几种经常使用的认证机制
===================转自https://www.cnblogs.com/xiekeli/红心李的文章======================javascript
我是一个测试人员,在学习postman进行鉴权发现的好文,特转载!css
HTTP Basic Auth
HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码便可,但因为有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的愈来愈少。所以,在开发对外开放的RESTful API时,尽可能避免采用HTTP Basic Authjava
OAuth
OAuth(开放受权)是一个开放的受权标准,容许用户让第三方应用访问该用户在某一web服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。web
OAuth容许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每个令牌受权一个特定的第三方系统(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户能够受权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非全部内容
下面是OAuth2.0的流程:
算法
这种基于OAuth的认证机制适用于我的消费者类的互联网产品,如社交类APP等应用,可是不太适合拥有自有认证权限管理的企业应用;数据库
Cookie Auth
Cookie认证机制就是为一次请求认证在服务端建立一个Session对象,同时在客户端的浏览器端建立了一个Cookie对象;经过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的,当咱们关闭浏览器的时候,cookie会被删除。但能够经过修改cookie 的expire time使cookie在必定时间内有效;json
Token Auth
Token Auth的优势
Token机制相对于Cookie机制又有什么好处呢?后端
- 支持跨域访问: Cookie是不容许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息经过HTTP头传输.
- 无状态(也称:服务端可扩展行):Token机制在服务端不须要存储session信息,由于Token 自身包含了全部登陆用户的信息,只须要在客户端的cookie或本地介质存储状态信息.
- 更适用CDN: 能够经过内容分发网络请求你服务端的全部资料(如:javascript,HTML,图片等),而你的服务端只要提供API便可.
- 去耦: 不须要绑定到一个特定的身份验证方案。Token能够在任何地方生成,只要在你的API被调用的时候,你能够进行Token生成调用便可.
- 更适用于移动应用: 当你的客户端是一个原平生台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你须要经过Cookie容器进行处理),这时采用Token认证机制就会简单得多。
- CSRF:由于再也不依赖于Cookie,因此你就不须要考虑对CSRF(跨站请求伪造)的防范。
- 性能: 一次网络往返时间(经过数据库查询session信息)总比作一次HMACSHA256计算 的Token验证和解析要费时得多.
- 不须要为登陆页面作特殊处理: 若是你使用Protractor 作功能测试的时候,再也不须要为登陆页面作特殊处理.
- 基于标准化:你的API能够采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).
基于JWT的Token认证机制实现
JSON Web Token(JWT)是一个很是轻巧的规范。这个规范容许咱们使用JWT在用户和服务器之间传递安全可靠的信息。其跨域
JWT的组成
一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
载荷(Payload)浏览器
{ "iss": "Online JWT Builder", "iat": 1416797419, "exp": 1448333419, "aud": "www.example.com", "sub": "jrocket@example.com", "GivenName": "Johnny", "Surname": "Rocket", "Email": "jrocket@example.com", "Role": [ "Manager", "Project Administrator" ] }
- iss: 该JWT的签发者,是否使用是可选的;
- sub: 该JWT所面向的用户,是否使用是可选的;
- aud: 接收该JWT的一方,是否使用是可选的;
- exp(expires): 何时过时,这里是一个Unix时间戳,是否使用是可选的;
- iat(issued at): 在何时签发的(UNIX时间),是否使用是可选的;
其余还有: - nbf (Not Before):若是当前时间在nbf里的时间以前,则Token不被接受;通常都会留一些余地,好比几分钟;,是否使用是可选的;
将上面的JSON对象进行[base64编码]能够获得下面的字符串。这个字符串咱们将它称做JWT的Payload(载荷)。
eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
小知识:Base64是一种基于64个可打印字符来表示二进制数据的表示方法。因为2的6次方等于64,因此每6个比特为一个单元,对应某个可打印字符。三个字节有24个比特,对应于4个Base64单元,即3个字节须要用4个可打印字符来表示。JDK 中提供了很是方便的 BASE64Encoder 和 BASE64Decoder,用它们能够很是方便的完成基于 BASE64 的编码和解码
头部(Header)
JWT还须要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也能够被表示成一个JSON对象。
{
"typ": "JWT", "alg": "HS256" }
在头部指明了签名算法是HS256算法。
固然头部也要进行BASE64编码,编码后的字符串以下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
签名(Signature)
将上面的两个编码后的字符串都用句号.链接在一块儿(头部在前),就造成了:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0
最后,咱们将上面拼接完的字符串用HS256算法进行加密。在加密的时候,咱们还须要提供一个密钥(secret)。若是咱们用mystar做为密钥的话,那么就能够获得咱们加密后的内容:
rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
最后将这一部分签名也拼接在被签名的字符串后面,咱们就获得了完整的JWT:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
在咱们的请求URL中会带上这串JWT字符串:
https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
认证过程
下面咱们从一个实例来看如何运用JWT机制实现认证:
登陆
- 第一次认证:第一次登陆,用户从浏览器输入用户名/密码,提交后到服务器的登陆处理的Action层(Login Action);
- Login Action调用认证服务进行用户名密码认证,若是认证经过,Login Action层调用用户信息服务获取用户信息(包括完整的用户信息及对应权限信息);
- 返回用户信息后,Login Action从配置文件中获取Token签名生成的秘钥信息,进行Token的生成;
- 生成Token的过程当中能够调用第三方的JWT Lib生成签名后的JWT数据;
- 完成JWT数据签名后,将其设置到COOKIE对象中,并重定向到首页,完成登陆过程;
请求认证
基于Token的认证机制会在每一次请求中都带上完成签名的Token信息,这个Token信息可能在COOKIE
中,也可能在HTTP的Authorization头中;
- 客户端(APP客户端或浏览器)经过GET或POST请求访问资源(页面或调用API);
- 认证服务做为一个Middleware HOOK 对请求进行拦截,首先在cookie中查找Token信息,若是没有找到,则在HTTP Authorization Head中查找;
- 若是找到Token信息,则根据配置文件中的签名加密秘钥,调用JWT Lib对Token信息进行解密和解码;
- 完成解码并验证签名经过后,对Token中的exp、nbf、aud等信息进行验证;
- 所有经过后,根据获取的用户的角色权限信息,进行对请求的资源的权限逻辑判断;
- 若是权限逻辑判断经过则经过Response对象返回;不然则返回HTTP 401;
对Token认证的五点认识
对Token认证机制有5点直接注意的地方:
- 一个Token就是一些信息的集合;
- 在Token中包含足够多的信息,以便在后续请求中减小查询数据库的概率;
- 服务端须要对cookie和HTTP Authrorization Header进行Token信息的检查;
- 基于上一点,你能够用一套token认证代码来面对浏览器类客户端和非浏览器类客户端;
- 由于token是被签名的,因此咱们能够认为一个能够解码认证经过的token是由咱们系统发放的,其中带的信息是合法有效的;