HTTP Basic Authentication、session-cookie、Token、OAuth 常见的四种鉴权方式

第一种:最简单的HTTP Basic Authentication,这种方式在客户端会弹出一个登录窗口,由用户输入用户名和密码进行登录,但是这种方式使用基本的Base64方式加密,账号很容易泄露出去,现在很少人使用了。这种验证方法反应了人们对信息私有化的需求,这是电脑从局域网走向互联网以后产生的需求,

第二种:是使用session、cookie这种机制,这种方式里session是在服务器端创建的,可以存在内存里,也可以存在持久化到数据库里面,而cookie是存在用户浏览器里的sessionId,sessionId一经创建,就在后面的每次的HTTP请求里面,都会带着请求头当中,服务器就是靠这种标识来区别客户端是哪一个。这种验证方式以及加密算法的出现,它反映了在公开的互联网上,人们对隐私对信息保密的重视,这个时期单点登录的出现,标志着互联网向分布式发展,开始出现了海量用户产品,比如QQ、微信、Facebook等等。

第三种:Token验证,在这里Token是令牌的意思,这种验证是在App兴起以后发展起来的,因为在App里它没有浏览器环境没有cookie,那么客户端在进行了权限验证以后,就把登录凭证(Token)直接存在了客户端里面,并且在每次请求服务器的时候都把它给带上。最常用的Token的验证方式是JWT,他是Json Web Token的缩写,这种验证方式它代表了移动互联网的崛起。

具体来说,Token在客户端和服务器端共发生了6次交互,第一步:客户端使用用户名和密码请求登录;第二步:服务器收到请求以后去验证用户名和密码;第三步:验证成功以后,服务器会签发一个Token,再把Token发送给客户端;第四步:客户端收到Token以后把它给存储起来,例如放在Cookie里面或者Local Storage里面,或者是内存里面,第五步:客户端每次向服务器请求资源的时候,都需要带着这个服务器刚刚签发的Token,这个Token一般是有时效性的,如果超时了还需要重新去获取;第六步:服务端收到请求,然后去验证客户端送来的Token,验证成功就向客户端返回数据。

JWT是目前使用最广泛的Token验证方式,JWT在登录成功以后,将相关的信息组成JSON对象,然后将这个对象进行某种方式的加密,在返还给客户端,客户端在下次请求的时候再带上Token,服务器端收到这个Token以后,在验证Token的合法性。

JWT主要包括三分部分,第一个部分是Headers,主要是包括类别以及加密的算法;第二部分是Claims,这个主要是需要传递的一些用户信息,这个里边的一些字段,都是开发者自定义的一些字段;第三部分是Signature,它是根据上面的指定的算法以及私密的私匙,然后在服务器端进行加密而得到的签名的字符串。

第四种:OAuth验证,这种方式在今天是非常常见的,我们经常看到一些网站登录的时候,可以使用QQ或者是微信账号登录,这种登录方式本身就是OAuth验证,还有我们在小程序里面使用微信一键登录的时候,也是这种方式。这种方式我们先向鉴权服务器请求,拿到了一个code,这个code代表的是用户的许可,然后再以这个code,加上开发者自己的AppID和appSecret,再请求鉴权服务器拿到一个success token,这个才是真正的Token代表的是服务器的许可,有了这个Token才可以把加密的用户信息给解密出来,这种方式它代表了大平台作为基础账号存在已变成了一种事实,像QQ、微信、Facebook等等。

在这四种鉴权方式中,从表面上看,Token验证与前面的session-cookie验证有点像,但是他们是不一样的,session-cookie是通过sessionId来作为浏览器和服务器之前的沟通的桥梁;而Token验证方式,它貌似是Token充当了session的角色,但其实这两者的差别还是挺大的,第一点不同:sessionId它只是一个唯一标识的字符串,服务器是根据这个字符串,来查询在服务器端存储的session对象,在session对象里面才保存着用户的登录状态以及其他的信息,但是Token本身就是一种登录凭证,它本身就保存着用户的登录信息,还包括其他的一些算法以及解密的一些这些信息,这种Token更方便在多个分布式服务器之间共享,服务器端只需要验证token的合法性就可以了。第二点不同:session-cookie是需要cookie配合使用的,但是我们知道在进入App时代以来,HTTP客户端不只有浏览器这一个客户端的环境,还有原生的App、小程序等其它形式,在这些环境下,cookie是不起作用的,还有浏览器端是可以禁止cookie的,他可以存储在cookie当中,也可以存在storage当中,或者存在内存里面,只要是每次HTTP请求头里面,然后带上token就可以了,Token的客户端验证适用的客户端验证更多,方式也更加的灵活。

你可能感兴趣的:(HTTP Basic Authentication、session-cookie、Token、OAuth 常见的四种鉴权方式)