认证类型

HTTP Basic Auth

HTTP Basic Auth简单点说明就是每次请求时都提供用户用户名和密码,把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。 因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth

OAUth2

OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一web服务上存储的私密的资源(如照片,视频,联系人列表), 而无需将用户名和密码提供给第三方应用。

OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统(例如,视频编辑网站) 在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户可以授权第三方网站访问他们存储 在另外服务提供者的某些特定信息,而非所有内容

Cookie+session

HTTP是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证, 不过下回这个客户端再发送请求时候,还得再验证一下。

Session,我们需要在服务端存储为登录的用户生成的Session,这些 Session可能会存储在内存,磁盘,或者数据库里。我们可能需要在服务端 定期的去清理过期的Session

当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的ID号发送给客户端, 客户端收到以后把这个ID号存储在Cookie里,下次这个用户再向服务端发送请求的时候,可以带着这个Cookie,这样服务端会验证一个这个 Cookie里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。

JWT

JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个 字符串,它由三部分组成,头部、载荷与签名。

results matching ""

    No results matching ""