
- 客户端以后每次请求都带上Token
- 服务端每次都会验证Token,如果验证成功,就返回数据。
Token 和 session-cookie 验证的区别:
(1)Token是不存储在服务器的,Token本身就保存着登陆状态,服务器解密后就可以知道该Token是否合理。
(2)除此之外,我们知道,不只是浏览器是客户端,手机APP也是。在手机上cookie是不起作用的,那么就限制了客户端类型,而Token验证就不会有这个问题。
4 OAuth开放授权
OAuth就是一种授权机制,这种方法用的是最多的。我们常见的一些网站比如CSDN、掘金等都可以利用微信和QQ进行登陆的,无须使用其他的用户名和密码。这种方式就可以省略很多步骤,使得用户体验良好。
认证过程:
- 向用户请求授权
- 用户授权,返回凭证code给第三方(CSDN/掘金)
- 利用code向授权服务器请求Access Token
- 返回Access Token
- 利用Access Token向资源服务器请求用户资源
- 获取用户资源,登陆成功
![](https://img-blog.csdnimg.cn/ae88c126593e4eeab7ea4fce553a487b.jpg?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5pWy6LW35p2lYmxpbmdibGluZw==,size_20,color_FFFFFF,t_70,g_se,x_16#pic_center)