登陆和第三方受权,TCP和IP详解

登陆与受权的区别

• 登陆: 身份认证,即确认 [你是你] 的过程
• 受权: 由身份或持有的令牌确认享有某些权限(例如获取用户信息).而登陆过程实质目的也是为了确认权限

所以,在实际应用过程当中,多数场景下的[登陆] 和 [受权] 界限是模糊的

---

Http 确认受权(或登陆)的两种方式

1. 经过 Cookie
2. 经过 Authorization Header

---

Cookie

起源: [购物车] 功能的需求,由 Netscape 浏览器开发团队打造

---

⼯做机制:

1. 服务器须要客户端保存的内容,放在 Set-Cookie header里面返回,客户端会自动保存
2. 客户端保存的Cookie,会在以后全部的请求里面都携带进 Cookie header里发回给服务器
3. 客户端保存的Cookie,会在以后的请求里都携带进Cookie里header发回给服务器
4. 客户端里的Cookie超时会被删除,没有设置超时时间的Cookie(称作Session Cookie)在浏览器关闭后,会自动删除;另外服务器也能够删除还未过时的客户端Cookie

---

Cookie的做用:

• 会话登陆

登陆状态 ,购物车

---

• 个性化:

⽤户偏好、主题

---

• Tracking

分析用户的行为

---

• XSS(Cross-site scripting): 跨站脚本攻击.即便用JavaScript拿到浏览器Cookie以后,发送到本身的网站,以这种方式盗取y用户Cookie.对应方式: Server 在发送 Cookie 时,敏感 Cookie 加上 HttpOnly

  • 对应方式: HttpOnly -- 这个 Cookie 只能用于 Http 请求,不能被JavaScript 调用.它能够防止本地代码滥用 Cookie

• XSRF (Cross-site request forgery): 跨站请求伪造.即在用户不知情的状况下访问已经保存了了 Cookie 的网站,以此来越权操做用户帐号(例如:盗取用户资金).应对方式主要是从服务器安全角度考虑,就很少说了

  • 应对方式: Referer 校验

  ---

Authorization

• Basic

格式: Authorization:Basicusername:password(Base64ed)

• Bearer