【记录撸一个博客系统】 03.登陆注册-查看常用鉴权

Bertha 。 2022-11-25 01:56 103阅读 0赞

## 常见的鉴权方式 ##

*  HTTP Basic Authentication
 *  token
 *  session + cookie
 *  OAuth

### HTTP Basic Authentication ###

参考`https://www.jianshu.com/p/4a00c0c3bf1d`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhcHB5X3RlZW1v_size_16_color_FFFFFF_t_70]  
postman里面：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhcHB5X3RlZW1v_size_16_color_FFFFFF_t_70 1]

### 注销 ###

认证成功后每次请求请求头都会带上Authentication及里面的内容，那么如何做到让这次登陆失效的？  
解决：  
专门设置一个专门用于注销的账号，客户端主动去修改请求头Authorization信息，当服务端读取到是这个专用于注销的账户，就执行注销流程。

### 缺陷 ###

把加密后的账密直接放在请求头，加上base64加密的方式是可逆的，这样账密就容易泄露。

## token JWT ##

### token鉴权方式流程 ###

*  客户端使用账密登录
 *  服务端验证账密
 *  账密验证通过，服务端生成一个token，再把token发送给客户端
 *  客户端通过cookie或者其他方式将token存储起来
 *  客户端以后发送请求都需要带上token
 *  服务端验证token的合法性，校验通过则返回资源，不通过则返回401状态码

## session + cookie ##

1.  首次访问，认证，添加session，返回加密后的sessionID。
2.  客户端将sessionID存入cookie，每次请求都带上。
3.  服务端解密（可逆加密方法）或匹配（不可逆加密方法），进行校验。

#### 问题 ####

1.  session一般是存在内存里的，随着用户的增多，服务器的开销也明显变大了。  
    解决：

*  加服务器，但这样session的认证方式就会出现问题，Tomcat服务器提供了集群之间session共享的解决方案，但如果集群的数量很多，检查和复制的行为会占去一定资源。
 *  通过哈希的方式某个用户请求路由到某一台服务器上，但同时这也限制了集群负载均衡的能力，可能会出现某一时刻，大量的请求到达某一台服务器，但是其他服务器又相对空闲的情况。

1.  由于sessionid是基于cookie存储的方式保存，如果cookie被截获，用户就容易受到跨站请求伪造的攻击，这是不安全的。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhcHB5X3RlZW1v_size_16_color_FFFFFF_t_70]: /images/20221124/0c4a6c91890049fc8e0258f2f99b287d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2hhcHB5X3RlZW1v_size_16_color_FFFFFF_t_70 1]: /images/20221124/ed38e814deac4f4eb2d56ae2b2165006.png