问题: 判断一个用户是否已经受权登陆后端
用户经过用户名和密码登陆成功以后,服务端往客户端设置cookie islogon=1,api
问题: 客户端能够随意伪造这些信息,不安全跨域
用户经过用户名和密码登陆成功以后,服务端为该用户生成一个sessionid,设置session["islogon"]=1,服务端服务端往客户端设置cookie sid=sessionid安全
下次客户端访问会带上cookie sid=sessionid,后端根据sid索引到登陆状态判断是否已经登陆成功服务器
注:若是一些信息不能随便被篡改,泄漏或者数据量较大,则不适合存放到cookie里面cookie
问题:session
1 资源压力,由于后端存放session通常存放到内存里面,用户量大的状况,内存压力大负载均衡
2 系统伸缩性,若是服务作负载均衡,多个服务器之间如何保证session一致性。(通常作法是把session存放到统一集群上去)框架
3 CORS,跨域资源访问问题fetch
4 CSRF,存放到cookie存在这个问题,须要额外解决
流程上是这样的:
用户使用用户名密码来请求服务器
服务器进行验证用户的信息
服务器经过验证发送给用户一个token
客户端存储token,并在每次请求时附送上这个token值
服务端验证token值,并返回数据
这个token必需要在每次请求时传递给服务端,它应该保存在请求头里(也能够存放到cookie里面,这样存放须要解决CSRF问题), 另外,服务端要支持CORS(跨来源资源共享)策略,通常咱们在服务端这么作就能够了Access-Control-Allow-Origin: *
JWT长什么样?JWT是由三段信息构成的,将这三段信息文本用.连接一块儿就构成了Jwt字符串。就像样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT的构成, 第一部分咱们称它为头部(header),第二部分咱们称其为载荷(payload, 相似于飞机上承载的物品),第三部分是签证(signature).
如何应用,通常是在请求头里加入Authorization,并加上Bearer标注:
fetch('api/user/1', {
headers: {
'Authorization': 'Bearer ' + token
}
})
安全相关
注: JWT和OAuth2.0区别
JWT是一种认证协议 ,JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。 令牌自己包含了一系列声明,应用程序能够根据这些声明限制用户对资源的访问。
OAuth2是一种受权框架 ,提供了一套详细的受权机制(指导)。用户或应用能够经过公开的或私有的设置,受权第三方应用访问特定资源。