基于token的認(rèn)證系統(tǒng)

現(xiàn)在隨著客戶端的多樣化、前端的不斷發(fā)展闰蛔,傳統(tǒng)的基于cookie的會(huì)話控制限制越來越多悟泵。cookie的跨域問題,移動(dòng)端native app 對(duì)于cookie支持的缺失挑童。今天就來看下另一種解決方案累铅。

用戶認(rèn)證的本質(zhì)

用戶認(rèn)證分為會(huì)話控制(authentication)和權(quán)限控制(authorization)。要實(shí)現(xiàn)會(huì)話控制站叼,就需要一個(gè)身份認(rèn)證的過程:
1.客戶端提供認(rèn)證憑證娃兽。eg:username password
2.服務(wù)器核對(duì)。
3.核對(duì)失敗則返回失敗信息尽楔。核對(duì)成功則返回成功標(biāo)識(shí)投储,傳統(tǒng)的方式是使用session,設(shè)置客戶端cookie阔馋。
4.客戶端請(qǐng)求需要認(rèn)證的網(wǎng)址玛荞。傳統(tǒng)的方式是由瀏覽器自動(dòng)發(fā)送cookie到服務(wù)器端,服務(wù)器端核對(duì)sessionid呕寝。

基于token的認(rèn)證系統(tǒng)

優(yōu)點(diǎn)

基于token的認(rèn)證系統(tǒng)解決了什么問題呢勋眯?

Cross-domain / CORS: cookies + CORS don't play well across different domains. A token-based approach allows you to make AJAX calls to any server, on any domain because you use an HTTP header to transmit the user information.
Stateless (a.k.a. Server side scalability): there is no need to keep a session store, the token is a self-contanined entity that conveys all the user information. The rest of the state lives in cookies or local storage on the client side.
CDN: you can serve all the assets of your app from a CDN (e.g. javascript, HTML, images, etc.), and your server side is just the API.
Decoupling: you are not tied to a particular authentication scheme. The token might be generated anywhere, hence your API can be called from anywhere with a single way of authenticating those calls.
Mobile ready: when you start working on a native platform (iOS, Android, Windows 8, etc.) cookies are not ideal when consuming a secure API (you have to deal with cookie containers). Adopting a token-based approach simplifies this a lot.
CSRF: since you are not relying on cookies, you don't need to protect against cross site requests (e.g. it would not be possible to <iframe>
your site, generate a POST request and re-use the existing authentication cookie because there will be none).
Performance: we are not presenting any hard perf benchmarks here, but a network roundtrip (e.g. finding a session on database) is likely to take more time than calculating an HMACSHA256
 to validate a token and parsing its contents.
Login page is not an special case: If you are using Protractor to write your functional tests, you don't need to handle any special case for login.
Standard-based: your API could accepts a standard JSON Web Token (JWT). This is a standard and there are multiple backend libraries (.NET, Ruby, Java,Python, PHP) and companies backing their infrastructure (e.g. Firebase, Google,Microsoft). As an example, Firebase allows their customers to use any authentication mechanism, as long as you generate a JWT with certain pre-defined properties, and signed with the shared secret to call their API.

可以看到token解決了以下問題

  • 跨域。ajax設(shè)置"Authorization header" and "Bearer。
  • 狀態(tài)無關(guān)客蹋。天然適合restful services塞蹭。
  • CDN。 專注api讶坯。
  • 解耦番电。token可以隨時(shí)生成,隨處驗(yàn)證辆琅。
  • 移動(dòng)適用漱办。移動(dòng)端cookie支持不好。
  • CSRF涎跨。這個(gè)需要具體情況具體分析洼冻。
  • 性能。連接數(shù)據(jù)庫(kù)查詢session比對(duì)token進(jìn)行解密更費(fèi)時(shí)間隅很。
  • 標(biāo)準(zhǔn)化撞牢。 JSON WEB TOKEN (JWT) http://jwt.io/

區(qū)別

cookie-token-auth.png

缺點(diǎn)

token存儲(chǔ)、傳輸叔营。

  1. 對(duì)于reftful 客戶端屋彪, 將其設(shè)置成GET或POST參數(shù)即可。
  2. 對(duì)于傳統(tǒng)web绒尊⌒蠡樱可存儲(chǔ)在cookie里由瀏覽器自動(dòng)傳送,會(huì)有跨域問題婴谱。
  3. 或者存儲(chǔ)在localsotrage里, 或者url里蟹但,或者放在頁面里。需要用js手動(dòng)取出谭羔,拼接到url里华糖。這會(huì)加大工作量。適用范圍有限瘟裸。
  4. 利用"Authorization header" and "Bearer客叉。

Accept:application/json, text/plain, /
Accept-Encoding:gzip, deflate, sdch
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6,ja;q=0.4
Authorization:Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmaXJzdF9uYW1lIjoiSm9obiIsImxhc3RfbmFtZSI6IkRvZSIsImVtYWlsIjoiam9obkBkb2UuY29tIiwiaWQiOjEyMywiaWF0IjoxNDMwMDI2MzI0LCJleHAiOjE0MzAwNDQzMjR9.wODsE0vHiGr8RruRppJ79JKqH_Fi_2QUBxNJDzM_nfY
Connection:keep-alive
Host:localhost:8080
If-None-Match:W/"e-87842b1a"
Referer:http://localhost:8080/
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.90 Safari/537.36

總結(jié)

本質(zhì)上cookie和token在客戶端的方式并沒有區(qū)別。都是提供了一種認(rèn)證信息傳輸?shù)姆绞健?/p>

請(qǐng)關(guān)注后續(xù)文章_

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末话告,一起剝皮案震驚了整個(gè)濱河市兼搏,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌沙郭,老刑警劉巖佛呻,帶你破解...
    沈念sama閱讀 212,383評(píng)論 6 493
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異棠绘,居然都是意外死亡件相,警方通過查閱死者的電腦和手機(jī)再扭,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,522評(píng)論 3 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門氧苍,熙熙樓的掌柜王于貴愁眉苦臉地迎上來夜矗,“玉大人,你說我怎么就攤上這事让虐∥伤海” “怎么了?”我有些...
    開封第一講書人閱讀 157,852評(píng)論 0 348
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵赡突,是天一觀的道長(zhǎng)对扶。 經(jīng)常有香客問我,道長(zhǎng)惭缰,這世上最難降的妖魔是什么浪南? 我笑而不...
    開封第一講書人閱讀 56,621評(píng)論 1 284
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮漱受,結(jié)果婚禮上络凿,老公的妹妹穿的比我還像新娘。我一直安慰自己昂羡,他們只是感情好絮记,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,741評(píng)論 6 386
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著虐先,像睡著了一般怨愤。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上蛹批,一...
    開封第一講書人閱讀 49,929評(píng)論 1 290
  • 城市分裂傳說
    那天撰洗,我揣著相機(jī)與錄音,去河邊找鬼腐芍。 笑死差导,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的甸赃。 我是一名探鬼主播柿汛,決...
    沈念sama閱讀 39,076評(píng)論 3 410
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼埠对!你這毒婦竟也來了络断?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 37,803評(píng)論 0 268
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤项玛,失蹤者是張志新(化名)和其女友劉穎貌笨,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體襟沮,經(jīng)...
    沈念sama閱讀 44,265評(píng)論 1 303
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡锥惋,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,582評(píng)論 2 327
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年昌腰,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片膀跌。...
    茶點(diǎn)故事閱讀 38,716評(píng)論 1 341
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡遭商,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出捅伤,到底是詐尸還是另有隱情劫流,我是刑警寧澤,帶...
    沈念sama閱讀 34,395評(píng)論 4 333
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布丛忆,位于F島的核電站祠汇,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏熄诡。R本人自食惡果不足惜可很,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 40,039評(píng)論 3 316
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望凰浮。 院中可真熱鬧我抠,春花似錦、人聲如沸导坟。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,798評(píng)論 0 21
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽惫周。三九已至尘惧,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間递递,已是汗流浹背喷橙。 一陣腳步聲響...
    開封第一講書人閱讀 32,027評(píng)論 1 266
  • 情欲美人皮
    我被黑心中介騙來泰國(guó)打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留登舞,地道東北人贰逾。 一個(gè)月前我還...
    沈念sama閱讀 46,488評(píng)論 2 361
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像菠秒,于是被迫代替她去往敵國(guó)和親疙剑。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,612評(píng)論 2 350

推薦閱讀更多精彩內(nèi)容