前后端鉴权方式

鉴权（authentication）是指验证用户是否拥有访问系统的权利。

传统的鉴权是通过密码来验证。弱点十分明显：一旦密码被偷或用户遗失密码，情况就会十分麻烦，需要管理员对用户密码进行重置，而修改密码之前还要人工验证用户的合法身份。

目前的主流鉴权方式是利用认证授权来进行验证。

前后端之间进行数据交互，后端要判断你是否是真正的操作者，也就是说必须要有一个身份证明。

前后端常见的几种鉴权方式：

• HTTP Basic Authentication
• session-cookie
• Token
• OAuth

1 HTTP Basic Authentication（HTTP基本认证）
HTTP协议进行通信的过程中，定义了基本认证，允许服务器对客户端进行用户身份认证。

认证过程：
1、客户端向服务器请求数据

2、服务器向客户端发送验证请求代码401

3、客户端收到后，弹出登录窗口，要求用户输入用户名和密码。

4、用户输入后，以base64加密，放入请求信息中

5、服务器收到后，解密，并与用户数据库进行比较验证，如果正确，则返回请求资源。

缺点：使用简单的base64编码，编码可逆且安全性低。基本上就是一种密码机制，可能会被截取，所以是很不安全的机制。

2 session-cookie机制

认证过程：
1、服务器在接受浏览器首次访问时在服务器端创建一次会话（session），然后生成一个唯一标识sessionId（用来标识该浏览器）保存在会话中，接着在响应头中种下这个sessionId。

2、浏览器收到请求响应，解析响应头，把sessionId以cookie的形式保存在浏览器中，当下一次请求时就会在请求头中加入这个cookie信息。

3、服务器收到请求，取出sessionId与之前生成的sessionId比对是否一致，来判断请求是否合法。

缺点：这种方法，信息也是存储在cookie中，也有不安全成分在里面，现在一般也不会采用这种形式的鉴权。

3 Token验证
Token 是一个令牌。比如我们熟悉的QQ都有一个令牌，而且这个令牌隔一段时间是会变化的（上一种利用cookie的形式是不会变的）。所以Token的鉴权方式更为安全。

浏览器第一次访问服务端时会签发一张令牌，之后每次请求都带上这张令牌，那么就会认证该令牌是否有效，只要服务端可以解密该令牌，就说明请求是合法的。

认证过程

• 客户端使用用户名和密码请求登陆
• 服务端验证身份成功后，下发令牌Token给客户端
• 客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里
• 客户端以后每次请求都带上Token
• 服务端每次都会验证Token，如果验证成功，就返回数据。

Token 和 session-cookie 验证的区别：

（1）Token是不存储在服务器的，Token本身就保存着登陆状态，服务器解密后就可以知道该Token是否合理。

（2）除此之外，我们知道，不只是浏览器是客户端，手机APP也是。在手机上cookie是不起作用的，那么就限制了客户端类型，而Token验证就不会有这个问题。

4 OAuth开放授权
OAuth就是一种授权机制，这种方法用的是最多的。我们常见的一些网站比如CSDN、掘金等都可以利用微信和QQ进行登陆的，无须使用其他的用户名和密码。这种方式就可以省略很多步骤，使得用户体验良好。

认证过程：

• 向用户请求授权
• 用户授权，返回凭证code给第三方（CSDN/掘金）
• 利用code向授权服务器请求Access Token
• 返回Access Token
• 利用Access Token向资源服务器请求用户资源
• 获取用户资源，登陆成功