二、常用鉴权方式Seesions: 每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时,内存的开销也会不断增加。
可扩展性: 由于sessions存放在服务器内存中,伴随而来的是可扩展性问题。当我们想要增加服务器来解决负载问题时,session里的关键性信息会限制我们的扩展。
CORS(跨域资源共享): 当我们扩展应用程序,让数据能够从不同设备上访问时,跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源时(移动端访问我们的API服务器),可能会出现禁止请求的情况。
CSRF(跨站请求伪造): 用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,并且能够被利用其访问其他的网站。
2.1 HTTPBasicAuthentication(HTTP基本认证)
- HTTPBasicAuthentication(HTTP基本认证);
- session-cookie;
- Token验证(包括JWT,SSO);
- OAuth(开放授权).
浏览器会弹出一个登录验证的对话框
1.浏览器第一次向服务器发送http请求,服务器响应回401 Unauthozied状态码,在ResponseHeader”WWW-Authenticate”添加信息;
2.浏览器接收到401Unauthozied后,弹出登录验证的对话框获取用户输入的信息,并使用base64编码,放在ResponseHeader的Authorization中发送给服务器;
2.2 session-cookie3.服务器将Authorizationheader中的信息取出,进行验证,如果验证通过,将根据请求,发送资源给客户端。
利用服务器的session和浏览器的cookie来实现前后端认证的,在服务器创建的session集合,将同一个客户端的请求都维护在各自的session中,每当服务器接收到浏览器的cookie请求时,会在session集合中查询对应的s_id,如果有就确认身份成功。
缺点
2.3 Token认证(常用)
- 服务器内存消耗大:用户每做一次应用认证,应用就会在服务端做一次记录,以方便用户下次请求时使用,随着认证用
- 户的增加,服务器的消耗就会越大;
- 易受到CSRF攻击:基于cookie的一种跨站伪造攻击,基于cookie来进行识别用户的话,用户本身就携带了值,cookie被截获,用户就很容易被伪造;
- 扩展不好:当增加为多台服务器时,会涉及到session共享的问题,因此不利于服务器的扩展。
Token验证也叫令牌,是一种无状态身份验证方式,不用将用户信息存在服务器或Session中去除了服务器内耗问题;当用户第一次登录时,服务器生成一个token并返回客户端,除用户端将保存的token失效或者删除之外,在接下来的请求时,只要带着这个令牌请求数据即可。
实现步骤:
1.用户通过用户名和密码发送请求;
2.程序验证;
3.程序返回一个签名的token 给客户端;
4.客户端储存token,并且每次请求都会附带它;
5.服务端验证token并返回数据。
优点
1.无状态、可扩展
在客户端存储的token是无状态的,并且能够被扩展。基于这种无状态和不存储Session信息,负载均衡服务器能够将用户的请求传递到任何一台服务器上,因为服务器与用户信息没有关联。当用户量大时,可能会造成一些拥堵。使用token完美解决了此问题。
2.安全性
能够防止CSRF(跨站请求伪造)攻击。Token是有时效的,一段时间之后用户需要重新验证。无需等到token自动失效,token有撤回的操作,通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。
3.可扩展性
使用Tokens能够与其它应用共享权限。例如,能将一个博客帐号和自己的QQ号关联起来。当通过一个第三方平台登录QQ时,我们可以将一个博客发到QQ平台中。
使用token,可以给第三方应用程序提供自定义的权限限制。当用户想让一个第三方应用程序访问它们的数据时,我们可以通过建立自己的API,给出具有特殊权限的tokens。
4.多平台与跨域
解决CORS(跨域资源共享)问题。当应用和服务不断扩大,需要通过多种不同平台或其他应用来接入我们的服务时。可从CDN提供服务。在为我们的应用程序做 Access-Control-Allow-Origin: * 的配置之后,就可以消除CORS带来的问题。只要用户有一个通过了验证的token,数据和资源就能够在任何域上被请求到。
2.4 OAuth(开放授权)(流行)缺点:
占带宽: 正常情况下token要比session_id更大,需要消耗更多流量,挤占更多带宽.(不过几乎可以忽略);
性能问题: 相比于session-cookie来说,token需要服务端花费更多的时间和性能来对token进行解密验证.其实Token相比于session-cookie来说就是一个"时间换空间"的方案。
三、鉴权方式的区别 3.1 Token与session的区别OAuth 就是一种授权机制。用来授权第三方应用,获取用户数据。通过数据的所有者授权第三方应用进入系统,系统从而产生一个临时的令牌,代替密码,授权第三方应用使用权限。
优点
可控姓: 保证了令牌既可以让第三方应用获得权限,同时又随时可控,不会危及系统安全;
方便性: 只要知道了令牌,就能进入系统;
重要性: 系统一般不会再次确认身份,所以令牌必须保密,泄漏令牌与泄漏密码的后果是一样的,这也是为什么令牌的有效期,一般都设置得很短的原因。
3.2 令牌(token)与密码-OAuth(password)登录状态: 使用Token,服务端不需要保存状态。里面本身就保存着用户的登陆状态,Token不需要借助cookie的;
时效性: session-cookie的sessionid是在登陆的时候生成的而且在登出时一直不变的,在一定程度上安全就会低,而 token是可以在一段时间内动态改变的;
可扩展性: 服务端并不保存token 信息,所以token具有更好的扩展性。
时效性: 令牌是短期的,到期会自动失效,用户自己无法修改。密码一般长期有效,用户不修改,就不会发生变化;
可控性: 令牌可以被数据所有者撤销,会立即失效,密码一般不允许被撤销;
权限范围: 令牌有权限范围(scope),对于网络服务来说,只读令牌就比读写令牌更安全。密码一般是完整权限。
