web token身份验证
来源:互联网 发布:linux vsftpd 安装 编辑:程序博客网 时间:2024/06/03 16:34
一:为什么需要token身份验证:
以前使用的身份验证包括:
HTTP Basic Auth
HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth
Cookie Auth
Cookie认证机制就是为一次请求认证在服务端创建一个Session对象,同时在客户端的浏览器端创建了一个Cookie对象;通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的expire time使cookie在一定时间内有效;
Token Auth
传统身份验证的方法
HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID号发送给客户端,客户端收到以后把这个 ID号存储在 Cookie里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie,这样服务端会验证一个这个 Cookie里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。
上面说的就是 Session,我们需要在服务端存储为登录的用户生成的 Session,这些 Session可能会存储在内存,磁盘,或者数据库里。我们可能需要在服务端定期的去清理过期的 Session。
基于 Token 的身份验证方法
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
- 客户端使用用户名跟密码请求登录
- 服务端收到请求,去验证用户名与密码
- 验证成功后,服务端会签发一个 Token,再把这个 Token发送给客户端
- 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie里或者 Local Storage里
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
- 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
Token机制相对于Cookie机制又有什么好处呢?
- 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.
- 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.
- 更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可.
- 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可.
- 更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。
- CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。
- 性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多.
- 不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理.
- 基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).
http://www.cnblogs.com/xiekeli/p/5607107.html
- web token身份验证
- 基于 Token 的身份验证
- 基于 Token 的身份验证
- 基于 Token 的身份验证
- 基于 Token 的身份验证
- 基于Token的身份验证
- 基于 Token 的身份验证
- 基于 Token 的身份验证
- Token的身份验证
- 基于Token的身份验证
- 基于 Token 的身份验证
- 基于Token的身份验证
- 基于 Token 的身份验证
- 基于 Token 的身份验证
- 基于 Token 的身份验证
- 基于 Token 的身份验证
- JAVA中的Token 基于Token的身份验证
- Web身份验证
- python基础语法
- java类型与mysql的映射对应表
- js完成逗号隔开数字
- javaMath类随机数math.random()
- maven加载多个模块 SpringMVC NO Mapping
- web token身份验证
- 紫书第二章-----循环结构程序设计
- Swift语言中与C-C++和Java不同的语法(四)
- 使用Spring CommonsMultipartResolver 上传文件
- Spring Boot 实例通过接口安全退出
- 用Python学《微积分B》(换元法与分部积分)
- jenkins学习资料整理
- Android startActivityForResult
- 【Spring】使用dom4j与反射实现Spring IOC
