常見的前后端鑒權(quán)方式
- Session-Cookie
- Token 驗(yàn)證(包括JWT磨淌,SSO)
- OAuth2.0(開放授權(quán))
什么是認(rèn)證(Authentication)
- 通俗地講就是驗(yàn)證當(dāng)前用戶的身份疲憋,證明“你是你自己”(比如:你每天上下班打卡,都需要通過指紋打卡梁只,當(dāng)你的指紋和系統(tǒng)里錄入的指紋相匹配時(shí)缚柳,就打卡成功)
- 互聯(lián)網(wǎng)中的認(rèn)證:
- 用戶名密碼登錄
- 郵箱發(fā)送登錄鏈接
- 手機(jī)號(hào)接收驗(yàn)證碼
- 只要你能收到郵箱/驗(yàn)證碼,就默認(rèn)你是賬號(hào)的主人
什么是授權(quán)(Authorization)
- 用戶授予第三方應(yīng)用訪問該用戶某些資源的權(quán)限
- 你在安裝手機(jī)應(yīng)用的時(shí)候搪锣,APP 會(huì)詢問是否允許授予權(quán)限(訪問相冊(cè)秋忙、地理位置等權(quán)限)
- 你在訪問微信小程序時(shí),當(dāng)?shù)卿洉r(shí)构舟,小程序會(huì)詢問是否允許授予權(quán)限(獲取昵稱灰追、頭像、地區(qū)、性別等個(gè)人信息)
- 實(shí)現(xiàn)授權(quán)的方式有:cookie弹澎、session朴下、token、OAuth
什么是憑證(Credentials)
- 實(shí)現(xiàn)認(rèn)證和授權(quán)的前提是需要一種媒介(證書) 來標(biāo)記訪問者的身份
- 在戰(zhàn)國時(shí)期裁奇,商鞅變法桐猬,發(fā)明了照身帖。照身帖由官府發(fā)放刽肠,是一塊打磨光滑細(xì)密的竹板溃肪,上面刻有持有人的頭像和籍貫信息。國人必須持有音五,如若沒有就被認(rèn)為是黑戶惫撰,或者間諜之類的。
- 在現(xiàn)實(shí)生活中躺涝,每個(gè)人都會(huì)有一張專屬的居民身份證厨钻,是用于證明持有人身份的一種法定證件。通過身份證坚嗜,我們可以辦理手機(jī)卡/銀行卡/個(gè)人貸款/交通出行等等夯膀,這就是認(rèn)證的憑證。
- 在互聯(lián)網(wǎng)應(yīng)用中苍蔬,一般網(wǎng)站(如掘金)會(huì)有兩種模式诱建,游客模式和登錄模式。游客模式下碟绑,可以正常瀏覽網(wǎng)站上面的文章俺猿,一旦想要點(diǎn)贊/收藏/分享文章,就需要登錄或者注冊(cè)賬號(hào)格仲。當(dāng)用戶登錄成功后押袍,服務(wù)器會(huì)給該用戶使用的瀏覽器頒發(fā)一個(gè)令牌(token),這個(gè)令牌用來表明你的身份凯肋,每次瀏覽器發(fā)送請(qǐng)求時(shí)會(huì)帶上這個(gè)令牌谊惭,就可以使用游客模式下無法使用的功能。
什么是Cookie
- HTTP 是無狀態(tài)的協(xié)議(對(duì)于事務(wù)處理沒有記憶能力侮东,每次客戶端和服務(wù)端會(huì)話完成時(shí)午笛,服務(wù)端不會(huì)保存任何會(huì)話信息):每個(gè)請(qǐng)求都是完全獨(dú)立的,服務(wù)端無法確認(rèn)當(dāng)前訪問者的身份信息苗桂,無法分辨上一次的請(qǐng)求發(fā)送者和這一次的發(fā)送者是不是同一個(gè)人药磺。所以服務(wù)器與瀏覽器為了進(jìn)行會(huì)話跟蹤(知道是誰在訪問我),就必須主動(dòng)的去維護(hù)一個(gè)狀態(tài)煤伟,這個(gè)狀態(tài)用于告知服務(wù)端前后兩個(gè)請(qǐng)求是否來自同一瀏覽器癌佩。而這個(gè)狀態(tài)需要通過 cookie 或者 session 去實(shí)現(xiàn)木缝。
- cookie 存儲(chǔ)在客戶端: cookie 是服務(wù)器發(fā)送到用戶瀏覽器并保存在本地的一小塊數(shù)據(jù),它會(huì)在瀏覽器下次向同一服務(wù)器再發(fā)起請(qǐng)求時(shí)被攜帶并發(fā)送到服務(wù)器上围辙。
- cookie 是不可跨域的: 每個(gè) cookie 都會(huì)綁定單一的域名我碟,無法在別的域名下獲取使用,一級(jí)域名和二級(jí)域名之間是允許共享使用的(靠的是 domain)姚建。
什么是Session
- session 是另一種記錄服務(wù)器和客戶端會(huì)話狀態(tài)的機(jī)制
-
session 是基于 cookie 實(shí)現(xiàn)的矫俺,session 存儲(chǔ)在服務(wù)器端,sessionId 會(huì)被存儲(chǔ)到客戶端的cookie 中
image.png - session 認(rèn)證流程:
- 用戶第一次請(qǐng)求服務(wù)器的時(shí)候掸冤,服務(wù)器根據(jù)用戶提交的相關(guān)信息厘托,創(chuàng)建對(duì)應(yīng)的 Session
- 請(qǐng)求返回時(shí)將此 Session 的唯一標(biāo)識(shí)信息 SessionID 返回給瀏覽器
- 瀏覽器接收到服務(wù)器返回的 SessionID 信息后,會(huì)將此信息存入到 Cookie 中稿湿,同時(shí) Cookie 記錄此 SessionID 屬于哪個(gè)域名
- 當(dāng)用戶第二次訪問服務(wù)器的時(shí)候铅匹,請(qǐng)求會(huì)自動(dòng)判斷此域名下是否存在 Cookie 信息,如果存在自動(dòng)將 Cookie 信息也發(fā)送給服務(wù)端饺藤,服務(wù)端會(huì)從 Cookie 中獲取 SessionID包斑,再根據(jù) SessionID 查找對(duì)應(yīng)的 Session 信息,如果沒有找到說明用戶沒有登錄或者登錄失效涕俗,如果找到 Session 證明用戶已經(jīng)登錄可執(zhí)行后面操作罗丰。
根據(jù)以上流程可知,SessionID 是連接 Cookie 和 Session 的一道橋梁再姑,大部分系統(tǒng)也是根據(jù)此原理來驗(yàn)證用戶登錄狀態(tài)萌抵。
Cookie 和 Session 的區(qū)別
- 安全性: Session 比 Cookie 安全,Session 是存儲(chǔ)在服務(wù)器端的询刹,Cookie 是存儲(chǔ)在客戶端的谜嫉。
- 存取值的類型不同:Cookie 只支持存字符串?dāng)?shù)據(jù)萎坷,想要設(shè)置其他類型的數(shù)據(jù)凹联,需要將其轉(zhuǎn)換成字符串,Session 可以存任意數(shù)據(jù)類型哆档。
- 有效期不同: Cookie 可設(shè)置為長時(shí)間保持蔽挠,比如我們經(jīng)常使用的默認(rèn)登錄功能,Session 一般失效時(shí)間較短瓜浸,客戶端關(guān)閉(默認(rèn)情況下)或者 Session 超時(shí)都會(huì)失效澳淑。
- 存儲(chǔ)大小不同: 單個(gè) Cookie 保存的數(shù)據(jù)不能超過 4K,Session 可存儲(chǔ)數(shù)據(jù)遠(yuǎn)高于 Cookie插佛,但是當(dāng)訪問量過多杠巡,會(huì)占用過多的服務(wù)器資源。
什么是 Token(令牌)
Acesss Token
- 訪問資源接口(API)時(shí)所需要的資源憑證
- 簡單 token 的組成: uid(用戶唯一的身份標(biāo)識(shí))雇寇、time(當(dāng)前時(shí)間的時(shí)間戳)氢拥、sign(簽名蚌铜,token 的前幾位以哈希算法壓縮成的一定長度的十六進(jìn)制字符串)
- 特點(diǎn):
- 服務(wù)端無狀態(tài)化、可擴(kuò)展性好
- 支持移動(dòng)端設(shè)備
- 安全
- 支持跨程序調(diào)用
-
token 的身份驗(yàn)證流程:
image.png
- 客戶端使用用戶名跟密碼請(qǐng)求登錄
- 服務(wù)端收到請(qǐng)求嫩海,去驗(yàn)證用戶名與密碼
- 驗(yàn)證成功后冬殃,服務(wù)端會(huì)簽發(fā)一個(gè) token 并把這個(gè) token 發(fā)送給客戶端
- 客戶端收到 token 以后,會(huì)把它存儲(chǔ)起來叁怪,比如放在 cookie 里或者 localStorage 里
- 客戶端每次向服務(wù)端請(qǐng)求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的 token
- 服務(wù)端收到請(qǐng)求审葬,然后去驗(yàn)證客戶端請(qǐng)求里面帶著的 token ,如果驗(yàn)證成功奕谭,就向客戶端返回請(qǐng)求的數(shù)據(jù)
- 每一次請(qǐng)求都需要攜帶 token涣觉,需要把 token 放到 HTTP 的 Header 里
-
基于 token 的用戶認(rèn)證是一種服務(wù)端無狀態(tài)的認(rèn)證方式,服務(wù)端不用存放 token 數(shù)據(jù)展箱。用解析 token 的計(jì)算時(shí)間換取 session 的存儲(chǔ)空間旨枯,從而減輕服務(wù)器的壓力,減少頻繁的查詢數(shù)據(jù)庫
token 完全由應(yīng)用管理混驰,所以它可以避開同源策略
image.png - Access Token 的有效期比較短攀隔,當(dāng) Acesss Token 由于過期而失效時(shí),使用 Refresh Token 就可以獲取到新的 Token栖榨,如果 Refresh Token 也失效了昆汹,用戶就只能重新登錄了。
- Refresh Token 及過期時(shí)間是存儲(chǔ)在服務(wù)器的數(shù)據(jù)庫中婴栽,只有在申請(qǐng)新的 Acesss Token 時(shí)才會(huì)驗(yàn)證满粗,不會(huì)對(duì)業(yè)務(wù)接口響應(yīng)時(shí)間造成影響,也不需要向 Session 一樣一直保持在內(nèi)存中以應(yīng)對(duì)大量的請(qǐng)求愚争。
Token 和 Session 的區(qū)別
- Session 是一種記錄服務(wù)器和客戶端會(huì)話狀態(tài)的機(jī)制映皆,使服務(wù)端有狀態(tài)化,可以記錄會(huì)話信息轰枝。而 Token 是令牌捅彻,訪問資源接口(API)時(shí)所需要的資源憑證。Token 使服務(wù)端無狀態(tài)化鞍陨,不會(huì)存儲(chǔ)會(huì)話信息步淹。
- Session 和 Token 并不矛盾,作為身份認(rèn)證 Token 安全性比 Session 好诚撵,因?yàn)槊恳粋€(gè)請(qǐng)求都有簽名還能防止監(jiān)聽以及重放攻擊缭裆,而 Session 就必須依賴鏈路層來保障通訊安全了。如果你需要實(shí)現(xiàn)有狀態(tài)的會(huì)話寿烟,仍然可以增加 Session 來在服務(wù)器端保存一些狀態(tài)澈驼。
- 所謂 Session 認(rèn)證只是簡單的把 User 信息存儲(chǔ)到 Session 里,因?yàn)?SessionID 的不可預(yù)測(cè)性筛武,暫且認(rèn)為是安全的缝其。而 Token 购桑,如果指的是 OAuth Token 或類似的機(jī)制的話,提供的是 認(rèn)證 和 授權(quán) 氏淑,認(rèn)證是針對(duì)用戶勃蜘,授權(quán)是針對(duì) App 。其目的是讓某 App 有權(quán)利訪問某用戶的信息假残。這里的 Token 是唯一的缭贡。不可以轉(zhuǎn)移到其它 App上,也不可以轉(zhuǎn)到其它用戶上辉懒。Session 只提供一種簡單的認(rèn)證阳惹,即只要有此 SessionID ,即認(rèn)為有此 User 的全部權(quán)利眶俩。是需要嚴(yán)格保密的莹汤,這個(gè)數(shù)據(jù)應(yīng)該只保存在站方,不應(yīng)該共享給其它網(wǎng)站或者第三方 App颠印。所以簡單來說:如果你的用戶數(shù)據(jù)可能需要和第三方共享纲岭,或者允許第三方調(diào)用 API 接口,用 Token 线罕。如果永遠(yuǎn)只是自己的網(wǎng)站止潮,自己的 App,用什么就無所謂了钞楼。
什么是 JWT
- JSON Web Token(簡稱 JWT)是目前最流行的跨域認(rèn)證解決方案喇闸。
- 是一種認(rèn)證授權(quán)機(jī)制。
- JWT 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于 JSON 的開放標(biāo)準(zhǔn)(RFC 7519)询件。JWT 的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息燃乍,以便于從資源服務(wù)器獲取資源。比如用在用戶登錄上宛琅。
-
可以使用 HMAC 算法或者是 RSA 的公/私秘鑰對(duì) JWT 進(jìn)行簽名刻蟹。因?yàn)閿?shù)字簽名的存在,這些傳遞的信息是可信的夯秃。
image.png
*JWT 認(rèn)證流程
- 用戶輸入用戶名/密碼登錄座咆,服務(wù)端認(rèn)證成功后痢艺,會(huì)返回給客戶端一個(gè) JWT
- 客戶端將 token 保存到本地(通常使用 localstorage仓洼,也可以使用 cookie)
- 當(dāng)用戶希望訪問一個(gè)受保護(hù)的路由或者資源的時(shí)候,需要請(qǐng)求頭的 Authorization 字段中使用Bearer 模式添加 JWT堤舒,其內(nèi)容看起來是下面這樣
Authorization: Bearer <token>
- 服務(wù)端的保護(hù)路由將會(huì)檢查請(qǐng)求頭 Authorization 中的 JWT 信息色建,如果合法,則允許用戶的行為
- 因?yàn)?JWT 是自包含的(內(nèi)部包含了一些會(huì)話信息)舌缤,因此減少了需要查詢數(shù)據(jù)庫的需要
- 因?yàn)?JWT 并不使用 Cookie 的箕戳,所以你可以使用任何域名提供你的 API 服務(wù)而不需要擔(dān)心跨域資源共享問題(CORS)
- 因?yàn)橛脩舻臓顟B(tài)不再存儲(chǔ)在服務(wù)端的內(nèi)存中某残,所以這是一種無狀態(tài)的認(rèn)證機(jī)制
客戶端收到服務(wù)器返回的 JWT,可以儲(chǔ)存在 Cookie 里面陵吸,也可以儲(chǔ)存在 localStorage
Token 和 JWT 的區(qū)別
相同:
- 都是訪問資源的令牌
- 都可以記錄用戶的信息
- 都是使服務(wù)端無狀態(tài)化
- 都是只有驗(yàn)證成功后玻墅,客戶端才能訪問服務(wù)端上受保護(hù)的資源
區(qū)別:
- Token:服務(wù)端驗(yàn)證客戶端發(fā)送過來的 Token 時(shí),還需要查詢數(shù)據(jù)庫獲取用戶信息壮虫,然后驗(yàn)證 Token 是否有效澳厢。
- JWT: 將 Token 和 Payload 加密后存儲(chǔ)于客戶端,服務(wù)端只需要使用密鑰解密進(jìn)行校驗(yàn)(校驗(yàn)也是 JWT 自己實(shí)現(xiàn)的)即可囚似,不需要查詢或者減少查詢數(shù)據(jù)庫剩拢,因?yàn)?JWT 自包含了用戶信息和加密的數(shù)據(jù)。
