一顶吮、概述

通常除了第三方接口或者規(guī)定的需要加入白名單的接口不進(jìn)行認(rèn)證外聪富，其他http接口請(qǐng)求都需要進(jìn)行權(quán)限認(rèn)證斧账，以保證接口的安全埋市。

二冠桃、基于Session認(rèn)證

Session驗(yàn)證原理：

Cookie-session 認(rèn)證機(jī)制就是為一次請(qǐng)求認(rèn)證在服務(wù)端創(chuàng)建一個(gè)Session對(duì)象，同時(shí)在客戶端的瀏覽器端創(chuàng)建了一個(gè)Cookie對(duì)象道宅；通過(guò)客戶端帶上來(lái)Cookie對(duì)象來(lái)與服務(wù)器端的session對(duì)象匹配來(lái)實(shí)現(xiàn)狀態(tài)管理的食听。默認(rèn)的，當(dāng)我們關(guān)閉瀏覽器的時(shí)候污茵，cookie會(huì)被刪除樱报。但可以通過(guò)修改cookie 的expire time使cookie在一定時(shí)間內(nèi)有效；?

但是這種基于cookie-session的認(rèn)證使應(yīng)用本身很難得到擴(kuò)展泞当，隨著不同客戶端用戶的增加迹蛤，獨(dú)立的服務(wù)器已無(wú)法承載更多的用戶，而這時(shí)候基于session認(rèn)證應(yīng)用的問(wèn)題就會(huì)暴露出來(lái)。

基于session認(rèn)證所顯露的問(wèn)題：

服務(wù)端開(kāi)銷大

每個(gè)用戶經(jīng)過(guò)我們的應(yīng)用認(rèn)證之后笤受，我們的應(yīng)用都要在服務(wù)端做一次記錄穷缤，以方便用戶下次請(qǐng)求的鑒別，通常而言session都是保存在內(nèi)存中箩兽，而隨著認(rèn)證用戶的增多，服務(wù)端的開(kāi)銷會(huì)明顯增大章喉。

擴(kuò)展性受到限制

用戶認(rèn)證之后汗贫，服務(wù)端做認(rèn)證記錄，如果認(rèn)證的記錄被保存在內(nèi)存中的話秸脱，這意味著用戶下次請(qǐng)求還必須要請(qǐng)求在這臺(tái)服務(wù)器上,這樣才能拿到授權(quán)的資源落包，這樣在分布式的應(yīng)用上，相應(yīng)的限制了負(fù)載均衡器的能力摊唇。這也意味著限制了應(yīng)用的擴(kuò)展能力咐蝇。

CSRF攻擊

因?yàn)槭腔赾ookie來(lái)進(jìn)行用戶識(shí)別的, cookie如果被截獲，用戶就會(huì)很容易受到跨站請(qǐng)求偽造的攻擊

三巷查、基于Token+簽名驗(yàn)證規(guī)則

背景介紹：

當(dāng)我們處理接口請(qǐng)求時(shí)有序，想必都會(huì)考慮到接口安全性問(wèn)題，那么在寫開(kāi)放的API接口時(shí)是如何保證數(shù)據(jù)的安全性的岛请？先來(lái)看看有哪些安全性問(wèn)題在開(kāi)放的api接口中旭寿，我們通過(guò)http Post或者Get方式請(qǐng)求服務(wù)器的時(shí)候，會(huì)面臨著許多的安全性問(wèn)題崇败，例如：

請(qǐng)求來(lái)源(身份)是否合法盅称？

請(qǐng)求參數(shù)被篡改？

請(qǐng)求的唯一性(不可復(fù)制)后室，防止請(qǐng)求被惡意攻擊

為了保證數(shù)據(jù)在通信時(shí)的安全性缩膝，我們可以采用TOKEN+參數(shù)簽名的方式來(lái)進(jìn)行相關(guān)驗(yàn)證。

不進(jìn)行驗(yàn)證的情況

api查詢接口：

客戶端調(diào)用：http://api.XXX.com/getProduct?id=vaule

如上岸霹，這種方式簡(jiǎn)單粗暴疾层，在瀏覽器直接輸入"http://api.XXX.com/getProduct?id=vaule"，即可獲取產(chǎn)品列表信息了松申，但是這樣的方式會(huì)存在很嚴(yán)重的安全性問(wèn)題云芦，沒(méi)有進(jìn)行任何的驗(yàn)證，大家都可以通過(guò)這個(gè)方法獲取到產(chǎn)品列表贸桶，導(dǎo)致產(chǎn)品信息泄露舅逸。

那么，如何驗(yàn)證調(diào)用者身份呢皇筛？如何防止參數(shù)被篡改呢琉历？如何保證請(qǐng)求的唯一性？ 如何保證請(qǐng)求的唯一性，防止請(qǐng)求被惡意攻擊呢旗笔？

使用Token+簽名認(rèn)證 的情況（保證請(qǐng)求安全性）

Token+簽名認(rèn)證的主要原理

1.做一個(gè)認(rèn)證服務(wù)彪置，提供一個(gè)認(rèn)證的webapi，用戶先訪問(wèn)它獲取對(duì)應(yīng)的token

?2.用戶拿著相應(yīng)的token以及請(qǐng)求的參數(shù)和服務(wù)器端提供的簽名算法計(jì)算出簽名后再去訪問(wèn)指定的api

3.服務(wù)器端每次接收到請(qǐng)求就獲取對(duì)應(yīng)用戶的token和請(qǐng)求參數(shù)蝇恶，服務(wù)器端再次計(jì)算簽名和客戶端簽名做對(duì)比拳魁，如果驗(yàn)證通過(guò)則正常訪問(wèn)相應(yīng)的api，驗(yàn)證失敗則返回具體的失敗信息

Token認(rèn)證的優(yōu)點(diǎn)：

支持跨域訪問(wèn)?

Cookie是不允許垮域訪問(wèn)的撮弧，這一點(diǎn)對(duì)Token機(jī)制是不存在的潘懊，前提是傳輸?shù)挠脩粽J(rèn)證信息通過(guò)HTTP頭傳輸.

無(wú)狀態(tài)(服務(wù)端可擴(kuò)展行)?

Token機(jī)制在服務(wù)端不需要存儲(chǔ)session信息，因?yàn)門oken 自身包含了所有登錄用戶的信息贿衍，只需要在客戶端的cookie或本地介質(zhì)存儲(chǔ)狀態(tài)信息.

更適用CDN:?

可以通過(guò)內(nèi)容分發(fā)網(wǎng)絡(luò)請(qǐng)求你服務(wù)端的所有資料（如：javascript授舟，HTML,圖片等），而你的服務(wù)端只要提供API即可.

去耦:?

不需要綁定到一個(gè)特定的身份驗(yàn)證方案贸辈。Token可以在任何地方生成释树，只要在你的API被調(diào)用的時(shí)候，你可以進(jìn)行Token生成調(diào)用即可.

更適用于移動(dòng)應(yīng)用?

當(dāng)你的客戶端是一個(gè)原生平臺(tái)（iOS, Android擎淤，Windows 8等）時(shí)奢啥，Cookie是不被支持的（你需要通過(guò)Cookie容器進(jìn)行處理），這時(shí)采用Token認(rèn)證機(jī)制就會(huì)簡(jiǎn)單得多揉燃。

CSRF(跨站請(qǐng)求偽造Cross-site request forgery)?

因?yàn)椴辉僖蕾囉贑ookie扫尺，所以你就不需要考慮對(duì)CSRF（跨站請(qǐng)求偽造）的防范。

性能:?

一次網(wǎng)絡(luò)往返時(shí)間（通過(guò)數(shù)據(jù)庫(kù)查詢session信息）總比做一次HMACSHA256計(jì)算 的Token驗(yàn)證和解析要費(fèi)時(shí)得多.

不需要為登錄頁(yè)面做特殊處理:?

如果你使用Protractor 做功能測(cè)試的時(shí)候炊汤，不再需要為登錄頁(yè)面做特殊處理.

基于標(biāo)準(zhǔn)化?

你的API可以采用標(biāo)準(zhǔn)化的 JSON Web Token (JWT). 這個(gè)標(biāo)準(zhǔn)已經(jīng)存在多個(gè)后端庫(kù)（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）

附：

為什么要使用TOKEN+簽名認(rèn)證的方式正驻？單獨(dú)使用TOKEN或者單獨(dú)使用簽名認(rèn)證不行嗎？詳見(jiàn)

Token與簽名區(qū)別分析