app与后台交互之间的几种安全认证机制

1、HTTP简单基本认证方式

    这个是早期交互用得比较多的一种方式,主要是使用用户名和密码来交互,由于在每次的交互中,用户名和密码都会暴露给第三方,那么这么做是不可取的,风险十分大,所以这种认证方式并没有流传开来

 2、OAuth(OAuth2)

    这个就是开放平台的概念,就像你登录第三方网站或者app的时候可以使用qq或者微信登录,那么登录后第三方可以获取你的个人信息,这就是开放授权的概念,理念是通过token来实现。

    这个token可以由你来限制时间,第三方获取你指定的信息,从而达到了一个安全认证的效果。

 3、cookie

    这是比较常用的一种方式,很多小型网站都在使用,用户在登陆后,生成的用户信息存入cookie,这个cookie要和服务端的session来匹配,一般控制cookie在浏览器关闭的时候失效。

 4、token机制

    用户登陆后的信息以token存入session或者redis的同时会生成一个cookie,来保存到浏览器,如果是手机端则把这个token存入其他媒介,存活时间与session(这里的session指的是单一应用的session或者分布式session,都可以)一致,如果用户在其他客户端登录后需要覆盖token,从而可以做到唯一登录,需要注意的是token在交互中存入headers中,并且在服务端拦截器中需要对这个token进行校验。这种方式可以跨域,而cookie不能跨域,所以只能适用于一些小网站。

 5、json web token(JWT)

    ​JWT的机制和之前说的也是差不多,只不过封装了很多,并且安全性得到了一定的提高。    

app与后台交互之间的几种安全认证机制_第1张图片

如图,用户发起restful登录请求,服务端会创建一个加密的JWT信息,这个会作为token返回给客户端,在后续的交互请求中JWT信息放入headers,服务端解密后并且校验用户信息,成功则验证通过;解密失败说明token无效或者已过期。

 

这几种认证方式中JWT是最安全的,并且可以防范一定的攻击。所以比较推荐。

你可能感兴趣的:(app与后台交互之间的几种安全认证机制)