講真,別再使用JWT了
登錄工程:傳統(tǒng) Web 應(yīng)用中的身份驗(yàn)證技術(shù)
登錄工程:現(xiàn)代 Web 應(yīng)用的典型身份驗(yàn)證需求
- 雙因子鑒權(quán)
- 單點(diǎn)登錄
- 與用戶系統(tǒng)的集成伍掀,與業(yè)務(wù)系統(tǒng)的分離
郵箱可以作為一種登錄方式掰茶,還可以被作為聯(lián)系方式。當(dāng)我們?cè)谙到y(tǒng)中修改了語(yǔ)言蜜笤,在其子系統(tǒng)中語(yǔ)言會(huì)隨著改變濒蒋。
- 開(kāi)放第三方 API,迎接更多的用戶
Basic Authentication
在 http header 中增加參數(shù)
將在客戶端彈出了一個(gè)處于 pending 狀態(tài)的輸入窗口,輸入后會(huì)進(jìn)行簡(jiǎn)單的 Base64 轉(zhuǎn)碼傳輸沪伙。
Session-Cookie
Session
因?yàn)?http 是無(wú)狀態(tài)的瓮顽, session 存在于后端,session 生成的 sessionId 作為用戶的唯一標(biāo)識(shí)围橡,由服務(wù)器端控制暖混。
Cookie
本質(zhì)是 Http header 的一個(gè)字段,內(nèi)容是鍵值對(duì)
在 Session-Cookie 鑒權(quán)中翁授,用戶每一次請(qǐng)求中都會(huì)附帶 session 生成的 sessionId 拣播,session 存放在 cookie 中,所以只要誰(shuí)擁有這個(gè) cookie收擦,誰(shuí)就相當(dāng)于用戶贮配,所以在此基礎(chǔ)上很容易受到 XSS
XSS(跨站腳本攻擊)
通過(guò)使用 JS 來(lái)截取 sessionId
CSRF(跨站請(qǐng)求偽造)
與 XSS 相似,這兩種很容易被混淆塞赂。CSRF 是一種形式泪勒,XSS 是一種具體的實(shí)施。
如果你是 XSS宴猾,那你必然是 CSRF
但我 CSRF 直接通過(guò) http 請(qǐng)求模擬用戶圆存,那就不算是 XSS
