携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第22天,点击查看活动详情
4. 基于Token的身份认证 与 基于服务器的身份认证
1. 基于服务器的身份认证
传统的服务器身份验证:
- HTTP协议是无状态的,也就是说,如果我们已经认. 证了一个用户,那么他下一次请求的时候,服务器不知道我是谁,我们必须再次认证
- 传统的做法是将已经认证过的用户信息存储在服务器上,比如Session。用户下次请求的时候带着Session ID,然后服务器以此检查用户是否认证过。
- 这种基于服务器的身份认证方式存在一些问题 ·1. Sessions : 每次用户认证通过以后,服务器需要创建一条记录保存用户信息,通常是在内存中,随着认证通过的用户越来越多,服务器的在这里的开销就会越来越大。 2 .Scalability : 由于Session是在内存中的,这就带来一些扩展性的问题。 3 . CORS : 当我们想要扩展我们的应用,让我们的数据被多个移动设备使用时,我们必须考虑跨资源共享问题。当使用AJAX调用从另一个域名下获取资源时,我们可能会遇到禁止请求的问题。 4. CSRF : 用户很容易受到CSRF攻击。
2. JWT与session的差异
相同点是,他们都是存储用户信息,然而,session是在服务器端的,而JWT是在客户端的 session方式存储用户信息的最大问题在于讨战容大量服务器内存,增加服务器的开销 而JWT方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力 session的状态存储在服务器端,客户端只有session id ,而Token的状态是存储在客户端
3. 基于Token的身份认证是如何工作的
基于Token的身份认证是无状态的,服务器或者Session中不会存储任何用户信息。
没有会话信息意味着应用程序可以根据需要扩展和添加更多的机器,而不必担心用户登录的位置
虽然这一实现可能会有所不同,但其主要流程如下:
1.用户携带用户名和密码请求访问
2.服务器校验用户凭据
3 .应用提供一个token给客户端
4.客户端存储token,并且在随后的每一次请求中都带着它
5.服务器校验token并返回数据
注意 每一次请求都需要token token应该放在请求header中 我们还需要将服务器设置为接受来自所有域的请求。用Access-Control-Allow-Origin: *
4。 用Token的好处
- 无状态和可扩展性:Tokens存储在客户端。完全无状态,可扩展。我们的负载均衡器可以将用户传递到任意服务器,因为在任何地方都没有状态或会话信息。
- 安全:Token不是Cookie。(The token, not a cookie.)每次请求的时候Token都会被发送。而且,由于没有Cookie被发送,还有助于防止CSRF攻击。即使在你的实现中将token存储到客户端的Cookie中,这个Cookie也只是一种存储机制,而非身份认证机制。没有基于会话的信息可以操作,因为我们没有会话!
- 还有一点,token在一段时间以后会过期,这个时候用户需要重新登录。这有助于我们保持安全。还有一个概念叫token撤销,它允许我们根据相同的授权许可使特定的token甚至一组token无效。
5. JWT与OAuth的区别
1。 OAuth2是一种授权框架 ,JWT是一种认证协议
2. 无论使用哪种方式切记用HTTPS来保证数据的安全性
3. OAuth2用在使用第三方账号登录的情况(比如使用weibo, qq, github登录某个app),而JWT是用在前后端分离, 需要简单的对后台API进行保护时使用。
