摘要:登录认证几乎是任何一个系统的标配,系统客户端等,好多都需要注册登录授权认证。假设我们开发了一个电商平台,并集成了微信登录,以这个场景为例,说一下的工作原理。微信网页授权是授权码模式的授权模式。
登录认证几乎是任何一个系统的标配,web 系统、APP、PC 客户端等,好多都需要注册、登录、授权认证。场景说明
以一个电商系统,假设淘宝为例,如果我们想要下单,首先需要注册一个账号。拥有了账号之后,我们需要输入用户名(比如手机号或邮箱)、密码完成登录过程。之后如果你在一段时间内再次进入系统,是不需要输入用户名和密码的,只有在连续长时间不登录的情况下(例如一个月没登录过)访问系统,再次需要输入用户名和密码。如果使用频率很频繁,通常是一年都不用再输一次密码,所以经常在换了一台电脑或者一部手机之后,一些经常使用的网站或 APP 不记得密码了。
提炼出来整个过程大概就是如下几步:
首次使用,需要通过邮箱或手机号注册;
注册完成后,需要提供用户名和密码完成登录;
下次再使用,通常不会再次输入用户名和密码即可直接进入系统并使用其功能(除非连续长时间未使用);
常用的认证方式 OAuth 认证OAuth 认证比较常见的就是微信登录、微博登录、qq登录等,简单来说就是利用这些比较权威的网站或应用开放的 API 来实现用户登录,用户可以不用在你的网站或应用上注册账号,直接用已有的微信、微博、qq 等账号登录。
这一样一来,即省了用户注册的时间,又简化了你的系统的账号体系。从而既可以提高用户注册率可以节省开发时间,同时,安全性也有了保障。
维基百科对它的解释摘要如下:
OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。
假设我们开发了一个电商平台,并集成了微信登录,以这个场景为例,说一下 OAuth 的工作原理。
讲之前需要了解其中涉及到的几个角色:
用户:即使用我们平台的用户
用户终端:即最终用户使用的 APP 端或 web 端
应用服务器端:即我们的服务器端
授权服务器端:这里就是微信处理授权请求的服务器
好的,接下来开始在我们的电商平台web端实现微信登录功能。微信网页授权是授权码模式(authorization code)的 OAuth 授权模式。
我们电商平台的用户过来登录,常用场景是点击“微信登录”按钮;
接下来,用户终端将用户引导到微信授权页面;
用户同意授权,应用服务器重定向到之前设置好的 redirect_uri (应用服务器所在的地址),并附带上授权码(code);
应用服务器用上一步获取的 code 向微信授权服务器发送请求,获取 access_token,也就是上面说的令牌;
之后应用服务器用上一步获取的 access_token 去请求微信授权服务器获取用户的基本信息,例如头像、昵称等;
Cookie-Session 认证早期互联网以 web 为主,客户端是浏览器,所以 Cookie-Session 方式最那时候最常用的方式,直到现在,一些 web 网站依然用这种方式做认证。
认证过程大致如下:
用户输入用户名、密码或者用短信验证码方式登录系统;
服务端验证后,创建一个 Session 信息,并且将 SessionID 存到 cookie,发送回浏览器;
下次客户端再发起请求,自动带上 cookie 信息,服务端通过 cookie 获取 Session 信息进行校验;
弊端
只能在 web 场景下使用,如果是 APP 中,不能使用 cookie 的情况下就不能用了;
即使能在 web 场景下使用,也要考虑跨域问题,因为 cookie 不能跨域;
cookie 存在 CSRF(跨站请求伪造)的风险;
如果是分布式服务,需要考虑 Session 同步问题;
Cookie-Session 改造版由于传统的 Cookie-Session 认证存在诸多问题,可以把上面的方案改造一下。改动的地方如下:
不用 cookie 做客户端存储,改用其他方式,web 下使用 local storage,APP 中使用客户端数据库,这样就实现了跨域,并且避免了 CSRF ;
服务端也不存 Session 了,把 Session 信息拿出来存到 Redis 等内存数据库中,这样即提高了速度,又避免了 Session 同步问题;
经过改造之后变成了如下的认证过程:
用户输入用户名、密码或者用短信验证码方式登录系统;
服务端经过验证,将认证信息构造好的数据结构存储到 Redis 中,并将 key 值返回给客户端;
客户端拿到返回的 key,存储到 local storage 或本地数据库;
下次客户端再次请求,把 key 值附加到 header 或者 请求体中;
服务端根据获取的 key,到 Redis 中获取认证信息;
基于JWT的Token认证上面的方案虽然经过了改版,但还是需要客户端和服务器端维持一个状态信息,比如用 cookie 换 session ,或者用 key 换 Redis 的 value 信息,基于 JWT 的 Token 认证方案可以省去这个过程。
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
认证过程
依然是用户登录系统;
服务端验证,将认证信息通过指定的算法(例如HS256)进行加密,例如对用户名和用户所属角色进行加密,加密私钥是保存在服务器端的,将加密后的结果发送给客户端,加密的字符串格式为三个"." 分隔的字符串 Token,分别对应头部、载荷与签名,头部和载荷都可以通过 base64 解码出来,签名部分不可以;
客户端拿到返回的 Token,存储到 local storage 或本地数据库;
下次客户端再次发起请求,将 Token 附加到 header 中;
服务端获取 header 中的 Token ,通过相同的算法对 Token 中的用户名和所属角色进行相同的加密验证,如果验证结果相同,则说明这个请求是正常的,没有被篡改。这个过程可以完全不涉及到查询 Redis 或其他存储;
优点
使用 json 作为数据传输,有广泛的通用型,并且体积小,便于传输;
不需要在服务器端保存相关信息;
jwt 载荷部分可以存储业务相关的信息(非敏感的),例如用户信息、角色等;
总结综上所述,JWT 可以作为首选的认证方案。当然,具体的情况具体分析,还要看是不是适合真实的应用场景。除了上述的这些,涉及到信息安全的,建议全部采用 https 方式部署,采用 https 方式,信息很难被嗅探破解,对应用的安全性很重要。
参考信息:
OAuth: http://www.ruanyifeng.com/blo...
JWT:https://jwt.io/introduction/ http://blog.leapoahead.com/20...
JWT Java 库: https://github.com/jwtk/jjwt
别等了,扫码上车吧。文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/68427.html
摘要:先说下我面试情况,我一共面试了家公司。篇在我面试的众多公司里,只有同城的面问到相关问题,其他公司压根没问。我自己回答的是自己开发组件面临的问题。完全不用担心对方到时候打电话核对的问题。 2019的5月9号,离发工资还有1天的时候,我的领导亲切把我叫到办公室跟我说:阿郭,我们公司要倒闭了,钱是没有的啦,为了不耽误你,你赶紧出去找工作吧。听到这话,我虎躯一震,这已经是第2个月没工资了。 公...
摘要:下面代码会存在什么问题,如何改进一行代码输出之间的所有偶数。简述进程之间如何通信多路复用的作用模型的区别什么是并发和并行解释什么是异步非阻塞的作用面试题说说你知道的命令如何查看某次提交修改的内容答案扫码下面的二维码订阅即可获取。 引言 最近在刷面试题,所以需要看大量的 Python 相关的面试题,从大量的题目中总结了很多的知识,同时也对一些题目进行拓展了,但是在看了网上的大部分面试题不...
摘要:说一说迭代器通过集合对象获取其对应的对象判断是否存在下一个元素取出该元素并将迭代器对象指向下一个元素取出元素的方式迭代器。对于使用容器者而言,具体的实现不重要,只要通过容器获取到该实现的迭代器的对象即可,也就是方法。 前言 欢迎关注微信公众号:Coder编程获取最新原创技术文章和相关免费学习资料,随时随地学习技术知识!** 本章主要介绍Collection集合相关知识,结合面试中会提到...
摘要:面试官比较着急了,跟我沟通的时候,我才知道返回值不一定非要跟原生的一样。腾讯一面平常开发怎么设计组件的。总结腾讯面试的感觉就是,没有那么正式,都是部门的技术直接联系的你,然后二面就是部门负责人了,决定了是否入职。 引入 面试过去了这么久,把八月份面试题和总结发一下吧,虽然年底大家可能都不换工作~ 还是可以看看的。 关于面试,引用叶老湿的一句话。你的简历是自己工作的答卷,项目经历是你给面...
摘要:虽然效果一样,但是这两种换行的方式使用起来却不同。使用换行这种方式用起来比较坑,所以本文章的重点就是这一部分。因为之前知道弹框中要实现换行,只能通过的方式,而不能通过的方式。在元素上使用等方式,发现都是可以实现换行的。 前言 最近遇到这样一个需求:需要在页面中显示一段第三方文本信息。这些文本完全由第三方自己定义,我们负责显示在页面即可,第三方要求这些文本需要换行显示即可。 我们都知道在...
阅读 2742·2021-10-26 09:50
阅读 2384·2021-10-11 11:08
阅读 2127·2019-08-30 15:53
阅读 1905·2019-08-30 15:44
阅读 2382·2019-08-28 18:12
阅读 2518·2019-08-26 13:59
阅读 2850·2019-08-26 12:19
阅读 2749·2019-08-26 12:09