认证

最新推荐文章于 2022-02-27 22:46:47 发布
最新推荐文章于 2022-02-27 22:46:47 发布
阅读量262 收藏 1
点赞数
分类专栏: 个人思考 文章标签: oauth2.0 jwt cookie/session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wobushixiaobailian/article/details/89416534
版权

文章目录

authentication 认证访问者是谁
authorization 访问权限

一. Basic access authentication

Basic access authentication

使用Basic access authentication时,每一个request都包含了一个header,格式为:

Authorization: Basic <credentials>

其中,credentials时使用base64对id与password进行编码的,id与password之间用 : 隔开。

缺点:

  1. 每个浏览器要存credentials,每个浏览器的存储策略到不同。比如ie中只存15m。
  2. 由于credential是使用base64编码的(不安全),常常需要何https配合使用。

二、API KEY authentication

3 Common Methods of API Authentication Explained
它只是一种认证方式,而不是授权方式。
在这里插入图片描述
在用户第一次登陆时,获取api-key,将它存起来(如cookie)中,下次请求时,从cookie中看是否有api-key,有就携带着发送请求。

下面时ant-design-pro中使用api-key进行认证的步骤。

  1. 登陆
    在这里插入图片描述
  2. 将login获取的token存到cookie中
    在这里插入图片描述
  3. 接口请求时携带api-key。
    在这里插入图片描述

三. OAuth

允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表等),而无需将用户名和密码提供给第三方应用。授权模式总共有5中,常见的有三种。

3.1 授权码模式(authorization code grant)

参考 What is the OAuth 2.0 Authorization Code Grant Type?

流程:

  • 第三方应用打开浏览器
  • 用户看到授权提示并授权
  • 携带授权码(authorization code)重定向到第三方应用
  • 第三方应用使用授权码获取access token

3.2 简化模式(implicit grant)

参考 What is the OAuth 2.0 Implicit Grant Type?

这种方式的适用环境通常是一些javascript应用没有比较好的安全方式来存储 authorization code。

流程:

  • 第三方应用打开浏览器
  • 用户看到授权提示并授权
  • 用户携带着access token返回第三方应用

3.3 密码模式 (password grant)

参考 What is the OAuth 2.0 Password Grant Type?

适用与你自己的应用(受信app),不适合给第三方应用使用。

流程:

  • 应用收集用户的账号密码(直接输入)
  • 受信应用发起一次post请求,使用password获取acess token。

在这里插入图片描述

3.4 oauth2.0 授权方式的选择

在这里插入图片描述

OAuth site
Spring Security Architecture

四. Cookie/Session 认证机制

需要在客户端的浏览器端创建了一个Cookie对象,万一Cookie被删了呢

五. jwt

json web token。cookie/session 认证机制中服务器端都要存当前用户信息,而在json web token认证中,用户信息存在客户端。
在这里插入图片描述

六.参考文献

4种认证(authentication)或授权(authorization)方式
Web开发中常见的认证机制
Basic access authentication
OAuth 2.0
理解OAuth 2.0

Securing REST Services With OAuth2 in Spring Boot

3 Common Methods of API Authentication Explained

我不是小白脸
关注
专栏目录
Jenkins系列之Credentials(证书)管理
weixin_45005677的博客
02-19 9405
当你jenkins访问gitlab仓库时使用的是http://host/source/project_one.git这种方式 你可以添加如下Credentials: 进入证书管理: 配置信息: 在这里“Kind”表示的是钥匙的种类,可自行按需使用;默认“Username with password”选项,这里的“Scope”表示的是作用域,,下面的“Username”,这里填写对应远程仓库用户名,下面的“Password”就是账号所对应的密码,下面的“ID”这个不需要我们去填写,这个是Jenki
Get-Credential 帮助信息
Windows PowerShell
12-29 3061
如下说明是翻译PowerShell中: help Get-Credential 产生的帮助信息. 译者: Edengundam(马涛) Get-Credential 大纲根据用户名和密码取得凭证对象. 语法Get-Credential [-credential] [] 详细描述Get-Credential cmdlet为指定的用户名和密码创建凭证对
GetCredentialCount  80004005
Ma_Hong_Kai的博客
01-07 574
如何修复Windows 10更新错误0x80004005?(结论,可能是logIN 和 log的登陆页面认证有问题,即改函数的参数出错导致) GetCredentialCount (理解来自上部分) HRESULT GetCredentialCount( DWORD *pdwCount, DWORD *pdwDefault, BOOL *pbAutoLogonWithDefault ...
Jenkins 凭据配置 Credentials
热门推荐
浅沫
11-21 1万+
1.Jenkins 凭据配置 (git拉取项目) 注:私钥:id_rsa 公钥 :id_rsa.pub
git拉取代码生成流水线获取凭证id 以及harbor凭证id
qq_37430469的博客
02-27 3628
1,下载生成流水线语法的插件 2,创建流水线项目 3,选择SCM 4,选择git 5,去gitlab拷贝对应的连接 6,保存 7,在进入进行配置,点击流水线语法 8,选择 9,拷贝对应的连接后 10,下拉到底部,生成流水线脚本 credentialsId:就是 git_auth checkout([$class: ‘GitSCM’, branches: [[name: ‘*/master’]], extensions: [], userRemoteConfigs: [[credentia
tx云认证cloudbase答案
最新发布
12-29
tx云认证cloudbase答案tx云认证cloudbase答案tx云认证cloudbase答案tx云认证cloudbase答案tx云认证cloudbase答案tx云认证cloudbase答案tx云认证cloudbase答案tx云认证cloudbase答案tx云认证cloudbase答案tx云认证...
天翼云认证解决方案架构师
12-10
天翼云认证解决方案架构师题库知识点,帮你直接通过天翼云解决方案架构师认证考试。天翼云认证解决方案架构师题库知识点,帮你直接通过天翼云解决方案架构师认证考试。天翼云认证解决方案架构师题库知识点,帮你直接...
2023个税抵扣 Apsara Clouder云计算专项技能认证:云服务器ECS入门 以及个⼈所得税年度应纳税额抵扣
02-01
《2023个税抵扣与Apsara Clouder云计算专项技能认证:云服务器ECS入门详解》 在当今数字化的时代,个人所得税的抵扣政策与云计算技能的学习成为了纳税人关注的焦点。本文将详细解析如何利用阿⾥云Apsara Clouder的...
小米妙享3.3.0.652免认证安装
08-20
【小米妙享3.3.0.652免认证安装】是一款专为小米设备设计的应用,它允许用户在小米设备之间实现无缝的互联互通。小米妙享,全称为"Mi Share",是小米公司推出的一项服务,旨在提升用户体验,通过手机、电视、电脑等...
OceanBase OBCA初级考试认证资料
05-21
1、OceanBase OBCA考试认证题库 2、资源内容包括多选题、单选题、判断题,约260道常见题目; 3、适合需要考OceanBase OBCA初级考试认证的人员;
SpringBoot2+Ant Design实战班
08-11
该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Ant Design Pro Vue+可视化AntV 等技术栈开发的项目,采用多模块前后端分离开发。包括图形展示、权限管理、用户管理等功能,用于研发企业级中后台产品。 【后端技术】技术 说明Spring Boot2 MVC框架 开发的一站式解决方案Spring Security5  认证和授权框架MyBatisPlus3.3.1  基于 MyBatis 框架的快速研发框架MyBatisCode工具 生成 MyBatis 相关代码Jackson 提供了处理 JSON 数据的工具Lombok 简化对象封装工具 Druid   数据库连接池 【前端技术】Vue        互联网最火的前端框架Vue Router 路由框架Vuex 全局状态管理框架Axios 前端 HTTP 框架Element UI 前端 UI 框架Ant Design Pro Vue 前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV主要用于研发企业级中后台产品。特性提炼自企业级中后台产品的交互语言和视觉风格。使用 TypeScript 开发,提供完整的类型定义文件。 链路开发和设计工具体系。【开发工具】IntelliJ IDEA 开发 IDESQLyog 数据库连接客户端Postman HTTP 请求工具【开发环境】工具 版本JDK 1.8MySQL 5.7
前后端接口鉴权全解 Cookie/Session/Token 的区别
Shooterss的博客
02-25 638
文章目录Cookie设置方式发送方式Session客户端储存服务器储存两种储存方式的对比TokenJWT结构HeaderPayloadSignature如何使用HTTP authenticationOAuth 2.0准备获取 code获取 token使用 token 调用微信接口后续使用其他方法总结参考path: '/auth' date: '2021-02-24T10:52:07.785Z' title: '前后端接口鉴权全解' tags: ['coding', '网络安全']Cookie设置方式发送方式
浏览器跨域请求之credentials
04-13 195
-时间起源- 前段时间,需要弄个简单的网站出来,访问远程的api服务。 我是这么做的。首先是在搭建一个nodejs服务来运行前端页面。在我请求登录的时候,能成功返回相应的成功信息。然后,当我再次请求读取别的接口的时候,返回的信息确实提示我尚未登录。此时此刻,我一脸蒙逼。明明我已经登陆了啊。后来偶然得知这是因为浏览器的机制问题。 -初步解决- 大概的意思是,默认情况下,标准的跨域请...
Shiro中new String((char[])token.getCredentials());与 token.getCredentials().toString();的区别
u013456370的专栏
11-28 8596
String password = new String((char[])token.getCredentials()); 以上:这个可以正常通过测试! String password = token.getCredentials().toString(); 报错: org.apache.shiro.authc.IncorrectCredentialsException at com.a
Shiro学习小记--身份验证得到principals
Jafey的博客
10-25 5876
shiro中自定义principal
HTTP get方式调用接口
08-28 931
//Url 地址 //postDataStr参数   public static string HttpGet(string Url, string postDataStr)         {             HttpWebRequest request = (HttpWebRequest)WebRequest.Create(Url + (postDataStr == "" ?
(旧文重贴)原来进行Authorization:basic的时候,后面的credentials就是
IRIS88888的博客
04-16 330
username+”:”+password的简单base64转换呀!呵呵,从flashget中copy下来,decode一下,果然是这个。不过,一开始没有注意到中间的冒号,靠,再转换过去就不对了。 2004年4月7日 18:03 转载于:https://www.cnblogs.com/juqiang/archive/2004/04/16/6283.html...
如何使用Axway API Manager集成自定义身份认证及授权策略
wantian1376的博客
11-01 503
「注:转载请注明出处,谢谢!」 AMPLIFY API Management是Axway AMPLIFY数据集成和互动平台的组成部分,是为企业实现快速变革和创新的整体解决方案。 AMPLIFY API Management提供了开放的认证/授权标准: LDAP、RADIUS、OCSP、SAML、XACML、OAuth 2.0客户端和服务端、OpenID 连接客户端和服务器,API密钥(有加密和无加密)、AWS API密钥,双向SSL。 与此同时,AMPLIFY API Man...
Cisco认证体系详解
" Cisco认证概述.pdf" 本文档主要介绍了Cisco(思科)的认证体系,它是一种全球认可的信息技术(IT)专业资格,旨在验证个人在网络技术和相关领域的专业知识。Cisco认证系统涵盖了从入门级到专家级的一系列不同级别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值