前后端身份认证

阿飞非
202 阅读5分钟

Web开发模式

1. 服务端渲染的Web开发模式

服务端渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的。 因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。

优点:

  • 前端耗时少。因为服务器端负责动态生成HTML内容,浏览器只需要直接渲染页面即可。
  • 有利于SEO。因为服务器端响应的是完整的HTML页面内容,所以爬虫更容易爬取获得信息。

缺点:

  • 占用服务器端资源。即服务器端完成HTML页面内容的拼接,如果请求较多,会对服务器造成一定的压力。
  • 不利于前后端分离,开发效率低。

2. 前后端分离的Web开发模式

前后端分离的概念:前后端分离的模式,依赖于Ajax技术的广泛应用。 简而言之,就是后端只负责提供API接口,前端使用Ajax调用接口 的开发模式。

优点:

  • 开发体验好。前端专注于UI页面的开发,后端专注于api的开发,且前端有更多的选择性。
  • 用户体验好。Ajax技术的广泛应用,极大的提高了用户的体验,可以轻松实现页面的局部刷新。
  • 减轻了服务器端的渲染压力。因为每个页面最终是在每个用户的浏览器中生成的。

缺点:

  • 不利于SEO。因为完整的HTML页面需要在客户端动态拼接完成,所以爬虫无法爬取页面的有效信息。

3. 如何选择Web开发模式

  • 企业级网站,主要功能是显示而没有复杂的交互,并且需要良好的SEO,这时就需要使用服务器端渲染;
  • 类似后台管理项目,交互性比较强,不需要考虑SEO,那么就可以选择前后端分类的开发模式。
  • 有的时候会兼并两种开发模式

身份认证

身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 比如说,高铁的验票乘车、手机密码登录或指纹解锁等等。

1. 为什么需要身份认证?

是为了确认当前所声称为某种身份的用户,确实是所声称的用户。比如,你去找快递员取快递,怎么证明这份快递是你的。

2. 不同开发模式下的身份认证

  • 服务器端渲染推荐使用Session认证机制
  • 前后端分离推荐使用JWT认证机制

3. Session 认证机制

HTTP协议的无状态性,指的是客户端的每次HTTP请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次HTTP请求的状态。

3.1 什么是Cookie

Cookie是存储在用户浏览器中的一段不超过4KB的字符串。它是由一个名称、一个值和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成的。 不同域名下的Cookie各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的Cookie一同发送到服务器。

Cookie的几大特性:

  • 自动发送
  • 域名独立
  • 过期时限
  • 4KB限制

3.2 Cookie在身份认证中的作用

客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的Cookie,客户端会自动将Cookie保存在浏览器中。 随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的Cookie,通过请求头的形式发送给服务器,服务器可验明客户端的身份。

image.png

3.3 Cookie 不具有安全性

由于Cookie是存储在浏览器中的,而且浏览器也提供了读写Cookie的API,因此Cookie很容易被伪造,不具有安全性。因此不建议服务器将重要的隐私数据,通过Cookie的形式发送给浏览器。

3.4 如何提高身份认证的安全性

在服务器端进行Cookie的身份认证

3.5 Session的工作原理

image.png

4. JWT 认证机制

JWT(JSON Web Token)是流行的跨域认证解决方案。

4.1 Session认证的局限性

Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。

注意:

  • 当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制
  • 当前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JWT 认证机制

4.2 JWT 工作原理

image.png

服务器通过还原token字符串的形式来认证用户身份。

4.3 JWT 组成部分

常由3部分组成:Header(头部),Payload(有效荷载),Signature(签名);三者之间使用英文"."分隔。
示例:

Header.Payload.Signature
  • Payload 部分是真正的用户信息,是用户信息经过加密后生成的字符串
  • Header 和 Signature 是安全性相关的部分,只是为了保证token的安全性

4.4 使用方式

客户端收到服务器返回的 JWT 之后,通常会将它存储在 localStorage 或 sessionStorage 中。
此后,客户端每次与服务器通信,都要带上 JWT 字符串,从而进行身份认证。推荐:把 JWT 放到HTTP请求头的 Authorization 字段中。
格式:

Authorization: Bearer <token>
avatar
文章
阅读
粉丝