1 HTTP Basic Auth
HTTP Basic Auth簡單點說明就是每次請求API時都提供用戶的username和password哥攘,簡言之贡定,Basic Auth是配合RESTful API 使用的最簡單的認(rèn)證方式,只需提供用戶名密碼即可碟狞,但由于有把用戶名密碼暴露給第三方客戶端的風(fēng)險啄枕,在生產(chǎn)環(huán)境下被使用的越來越少。因此族沃,在開發(fā)對外開放的RESTful API時频祝,盡量避免采用HTTP Basic Auth
2 OAuth
OAuth(開放授權(quán))是一個開放的授權(quán)標(biāo)準(zhǔn),允許用戶讓第三方應(yīng)用訪問該用戶在某一web服務(wù)上存儲的私密的資源(如照片脆淹,視頻常空,聯(lián)系人列表),而無需將用戶名和密碼提供給第三方應(yīng)用盖溺。
OAuth允許用戶提供一個令牌漓糙,而不是用戶名和密碼來訪問他們存放在特定服務(wù)提供者的數(shù)據(jù)。每一個令牌授權(quán)一個特定的第三方系統(tǒng)(例如烘嘱,視頻編輯網(wǎng)站)在特定的時段(例如昆禽,接下來的2小時內(nèi))內(nèi)訪問特定的資源(例如僅僅是某一相冊中的視頻)蝗蛙。這樣,OAuth讓用戶可以授權(quán)第三方網(wǎng)站訪問他們存儲在另外服務(wù)提供者的某些特定信息醉鳖,而非所有內(nèi)容
下面是OAuth2.0的流程:
這種基于OAuth的認(rèn)證機制適用于個人消費者類的互聯(lián)網(wǎng)產(chǎn)品歼郭,如社交類APP等應(yīng)用,但是不太適合擁有自有認(rèn)證權(quán)限管理的企業(yè)應(yīng)用辐棒;
3 Cookie Auth
Cookie認(rèn)證機制就是為一次請求認(rèn)證在服務(wù)端創(chuàng)建一個Session對象病曾,同時在客戶端的瀏覽器端創(chuàng)建了一個Cookie對象;通過客戶端帶上來Cookie對象來與服務(wù)器端的session對象匹配來實現(xiàn)狀態(tài)管理的漾根。默認(rèn)的泰涂,當(dāng)我們關(guān)閉瀏覽器的時候,cookie會被刪除辐怕。但可以通過修改cookie 的expire time使cookie在一定時間內(nèi)有效逼蒙;
4 Token Auth
Token Auth的優(yōu)點
Token機制相對于Cookie機制又有什么好處呢?
1.支持跨域訪問: Cookie是不允許垮域訪問的寄疏,這一點對Token機制是不存在的是牢,前提是傳輸?shù)挠脩粽J(rèn)證信息通過HTTP頭傳輸.
2.無狀態(tài)(也稱:服務(wù)端可擴(kuò)展行):Token機制在服務(wù)端不需要存儲session信息,因為Token 自身包含了所有登錄用戶的信息陕截,只需要在客戶端的cookie或本地介質(zhì)存儲狀態(tài)信息.
3.更適用CDN: 可以通過內(nèi)容分發(fā)網(wǎng)絡(luò)請求你服務(wù)端的所有資料(如:javascript驳棱,HTML,圖片等),而你的服務(wù)端只要提供API即可.
4.去耦: 不需要綁定到一個特定的身份驗證方案农曲。Token可以在任何地方生成社搅,只要在你的API被調(diào)用的時候,你可以進(jìn)行Token生成調(diào)用即可.
5.更適用于移動應(yīng)用: 當(dāng)你的客戶端是一個原生平臺(iOS, Android乳规,Windows 8等)時形葬,Cookie是不被支持的(你需要通過Cookie容器進(jìn)行處理),這時采用Token認(rèn)證機制就會簡單得多暮的。
6.CSRF:因為不再依賴于Cookie笙以,所以你就不需要考慮對CSRF(跨站請求偽造)的防范。
7.性能: 一次網(wǎng)絡(luò)往返時間(通過數(shù)據(jù)庫查詢session信息)總比做一次HMACSHA256計算 的Token驗證和解析要費時得多.
8.不需要為登錄頁面做特殊處理: 如果你使用Protractor 做功能測試的時候冻辩,不再需要為登錄頁面做特殊處理.
9.基于標(biāo)準(zhǔn)化:你的API可以采用標(biāo)準(zhǔn)化的 JSON Web Token (JWT). 這個標(biāo)準(zhǔn)已經(jīng)存在多個后端庫(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).
