1.HTTP Basic Auth:
HTTP Basic Auth簡單點說明就是每次請求API時都提供用戶的username和password邮偎,簡言之,Basic Auth是配合RESTful API 使用的最簡單的認(rèn)證方式义黎,只需提供用戶名密碼即可禾进,但由于有把用戶名密碼暴露給第三方客戶端的風(fēng)險,在生產(chǎn)環(huán)境下被使用的越來越少轩缤。因此命迈,在開發(fā)對外開放的RESTful API時,盡量避免采用HTTP Basic Auth
2.OAuth(開放授權(quán)):
是一個開放的授權(quán)標(biāo)準(zhǔn)火的,允許用戶讓第三方應(yīng)用訪問該用戶在某一web服務(wù)上存儲的私密的資源(如照片壶愤,視頻,聯(lián)系人列表)馏鹤,而無需將用戶名和密碼提供給第三方應(yīng)用征椒。
OAuth允許用戶提供一個令牌,而不是用戶名和密碼來訪問他們存放在特定服務(wù)提供者的數(shù)據(jù)湃累。每一個令牌授權(quán)一個特定的第三方系統(tǒng)(例如勃救,視頻編輯網(wǎng)站)在特定的時段(例如,接下來的2小時內(nèi))內(nèi)訪問特定的資源(例如僅僅是某一相冊中的視頻)治力。這樣蒙秒,OAuth讓用戶可以授權(quán)第三方網(wǎng)站訪問他們存儲在另外服務(wù)提供者的某些特定信息,而非所有內(nèi)容宵统。
3.Cookie Auth:
Cookie認(rèn)證機(jī)制就是為一次請求認(rèn)證在服務(wù)端創(chuàng)建一個Session對象晕讲,同時在客戶端的瀏覽器端創(chuàng)建了一個Cookie對象;通過客戶端帶上來Cookie對象來與服務(wù)器端的session對象匹配來實現(xiàn)狀態(tài)管理的马澈。默認(rèn)的瓢省,當(dāng)我們關(guān)閉瀏覽器的時候,cookie會被刪除痊班。但可以通過修改cookie 的expire time使cookie在一定時間內(nèi)有效勤婚;
Session是在服務(wù)端保存的一個數(shù)據(jù)結(jié)構(gòu),用來跟蹤用戶的狀態(tài)涤伐,這個數(shù)據(jù)可以保存在集群馒胆、數(shù)據(jù)庫、文件中凝果;
Cookie是客戶端保存用戶信息的一種機(jī)制祝迂,用來記錄用戶的一些信息,也是實現(xiàn)Session的一種方式豆村。
Cookie的傳遞流程:
1.瀏覽器向某個URL發(fā)起HTTP請求(可以是任何請求液兽,比如GET一個頁面、POST一個登錄表單等)
2.對應(yīng)的服務(wù)器收到該HTTP請求,并計算應(yīng)當(dāng)返回給瀏覽器的HTTP響應(yīng)四啰。(HTTP響應(yīng)包括請求頭和請求體兩部分)
3.在響應(yīng)頭加入Set-Cookie字段宁玫,它的值是要設(shè)置的Cookie。
4.瀏覽器收到來自服務(wù)器的HTTP響應(yīng)柑晒。
5.瀏覽器在響應(yīng)頭中發(fā)現(xiàn)Set-Cookie字段欧瘪,就會將該字段的值保存在內(nèi)存或者硬盤中。(Set-Cookie字段的值可以是很多項Cookie匙赞,每一項都可以指定過期時間Expires佛掖。 默認(rèn)的過期時間是用戶關(guān)閉瀏覽器時。)
6.瀏覽器下次給該服務(wù)器發(fā)送HTTP請求時涌庭, 會將服務(wù)器設(shè)置的Cookie附加在HTTP請求的頭字段Cookie中芥被。(瀏覽器可以存儲多個域名下的Cookie,但只發(fā)送當(dāng)前請求的域名曾經(jīng)指定的Cookie坐榆, 這個域名也可以在Set-Cookie字段中指定)拴魄。)
7.服務(wù)器收到這個HTTP請求,發(fā)現(xiàn)請求頭中有Cookie字段席镀, 便知道之前就和這個用戶打過交道了.
8.過期的Cookie會被瀏覽器刪除匹中。
總之,服務(wù)器通過Set-Cookie響應(yīng)頭字段來指示瀏覽器保存Cookie豪诲, 瀏覽器通過Cookie請求頭字段來告訴服務(wù)器之前的狀態(tài)顶捷。 Cookie中包含若干個鍵值對,每個鍵值對可以設(shè)置過期時間屎篱。
Cookie 防篡改機(jī)制:
服務(wù)器可以為每個Cookie項生成簽名服赎,由于用戶篡改Cookie后無法生成對應(yīng)的簽名, 服務(wù)器便可以得知用戶對Cookie進(jìn)行了篡改芳室。
(3)session的實現(xiàn)機(jī)制:
1.概述:Session 是存儲在服務(wù)器端的专肪,避免了在客戶端Cookie中存儲敏感數(shù)據(jù)刹勃。 Session 可以存儲在HTTP服務(wù)器的內(nèi)存中堪侯,也可以存在內(nèi)存數(shù)據(jù)庫(如redis)中, 對于重量級的應(yīng)用甚至可以存儲在數(shù)據(jù)庫中荔仁。
例子:存儲在redis中的Session為例伍宦,考察如何驗證用戶登錄狀態(tài)的問題。
1.用戶提交包含用戶名和密碼的表單乏梁,發(fā)送HTTP請求次洼。
2.服務(wù)器驗證用戶發(fā)來的用戶名密碼。
3.如果正確則把當(dāng)前用戶名(通常是用戶對象)存儲到redis中遇骑,并生成它在redis中的ID卖毁。
這個ID稱為Session ID,通過Session ID可以從Redis中取出對應(yīng)的用戶對象, 敏感數(shù)據(jù)(比如authed=true)都存儲在這個用戶對象中亥啦。
4.設(shè)置Cookie為sessionId=xxxxxx|checksum并發(fā)送HTTP響應(yīng)炭剪, 仍然為每一項Cookie都設(shè)置簽名。
5.用戶收到HTTP響應(yīng)后翔脱,便看不到任何敏感數(shù)據(jù)了奴拦。在此后的請求中發(fā)送該Cookie給服務(wù)器。
6.服務(wù)器收到此后的HTTP請求后届吁,發(fā)現(xiàn)Cookie中有SessionID错妖,進(jìn)行放篡改驗證。
7.如果通過了驗證疚沐,根據(jù)該ID從Redis中取出對應(yīng)的用戶對象暂氯, 查看該對象的狀態(tài)并繼續(xù)執(zhí)行業(yè)務(wù)邏輯。
三亮蛔、Token認(rèn)證機(jī)制相對于Cookie等機(jī)制的好處:
1. 支持跨域訪問: Cookie是不允許垮域訪問的株旷,這一點對Token機(jī)制是不存在的,前提是傳輸?shù)挠脩粽J(rèn)證信息通過HTTP頭傳輸尔邓。(垮域訪問:兩個域名之間不能跨過域名來發(fā)送請求或者請求數(shù)據(jù))
2.無狀態(tài)(也稱:服務(wù)端可擴(kuò)展行):Token機(jī)制在服務(wù)端不需要存儲session信息晾剖,因為Token 自身包含了所有登錄用戶的信息,只需要在客戶端的cookie或本地介質(zhì)存儲狀態(tài)信息.
3.更適用CDN: 可以通過內(nèi)容分發(fā)網(wǎng)絡(luò)請求你服務(wù)端的所有資料(如:javascript梯嗽,HTML,圖片等)齿尽,而你的服務(wù)端只要提供API即可.
4.去耦: 不需要綁定到一個特定的身份驗證方案。Token可以在任何地方生成灯节,只要在你的API被調(diào)用的時候循头,你可以進(jìn)行Token生成調(diào)用即可.
5.更適用于移動應(yīng)用: 當(dāng)你的客戶端是一個原生平臺(iOS, Android,Windows 8等)時炎疆,Cookie是不被支持的(你需要通過Cookie容器進(jìn)行處理)卡骂,這時采用Token認(rèn)證機(jī)制就會簡單得多。
6. CSRF:因為不再依賴于Cookie形入,所以你就不需要考慮對CSRF(跨站請求偽造)的防范全跨。
7.性能: 一次網(wǎng)絡(luò)往返時間(通過數(shù)據(jù)庫查詢session信息)總比做一次HMACSHA256計算 的Token驗證和解析要費時得多.
8.不需要為登錄頁面做特殊處理: 如果你使用Protractor 做功能測試的時候,不再需要為登錄頁面做特殊處理.
9.基于標(biāo)準(zhǔn)化:你的API可以采用標(biāo)準(zhǔn)化的 JSON Web Token (JWT). 這個標(biāo)準(zhǔn)已經(jīng)存在多個后端庫(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).
作者:JackFrost_fuzhu
鏈接:http://www.reibang.com/p/227306fa28e4
來源:簡書
著作權(quán)歸作者所有亿遂。商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)浓若,非商業(yè)轉(zhuǎn)載請注明出處。
