鉴权的4种基本方法

一、基于服务器常出现的问题

Seesions&＃xff1a; 每次认证用户发起请求时&＃xff0c;服务器需要去创建一个记录来存储信息。当越来越多的用户发请求时&＃xff0c;内存的开销也会不断增加。
可扩展性&＃xff1a; 由于sessions存放在服务器内存中&＃xff0c;伴随而来的是可扩展性问题。当我们想要增加服务器来解决负载问题时&＃xff0c;session里的关键性信息会限制我们的扩展。
CORS(跨域资源共享)&＃xff1a; 当我们扩展应用程序&＃xff0c;让数据能够从不同设备上访问时&＃xff0c;跨域资源的共享会是一个让人头疼的问题。在使用Ajax抓取另一个域的资源时&＃xff08;移动端访问我们的API服务器&＃xff09;&＃xff0c;可能会出现禁止请求的情况。
CSRF(跨站请求伪造)&＃xff1a; 用户在访问银行网站时&＃xff0c;他们很容易受到跨站请求伪造的攻击&＃xff0c;并且能够被利用其访问其他的网站。

二、常用鉴权方式

• HTTPBasicAuthentication(HTTP基本认证);
• session-COOKIE;
• Token验证(包括JWT,SSO);
• OAuth(开放授权).

2.1 HTTPBasicAuthentication(HTTP基本认证)

浏览器会弹出一个登录验证的对话框

1.浏览器第一次向服务器发送http请求&＃xff0c;服务器响应回401 Unauthozied状态码&＃xff0c;在ResponseHeader”WWW-Authenticate”添加信息;

2.浏览器接收到401Unauthozied后&＃xff0c;弹出登录验证的对话框获取用户输入的信息&＃xff0c;并使用BASE64编码&＃xff0c;放在ResponseHeader的Authorization中发送给服务器;

3.服务器将Authorizationheader中的信息取出&＃xff0c;进行验证&＃xff0c;如果验证通过&＃xff0c;将根据请求&＃xff0c;发送资源给客户端。

2.2 session-COOKIE

利用服务器的session和浏览器的COOKIE来实现前后端认证的&＃xff0c;在服务器创建的session集合&＃xff0c;将同一个客户端的请求都维护在各自的session中&＃xff0c;每当服务器接收到浏览器的COOKIE请求时&＃xff0c;会在session集合中查询对应的s_id&＃xff0c;如果有就确认身份成功。

缺点

• 服务器内存消耗大:用户每做一次应用认证,应用就会在服务端做一次记录,以方便用户下次请求时使用,随着认证用
• 户的增加,服务器的消耗就会越大&＃xff1b;
• 易受到CSRF攻击:基于COOKIE的一种跨站伪造攻击,基于COOKIE来进行识别用户的话,用户本身就携带了值,COOKIE被截获,用户就很容易被伪造;
• 扩展不好&＃xff1a;当增加为多台服务器时&＃xff0c;会涉及到session共享的问题&＃xff0c;因此不利于服务器的扩展。

2.3 Token认证&＃xff08;常用&＃xff09;

Token验证也叫令牌&＃xff0c;是一种无状态身份验证方式&＃xff0c;不用将用户信息存在服务器或Session中去除了服务器内耗问题&＃xff1b;当用户第一次登录时&＃xff0c;服务器生成一个token并返回客户端&＃xff0c;除用户端将保存的token失效或者删除之外&＃xff0c;在接下来的请求时&＃xff0c;只要带着这个令牌请求数据即可。

实现步骤&＃xff1a;
1.用户通过用户名和密码发送请求&＃xff1b;
2.程序验证&＃xff1b;
3.程序返回一个签名的token 给客户端&＃xff1b;
4.客户端储存token,并且每次请求都会附带它&＃xff1b;
5.服务端验证token并返回数据。

优点
1.无状态、可扩展
在客户端存储的token是无状态的&＃xff0c;并且能够被扩展。基于这种无状态和不存储Session信息&＃xff0c;负载均衡服务器能够将用户的请求传递到任何一台服务器上&＃xff0c;因为服务器与用户信息没有关联。当用户量大时&＃xff0c;可能会造成一些拥堵。使用token完美解决了此问题。

2.安全性
能够防止CSRF(跨站请求伪造)攻击。Token是有时效的&＃xff0c;一段时间之后用户需要重新验证。无需等到token自动失效&＃xff0c;token有撤回的操作&＃xff0c;通过token revocataion可以使一个特定的token或是一组有相同认证的token无效。

3.可扩展性
使用Tokens能够与其它应用共享权限。例如&＃xff0c;能将一个博客帐号和自己的QQ号关联起来。当通过一个第三方平台登录QQ时&＃xff0c;我们可以将一个博客发到QQ平台中。
使用token&＃xff0c;可以给第三方应用程序提供自定义的权限限制。当用户想让一个第三方应用程序访问它们的数据时&＃xff0c;我们可以通过建立自己的API&＃xff0c;给出具有特殊权限的tokens。

4.多平台与跨域
解决CORS(跨域资源共享)问题。当应用和服务不断扩大&＃xff0c;需要通过多种不同平台或其他应用来接入我们的服务时。可从CDN提供服务。在为我们的应用程序做 Access-Control-Allow-Origin: * 的配置之后&＃xff0c;就可以消除CORS带来的问题。只要用户有一个通过了验证的token&＃xff0c;数据和资源就能够在任何域上被请求到。

缺点&＃xff1a;
占带宽: 正常情况下token要比session_id更大&＃xff0c;需要消耗更多流量&＃xff0c;挤占更多带宽.(不过几乎可以忽略)&＃xff1b;
性能问题: 相比于session-COOKIE来说&＃xff0c;token需要服务端花费更多的时间和性能来对token进行解密验证.其实Token相比于session-COOKIE来说就是一个"时间换空间"的方案。

2.4 OAuth(开放授权)&＃xff08;流行&＃xff09;

OAuth 就是一种授权机制。用来授权第三方应用&＃xff0c;获取用户数据。通过数据的所有者授权第三方应用进入系统&＃xff0c;系统从而产生一个临时的令牌&＃xff0c;代替密码&＃xff0c;授权第三方应用使用权限。
优点
可控姓&＃xff1a; 保证了令牌既可以让第三方应用获得权限&＃xff0c;同时又随时可控&＃xff0c;不会危及系统安全&＃xff1b;
方便性&＃xff1a; 只要知道了令牌&＃xff0c;就能进入系统&＃xff1b;
重要性&＃xff1a; 系统一般不会再次确认身份&＃xff0c;所以令牌必须保密&＃xff0c;泄漏令牌与泄漏密码的后果是一样的&＃xff0c;这也是为什么令牌的有效期&＃xff0c;一般都设置得很短的原因。

三、鉴权方式的区别

3.1 Token与session的区别

登录状态&＃xff1a; 使用Token,服务端不需要保存状态。里面本身就保存着用户的登陆状态&＃xff0c;Token不需要借助COOKIE的&＃xff1b;
时效性&＃xff1a; session-COOKIE的sessionid是在登陆的时候生成的而且在登出时一直不变的&＃xff0c;在一定程度上安全就会低&＃xff0c;而 token是可以在一段时间内动态改变的&＃xff1b;
可扩展性&＃xff1a; 服务端并不保存token 信息&＃xff0c;所以token具有更好的扩展性。

3.2 令牌&＃xff08;token&＃xff09;与密码-OAuth&＃xff08;password&＃xff09;

时效性&＃xff1a; 令牌是短期的&＃xff0c;到期会自动失效&＃xff0c;用户自己无法修改。密码一般长期有效&＃xff0c;用户不修改&＃xff0c;就不会发生变化&＃xff1b;
可控性&＃xff1a; 令牌可以被数据所有者撤销&＃xff0c;会立即失效&＃xff0c;密码一般不允许被撤销&＃xff1b;
权限范围&＃xff1a; 令牌有权限范围&＃xff08;scope&＃xff09;&＃xff0c;对于网络服务来说&＃xff0c;只读令牌就比读写令牌更安全。密码一般是完整权限。