前端鉴权的主要方式和区别

前端鉴权的主要方式

  • JWT (Json web token)
    因为json的通用性,所以JWT是可以进行跨语言支持的,很多语言都可以使用。因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。

  • cookie-session
    我们不能修改HTTP协议(无状态),那么要解决共享信息的问题必须用其他的手段。于是就有了会话ID(session id),服务器为每个用户生成一个不一样的随机字符串(session id),一份存在服务器,一份以cookie的形式写给浏览器。浏览器每次向服务器发起HTTP请求时,携带这个字符串(session id)回传给服务器,这样就能区分谁是谁了。

  • OAuth2
    这个是趋势吧,现在想要推广自己的应用都先接入微信 QQ等登录,降低用户使用门槛。特别是微信渠道的手游,都是接入了微信开发授权登录。

  • HTTP Basic Authentication
    用的比较少,平常FTP登录是用的这种方式吧?感觉可以用在内部网系统。

为什么会有cookie、session和token?

1、 http是无状态协议

什么是无状态呢?

答:当前请求和上一次或者下一次请求是没有任何关系的,好处是速度快,坏处是无法共享信息。

2、 互联网的兴起

以前的网站,基本用来查看些文件或者图片,作为服务器不需要记录谁来放访问了什么文件,每次来一个新的HTTP请求, 给予响应即可。

但随着互联网的飞速发展, http无状态的缺点被放大。

各种各样的交互网站,必须登录后才能进行一些操作,比如发帖需要记录发帖人、浏览记录等,不同账号访问的信息必须独立存储。

3、 cookie、session的加入

我们不能修改HTTP协议(无状态),那么要解决共享信息的问题必须用其他的手段。

于是就有了会话ID(session id),服务器为每个用户生成一个不一样的随机字符串(session id),一份存在服务器,一份以cookie的形式写给浏览器。浏览器每次向服务器发起HTTP请求时,携带这个字符串(session id)回传给服务器,这样就能区分谁是谁了。

4、 session有啥缺点呢?

虽然session解决了共享信息的问题,但同时对服务器带来了其他问题—资源开销(内存、cpu)。

对于浏览器来说sessionid是非常好用的,只需要在cookie中存一个字符串就行了,但是服务器必须存储所有在线的用户sessionid,那么同时在线的人数越多开销越大,严重影响了服务器的性能。

这时可以选择去扩展服务器做集群,但同时也出现分布式sessionid问题,那么可以采用session粘滞或者session集中式管理(redis)来解决。

5、 摆脱session,拥抱token

上述的解决方案都是围绕session,那么能不能不用sessionid来解决呢?

如果不适用sessionid,如何确保数据是服务器生成的呢?怎么去验证呢?用户信息存在哪?

于是有人想到了自己按照一定规则生成加密字符串,服务器只验证不存储,只要验证通过说明是自己生成的,用户信息存储在加密字符串中,这样性能、CORS(跨域资源共享)都能解决,而这个加密字符串就是token。

cookie、session的区别

image.png
  • cookie:客户端和服务端都能创建cookie,都是存放在客户端。存放一些小而不敏感的数据,并且数据类型只能是字符串(json)。

  • session:服务端生成session,存放在服务端。可以存放任意数据,java中session中可以存放任意对象。

  • session必须依赖cookie实现

session和token的区别

  • session:服务器生成、存储、验证,以cookie的方式传给客户端,客户端以同样方式发送给服务端。

  • session有状态。


    image.png
  • token:服务器生成、验证,以cookie或者请求头的方式传给客户端,客户端以同样方式发送给服务端。

  • token无状态。


    image.png
  • 接口鉴权token解决方案:完成登录之后,获取到token字符串,再次请求时加入。

  • 接口鉴权session解决方案:完成登录之后,获取带有session信息的cookie,再次请求时加入。

你可能感兴趣的:(前端鉴权的主要方式和区别)