034.认证方式 | 基本认证 、Token认证、 AK/SK认证

认证方式

关于认证： 

http://www.javashuo.com/article/p-pmfqmxij-s.html

http://www.javashuo.com/article/p-uaetutdz-br.html

http://www.javashuo.com/article/p-sxdngdtd-gd.html

https://www.cnblogs.com/xiangkejin/archive/2018/05/08/9011119.html

 

 

基本认证

• 用户输入帐号、密码提交给服务端认证

 

Token认证

• 用途：用户输入帐号、密码经过基本认证后，服务端认颁发受权token（包含用户ID等基本信息）用做认证令牌
• 原理：任何请求，都附带token；服务端根据token判断请求是否合法。
• 缺点：若是报文在中途被劫持，那么token就泄露了，这时（token有效期内）黑客就能够构造任意的请求了。

  

AK/SK的认证 

• 用途：通常用于后台程序执行API调用时的服务端认证；AK标识用户，SK做为对称加密通讯的秘钥。？
• 原理：

　　客户端：
　　　　构建http请求（包含 access key）；
　　　　使用请求内容和 使用secret access key计算的签名(signature)；
　　　　发送请求到服务端。

　　服务端：
　　　　根据发送的access key 查找数据库获得对应的secret-key；
　　　　使用一样的算法将请求内容和 secret-key一块儿计算签名（signature），和步骤2同样；
　　　　对比用户发送的签名和服务端计算的签名，二者相同则认证经过，不然失败。

• 其余使用场景：AK/SK认证经过后，服务端再生成token颁发给客户端使用