http://www.golang.ltd/forum.php?mod=viewthread&tid=7215&from=portal

| 常見登錄驗(yàn)證機(jī)制
HTTP Basic Auth

HTTP Basic Auth 簡(jiǎn)單點(diǎn)說(shuō)明就是每次請(qǐng)求 API 時(shí)都提供用戶的 username 和 password，簡(jiǎn)言之，Basic Auth 是最簡(jiǎn)單的認(rèn)證方式略板，只需提供用戶名密碼即可，但由于有把用戶名密碼暴露給第三方客戶端的風(fēng)險(xiǎn)剂跟，在生產(chǎn)環(huán)境下被使用的越來(lái)越少。因此酣藻，盡量避免采用 HTTP Basic Auth曹洽。

OAuth

OAuth（開放授權(quán)）是一個(gè)開放的授權(quán)標(biāo)準(zhǔn)，允許用戶讓第三方應(yīng)用訪問(wèn)該用戶在某一web服務(wù)上存儲(chǔ)的私密的資源（如照片辽剧，視頻送淆，聯(lián)系人列表），而無(wú)需將用戶名和密碼提供給第三方應(yīng)用怕轿。

OAuth允許用戶提供一個(gè)令牌偷崩，而不是用戶名和密碼來(lái)訪問(wèn)他們存放在特定服務(wù)提供者的數(shù)據(jù)辟拷。每一個(gè)令牌授權(quán)一個(gè)特定的第三方系統(tǒng)（例如，QQ阐斜，微信)在特定的時(shí)段（例如衫冻，接下來(lái)的2小時(shí)內(nèi)）內(nèi)訪問(wèn)特定的資源（例如僅僅是某一相冊(cè)中的視頻）。這樣谒出，OAuth讓用戶可以授權(quán)第三方網(wǎng)站訪問(wèn)他們存儲(chǔ)在另外服務(wù)提供者的某些特定信息羽杰，而非所有內(nèi)容

image

這種基于OAuth的認(rèn)證機(jī)制適用于個(gè)人消費(fèi)者類的互聯(lián)網(wǎng)產(chǎn)品，如社交類APP等應(yīng)用到推，但是不太適合擁有自有認(rèn)證權(quán)限管理的企業(yè)應(yīng)用。

Cookie Auth

Cookie認(rèn)證機(jī)制就是為一次請(qǐng)求認(rèn)證在服務(wù)端創(chuàng)建一個(gè)Session對(duì)象惕澎，同時(shí)在客戶端的瀏覽器端創(chuàng)建了一個(gè)Cookie對(duì)象莉测；通過(guò)客戶端帶上來(lái)Cookie對(duì)象來(lái)與服務(wù)器端的session對(duì)象匹配來(lái)實(shí)現(xiàn)狀態(tài)管理的。默認(rèn)的唧喉，當(dāng)我們關(guān)閉瀏覽器的時(shí)候捣卤，cookie會(huì)被刪除。但可以通過(guò)修改 cookie 的 expiretime 使cookie在一定時(shí)間內(nèi)有效八孝。

Token Auth

對(duì)于Token認(rèn)證機(jī)制董朝，簡(jiǎn)單來(lái)說(shuō)，就是每次客戶端輸入賬號(hào)密碼后向服務(wù)端發(fā)起登錄請(qǐng)求干跛，服務(wù)端在通過(guò)登錄驗(yàn)證后子姜，給客戶端返回一個(gè)任意字符串，既token（token必須與用戶的賬戶關(guān)聯(lián)楼入，如用userid和token形成鍵值對(duì)哥捕，保存在內(nèi)存中（redis））〖涡埽客戶端拿到這個(gè)token后遥赚，在之后所有需要驗(yàn)證登錄的請(qǐng)求中，或者參數(shù)中帶上token或者在header中攜帶token阐肤，然后服務(wù)端根據(jù)接收到的token來(lái)驗(yàn)證用戶的登錄狀態(tài)是否存在凫佛，是否有效。

出于安全考慮孕惜，token在每次登錄時(shí)重新生成愧薛，并可以設(shè)置有效期，每次有效操作后更新token的時(shí)間戳诊赊，保證token有效期往后延續(xù)厚满。

為了避免token被截獲，偽造非法請(qǐng)求碧磅，在每次請(qǐng)求時(shí)碘箍，可以用userid+token+時(shí)間戳+密鑰+請(qǐng)求參數(shù)遵馆，進(jìn)行簽名，服務(wù)端驗(yàn)證token丰榴，同時(shí)驗(yàn)證簽名货邓，以保證請(qǐng)求的安全性。

Token于cookie機(jī)制：

image

Token Auth相對(duì)于Cookie機(jī)制的優(yōu)點(diǎn)

• 支持跨域訪問(wèn)：Cookie是不允許垮域訪問(wèn)的四濒，這一點(diǎn)對(duì)Token機(jī)制是不存在的换况，前提是傳輸?shù)挠脩粽J(rèn)證信息通過(guò)HTTP頭傳輸。
• 無(wú)狀態(tài)(也稱服務(wù)端可擴(kuò)展行)：Token機(jī)制在服務(wù)端不需要存儲(chǔ)session信息盗蟆，因?yàn)門oken 自身包含了所有登錄用戶的信息戈二，只需要在客戶端的cookie或本地介質(zhì)存儲(chǔ)狀態(tài)信息。
• 更適用 CDN： 可以通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)請(qǐng)求你服務(wù)端的所有資料（如：javascript喳资，HTML,圖片等）觉吭，而你的服務(wù)端只要提供API即可。
• 去耦：不需要綁定到一個(gè)特定的身份驗(yàn)證方案仆邓。Token可以在任何地方生成鲜滩，只要在驗(yàn)證登錄的API被調(diào)用的時(shí)候，進(jìn)行Token生成調(diào)用即可节值。
• 更適用于移動(dòng)應(yīng)用：當(dāng)你的客戶端是一個(gè)原生平臺(tái)（iOS, Android徙硅，Windows 8等）時(shí)，Cookie是不被支持的（你需要通過(guò)Cookie容器進(jìn)行處理）搞疗，這時(shí)采用Token認(rèn)證機(jī)制就會(huì)簡(jiǎn)單得多嗓蘑。
• CSRF：因?yàn)椴辉僖蕾囉贑ookie，所以你就不需要考慮對(duì)CSRF（跨站請(qǐng)求偽造）的防范贴汪。
• 性能：一次網(wǎng)絡(luò)往返時(shí)間（通過(guò)數(shù)據(jù)庫(kù)查詢session信息）總比做一次 HMACSHA256 計(jì)算 的Token驗(yàn)證和解析要費(fèi)時(shí)得多脐往。
• 不需要為登錄頁(yè)面做特殊處理：如果你使用Protractor做功能測(cè)試的時(shí)候，不再需要為登錄頁(yè)面做特殊處理扳埂。
• 基于標(biāo)準(zhǔn)化：你的API可以采用標(biāo)準(zhǔn)化的 JSON Web Token (JWT)业簿，這個(gè)標(biāo)準(zhǔn)已經(jīng)存在多個(gè)后端庫(kù)（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）。

|