|
什么是認(rèn)證(Authentication) 通俗地講�,認(rèn)證就是驗證當(dāng)前用戶的身份是否合法的過程。比如指紋打卡�����,當(dāng)你的指紋和系統(tǒng)里錄入的指紋相匹配時�����,就打卡成功�。 像用戶名密碼登錄、郵箱發(fā)送登錄鏈接�����、手機接收驗證碼等等都屬于互聯(lián)網(wǎng)中的常見認(rèn)證方式,只要你能收到驗證碼����,就默認(rèn)你是賬號的主人。認(rèn)證主要是為了保護系統(tǒng)的隱私數(shù)據(jù)與資源����。 而一旦認(rèn)證通過�,那么一定時間內(nèi)就不用再認(rèn)證了(銀行轉(zhuǎn)賬等高度敏感操作除外),這時就可以將用戶信息保存在會話中����。會話是系統(tǒng)為了保存當(dāng)前用戶的登錄狀態(tài)所提供的機制,實現(xiàn)方式通常是 Session 或 Token����,后面說。 什么是授權(quán)(Authorization) 簡單來講就是誰(who)對什么(what)進行了什么操作(how)����,和認(rèn)證不同,認(rèn)證是確認(rèn)用戶的合法性�,以及讓服務(wù)端知道你是誰,而授權(quán)則是為了更細(xì)粒度地對資源進行權(quán)限上的劃分����。所以授權(quán)是在認(rèn)證通過后�,控制不同的用戶訪問不同的資源����。 并且授權(quán)是雙向的,可以是用戶給服務(wù)端授權(quán)�,也可以是服務(wù)端給用戶授權(quán)。 用戶給服務(wù)端授權(quán):比如你在安裝手機應(yīng)用的時候�,APP 會詢問是否允許授予權(quán)限(訪問相冊、地理位置等權(quán)限)����;你在登錄微信小程序時,小程序會詢問是否允許授予權(quán)限(獲取昵稱�����、頭像�、地區(qū)、性別等個人信息)����。 服務(wù)端給用戶授權(quán):比如你想追一個很火的劇,但被告知必須是 VIP 才能觀看,于是你充錢成為了 VIP�,那么服務(wù)端便會給你授予觀看該劇(訪問該資源)的權(quán)限����。
而實現(xiàn)授權(quán)的方式業(yè)界通常使用 RBAC,這個 R 有兩種解讀:第一種是基于角色的訪問控制�,即 Role-Based Access Control;第二種是基于資源(權(quán)限)的訪問控制�,系統(tǒng)設(shè)計時定義好某項操作的權(quán)限標(biāo)識,即 Resource-Based Access Control�。 實現(xiàn)認(rèn)證和授權(quán)的前提是需要一種媒介(證書)來標(biāo)記訪問者的身份。 例如在戰(zhàn)國時期����,商鞅變法����,發(fā)明了照身帖。照身帖由官府發(fā)放�����,是一塊打磨的光滑細(xì)密的竹板�,上面刻有持有人的頭像和籍貫信息�����。國人必須持有�����,如若沒有就被認(rèn)為是黑戶�����,或者間諜之類的�����。在現(xiàn)實生活中����,每個人都會有一張專屬的居民身份證�,是用于證明持有人身份的一種法定證件。通過身份證�,我們可以辦理手機卡/銀行卡/個人貸款/交通出行等等,這就是認(rèn)證的憑證�����。 在互聯(lián)網(wǎng)應(yīng)用中,一般網(wǎng)站會有兩種模式����,游客模式和登錄模式。游客模式下�����,可以正常瀏覽網(wǎng)站上面的文章�,一旦想要點贊/收藏/分享文章,就需要登錄或者注冊賬號�。 當(dāng)用戶登錄成功后,服務(wù)器會給該用戶使用的瀏覽器頒發(fā)一個令牌(token)�,這個令牌用來表明你的身份。每次瀏覽器發(fā)送請求時會帶上這個令牌����,就可以使用游客模式下無法使用的功能�。 HTTP 是無狀態(tài)的協(xié)議,對于事務(wù)處理沒有記憶能力�,客戶端和服務(wù)端完成會話時,服務(wù)端不會保存任何會話信息�����。也就是說每個請求都是完全獨立的,服務(wù)端無法確認(rèn)當(dāng)前訪問者的身份信息�����,無法分辨上一次請求的發(fā)送者和這一次的發(fā)送者是不是同一個人�。 所以服務(wù)器與瀏覽器為了進行會話跟蹤(知道是誰在訪問),就必須主動地去維護一個狀態(tài)����,這個狀態(tài)用于告知服務(wù)端前后兩個請求是否來自同一瀏覽器,而這個狀態(tài)就需要 Cookie 和 Session 共同去實現(xiàn)�。 那 Cookie 是什么呢?Cookie 本質(zhì)上就是服務(wù)器發(fā)送給用戶瀏覽器的一小塊數(shù)據(jù)����,一旦用戶認(rèn)證成功,那么瀏覽器就會收到服務(wù)器發(fā)送的 Cookie����,然后將其并保存在本地。當(dāng)瀏覽器下次再向同一服務(wù)器發(fā)起請求時����,會攜帶該 Cookie(放在請求頭中),并發(fā)送給服務(wù)器�。服務(wù)器拿到 Cookie 后�,會檢測 Cookie 是否過期����,如果沒有過期再通過 Cookie 判斷用戶的信息。 注意:Cookie 是不可跨域的�,每個 Cookie 都會綁定單一的域名,無法在別的域名下獲取使用�����。一級域名和二級域名之間是允許共享使用的(靠的是 domain)����。 
以上就是 Cookie,但是問題來了����,我們能把一些敏感信息存在 Cookie 里面嗎?把用戶名�����、密碼都放在 Cookie 里面�����,然后瀏覽器發(fā)請求的時候再讀取 Cookie 里面的內(nèi)容�,驗證用戶的合法性,可以這么做嗎�?顯然是不能的,因為這樣太不安全了����,所以就有了 Session。 注意:Session 它并不是真實存在的�,而是我們引入的一個抽象概念,它的實現(xiàn)依賴于 Cookie�����。因為我們不能把敏感信息放在 Cookie 里面����,所以最好的方式就是直接放在服務(wù)端,用戶的這些敏感信息可以看成是一個 Session�����,我們可以用一個映射保存起來�����。然后為每一個 Session 都創(chuàng)建一個與之關(guān)聯(lián)的 SessionID,舉個例子: {
"不重復(fù)的 sessionID-1": {"user_name": "xx1",
"password": "yy1",
"phone": 135...},
"不重復(fù)的 sessionID-2": {"user_name": "xx2",
"password": "yy2",
"phone": 136...},
...
}
使用映射保存是最方便的�����,這些敏感信息我們存在服務(wù)端�����,然后將 SessionID 返回即可����,那么這個 SessionID 放在哪里呢?沒錯�,放在 Cookie 中,所以 Session 的實現(xiàn)要依賴于 Cookie�����。我們以用戶登錄來模擬一下整個過程: 用戶第一次請求服務(wù)器的時候����,服務(wù)器根據(jù)用戶提交的相關(guān)信息,創(chuàng)建對應(yīng)的 Session����; 請求返回時將此 Session 的唯一標(biāo)識信息 SessionID 返回給瀏覽器; 瀏覽器接收到服務(wù)器返回的 SessionID 信息后����,會將此信息存入到 Cookie 中,同時 Cookie 記錄此 SessionID 屬于哪個域名����; 當(dāng)用戶第二次訪問服務(wù)器的時候,瀏覽器會自動判斷此域名下是否存在 Cookie 信息�,如果存在,會將 Cookie 信息也發(fā)送給服務(wù)端�����;服務(wù)端會從 Cookie 中獲取 SessionID�����,再根據(jù) SessionID 查找對應(yīng)的 Session 信息�,如果沒有找到說明用戶沒有登錄或者登錄失效,如果找到 Session 證明用戶已經(jīng)登錄可執(zhí)行后面操作�����;
根據(jù)以上流程可知,SessionID 是連接 Cookie 和 Session 的一道橋梁�,大部分系統(tǒng)也是根據(jù)此原理來「驗證用戶登錄狀態(tài)」。 通過 Cookie + Session 的方式雖然能實現(xiàn)認(rèn)證�, 但是存在一個問題,上述情況能正常工作是因為我們假設(shè) Server 是單機的�����。但實際在生產(chǎn)上�,為了保障高可用,一般服務(wù)器至少需要兩臺機器�,通過負(fù)載均衡的方式來決定請求到底該打到哪臺機器上。 
假設(shè)第一次的登錄請求打到了 A 機器�����,A 機器生成了 Session 并在 Cookie 里添加 SessionId 返回給了瀏覽器�。 那么問題來了:下次如果請求(比如添加購物車)打到了 B 或者 C,由于 Session 是在 A 機器生成的����,此時的 B、C 是找不到 Session 的����,因此就會發(fā)生無法添加購物車的錯誤,就得重新登錄了,此時該怎么辦呢�?解決方式主要有以下三種: A 生成 Session 后復(fù)制到 B、C�����,這樣每臺機器都有一份 Session�,無論添加購物車的請求打到哪臺機器����,由于 Session 都能找到,所以不會有問題�。 這種方式雖然可行,但缺點也很明顯: 這種方式是讓每個客戶端請求只打到固定的一臺機器上�����,比如瀏覽器登錄請求打到 A 機器后�,后續(xù)所有的添加購物車的請求也都打到 A 機器上。Nginx 的 sticky 模塊可以支持這種方式�����,支持按 ip 或 cookie 粘連等等�����,比如按 ip 粘連:
這樣的話每個 client 請求到達(dá) Nginx 后�,只要它的 ip 不變,根據(jù) ip hash 算出來的值就會打到固定的機器上�����,也就不存在 Session 找不到的問題了����。 當(dāng)然這種方式的缺點也是很明顯�,對應(yīng)的機器掛了怎么辦�?此外,這種方式還會造成一個問題�����,那就是 Nginx 會變得有狀態(tài)����。 這種方式也是目前各大公司普遍采用的方案�����,將 Session 保存在 Redis����,Memcached 等中間件中,請求到來時�,各個機器去這些中間件取一下 Session 即可。
缺點其實也不難發(fā)現(xiàn)�,就是每個請求都要去 Redis 取一下 Session,多了一次內(nèi)部連接�,消耗了一點性能。另外為了保證 Redis 的高可用�,必須做集群�����。當(dāng)然了����,對于大部分公司來說����,Redis 集群基本都會部署,所以這方案可以說是首選了�。 通過上文分析,我們知道通過在服務(wù)端共享 Session 的方式可以完成用戶的身份定位�,但是背后也有一個小小的瑕疵:搞個校驗機制我還得搭個 Redis 集群? 大廠確實 Redis 用得比較普遍����,但對于小廠來說可能它的業(yè)務(wù)量還未達(dá)到用 Redis 的程度,所以有沒有其它不用 Server 存儲 Session 的用戶身份校驗機制呢�����,答案是使用 Token�����。 基于 Token 的鑒權(quán)機制類似于 http 協(xié)議,也是無狀態(tài)的����,它不需要在服務(wù)端保留用戶的認(rèn)證信息或者會話信息。這就意味著基于 Token 認(rèn)證機制的應(yīng)用不需要去考慮用戶在哪一臺服務(wù)器登錄了�����,這就為應(yīng)用的擴展提供了便利����。 用戶使用用戶名密碼來請求服務(wù)器; 服務(wù)器驗證用戶的信息�����; 認(rèn)證通過后�����,發(fā)送給用戶一個 Token�; 客戶端存儲 Token�����,并在后續(xù)的請求中附上這個 Token 值; 服務(wù)端驗證 Token 值����,并返回數(shù)據(jù);
這個 Token 必須要在每次請求時傳遞給服務(wù)端�����,它應(yīng)該保存在請求頭里�����。 如果保存在 Cookie 里面�,服務(wù)端還要支持 CORS(跨來源資源共享)策略。 而基于 Token 認(rèn)證一般采用 JWT����,它由三段信息構(gòu)成,將這三段信息用 . 連接起來就構(gòu)成了 JWT 字符串�。就像如下這樣: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 第一部分我們稱之為頭部(Header)、第二部分我們稱之為載荷(Payload)�����、第三部分我們稱之為簽名(Signature)�����,下面來分別介紹。 JWT 的頭部承載兩部分信息: {
'typ': 'JWT',
'alg': 'HS256'
}
然后將頭部進行 base64 編碼(可以對稱解碼),構(gòu)成了第一部分�。 import base64
import orjson
header = {
'typ': 'JWT',
'alg': 'HS256'
}
print(
base64.urlsafe_b64encode(orjson.dumps(header)).decode()
) # eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
載荷就是存放有效信息的地方,說人話就是用戶的一些信息�����,里面可以放任意內(nèi)容�����。我們同樣采用 base64 編碼�,就得到了 JWT 的第二部分�。注意:不要放一些敏感內(nèi)容,因為 base64 是可以對稱解碼的����。 import base64
import orjson
payload = {
'name': '最上川',
'phone': '12345678901',
'user_id': '001',
'admin': False,
}
print(
base64.urlsafe_b64encode(orjson.dumps(payload)).decode()
) # eyJuYW1lIjoi5pyA5LiK5bedIiwicGhvbmUiOiIxMjM0NT......
除了我們添加的一些聲明之外����,JWT 還提供了一些標(biāo)準(zhǔn)聲明(建議但不強制使用): iss:JWT 簽發(fā)者����; sub:JWT 所面向的用戶; aud:接收 JWT 的一方����; exp:JWT 的過期時間,這個過期時間必須要大于簽發(fā)時間����; nbf:定義在什么時間之前,該 JWT 都是不可用的����; iat:JWT 的簽發(fā)時間; jti:JWT的唯一身份標(biāo)識�,主要用來作為一次性 Token,從而回避重放攻擊�����;
JWT 的第三部分是一個簽名信息,這個簽名信息由三部分組成: base64 之后的 Header����; base64 之后的 Payload; secret�����;
首先將 base64 編碼后的 Header 和 base64 編碼后的 Payload 使用 . 連接起來�,然后通過 Header 中聲明的加密方式進行加鹽,再進行 base64 編碼����,然后就構(gòu)成了 JWT 的第三部分。我們舉個例子: import base64
import hmac
import orjson
header = {
'typ': 'JWT',
'alg': 'HS256'
}
payload = {
'name': '最上川',
'phone': '12345678901',
'user_id': '001',
'admin': False,
}
# 得到 JWT 的第一部分�,和 JWT 的第二部分
jwt_one = base64.urlsafe_b64encode(
orjson.dumps(header))
jwt_two = base64.urlsafe_b64encode(
orjson.dumps(payload))
# 計算 JWT 第三部分
# 指定一個密鑰,這里就叫 b"secret"
jwt_three = base64.urlsafe_b64encode(
hmac.new(b"secret", jwt_one + b"." + jwt_two, "SHA256").digest()
).decode()
print(jwt_three) # 4oRUd9Diyp_C0W_LD1of0MxzIuRXvfSroUR_VhP-dSQ=
再將這三部分用 . 連接起來����,得到一個字符串,即可構(gòu)成最終的 JWT�����。當(dāng)用戶登錄成功之后����,服務(wù)端會生成 JWT 然后交給瀏覽器保存。 后續(xù)當(dāng) Server 收到瀏覽器傳過來的 Token 時����,它會首先取出 Token 中的 Header + Payload,根據(jù)密鑰生成簽名����,然后再與 Token 中的簽名比對,如果成功則說明簽名是合法的�,即 Token 是合法的。然后根據(jù) Payload 中保存的信息�����,我們便可得知該用戶是誰�,避免了像 Session 那樣要從 Redis 獲取的開銷。 你會發(fā)現(xiàn)這種方式確實很妙����,只要 Server 保證密鑰不泄露,那么生成的 Token 就是安全的����。因為偽造 Token 的話在簽名驗證環(huán)節(jié)是無法通過的,可以判定出 Token 的合法性。 注意:secret(密鑰)是保存在服務(wù)器端的����,JWT 的生成也是在服務(wù)器端的,Secret 就是用來進行 JWT 的簽發(fā)和 JWT 的驗證����。所以,它就是你服務(wù)端的私鑰�,在任何場景都不應(yīng)該流露出去。否則一旦客戶端得知這個 Secret�,那就意味著客戶端可以自我簽發(fā) JWT 了。
通過這種方式就有效地避免了 Token 必須保存在 Server 的弊端����,實現(xiàn)了分布式存儲。不過需要注意的是�����,Token 一旦由 Server 生成�,直到過期之前它都是有效的,并且無法讓 Token 失效����,除非在 Server 端為 Token 設(shè)立一個黑名單�����,在校驗 Token 前先過一遍此黑名單,如果在黑名單里則此 Token 失效�����。 但一旦這樣做的話����,那就意味著黑名單必須保存在 Server,這又回到了 Session 的模式����,那直接用 Session 不香嗎。所以一般的做法是當(dāng)客戶端登出����,或者 Token 過期時,直接在本地移除 Token�����,下次登錄再重新生成 Token����。而判斷 Token 是否過期�,可以在生成 JWT 的時候����,在里面加上時間信息,拿到 Token 時再進行比對����。 另外需要注意的是 Token 一般是放在 Header 的 Authorization 自定義頭里,不是放在 Cookie 里�,這主要是為了解決跨域不能共享 Cookie 的問題。 # 一般會加上一個 Bearer 標(biāo)注
Authorization: Bearer <Token>
總結(jié):Token 解決什么問題(為什么要用 Token)����? 1)完全由應(yīng)用管理,可以避開同源策略�����; 2)支持跨域訪問�����,Cookie 不支持�����。Cookie 跨站是不能共享的,這樣的話如果你要實現(xiàn)多應(yīng)用(多系統(tǒng))的單點登錄(SSO)�����,使用 Cookie 來做的話就很困難了�。但如果用 Token 來實現(xiàn) SSO 會非常簡單����,只要在 header 中的 Authorize 字段(或其他自定義)加上 Token 即可完成所有跨域站點的認(rèn)證; 3)token是無狀態(tài)的�,可以在多個服務(wù)器間共享; 4)Token 可以避免 CSRF 攻擊(跨站請求攻擊)�����; 5)易于擴展�,在移動端的原生請求是沒有 Cookie 之說的,而 Sessionid 依賴于 Cookie����,所以 SessionID 就不能用 Cookie 來傳了。如果用 Token 的話�����,由于它是隨著 header 的 Authorization 傳過來的,也就不存在此問題�����,換句話說 Token 天生支持移動平臺�����,可擴展性好�; 下面再來補充一些額外內(nèi)容。 攻擊者通過一些技術(shù)手段欺騙用戶的瀏覽器去訪問一個自己曾經(jīng)認(rèn)證過的網(wǎng)站并運行一些操作(如發(fā)郵件�����,發(fā)消息�����,甚至財產(chǎn)操作如轉(zhuǎn)賬和購買商品)�����。由于瀏覽器曾經(jīng)認(rèn)證過(Cookie 里面帶有 SessionId 等身份認(rèn)證的信息)�,所以被訪問的網(wǎng)站會認(rèn)為是真正的用戶而去執(zhí)行操作�����。
如果正常的用戶誤點了惡意鏈接�,由于相同域名的請求會自動帶上 Cookie�����,而 Cookie 里帶有正常登錄用戶的 Sessionid�����,類似上面這樣的轉(zhuǎn)賬操作在 Server 就會成功�����,會造成極大的安全風(fēng)險�。
就連 Google����,都因為 CSRF 而吃過嚴(yán)重的虧。
CSRF 攻擊的根本原因在于對于同樣域名的每個請求來說�����,它的 Cookie 都會被自動帶上,這個是瀏覽器的機制決定的����。至于完成一次 CSRF 攻擊需要兩個步驟: 如果訪問完正常網(wǎng)站之后����,關(guān)閉瀏覽器呢?即使關(guān)閉瀏覽器�,Cookie 也不保證一定立即失效,而且關(guān)閉瀏覽器并不能結(jié)束會話����,Session 的生命周期跟這些都沒關(guān)系。 如果兩個 URL 的協(xié)議����、域名和端口號都相同�����,那么就是同源的����;而有一個不同�����,那么就是非同源的�����。不同源的客戶端腳本在沒有明確授權(quán)的情況下����,不準(zhǔn)讀寫對方的資源����。
同源策略是由 Netscape 提出的著名安全策略,是瀏覽器最核心�、基本的安全功能,它限制了一個源中的腳本與來自其它源中的資源之間的交互方式。 當(dāng)瀏覽器執(zhí)行 JS 腳本時會檢查當(dāng)前網(wǎng)頁的接口和請求的接口是否同源,只有同源的腳本才會執(zhí)行�,如果不同源即為跨域。它是由「瀏覽器的同源策略」造成的�,是瀏覽器對 JavaScript 實施的安全限制。 那么該如何解決呢�?
1)Nginx (靜態(tài)服務(wù)器)反向代理解決跨域(前端常用),客戶端訪問代理服務(wù)器����,代理服務(wù)器再去目標(biāo)服務(wù)器拿數(shù)據(jù),然后返回給客戶端�����。由于服務(wù)器之間不存在跨域問題�����,所以瀏覽器是允許的�。 2)jsonp:通常為了減輕 web 服務(wù)器的負(fù)載,我們把 js�、css、圖片等靜態(tài)資源分離到另一臺獨立域名的服務(wù)器上����,在 html 頁面中再通過相應(yīng)的標(biāo)簽從不同域名下加載靜態(tài)資源�����,而被瀏覽器允許�����。 3)服務(wù)端在返回的時候添加幾個特殊的響應(yīng)頭�����,瀏覽器在看到這幾個響應(yīng)頭的時候�,知道服務(wù)端允許跨域�����,那么會允許客戶端的這次請求����。而響應(yīng)頭如下: # 允許的源地址
Access-Control-Allow-Origin: *
# 允許的請求頭
Access-Control-Allow-Headers: *
# 允許的請求方法
Access-Control-Allow-Methods: *
比如有使用了「負(fù)載均衡」的多臺服務(wù)器�����,第一次登錄請求轉(zhuǎn)發(fā)到了 A,然后 A 中的 Seesion 緩存了用戶的登錄信息����。但之后的操作轉(zhuǎn)發(fā)到了 B,這時候就丟失了登錄狀態(tài)�,會再次讓用戶重新登陸。當(dāng)然可以通過共享 Session 的方式����,但 Token 只需要所有的服務(wù)器使用相同的解密手段即可。 服務(wù)端不保存客戶端請求者的任何信息�,客戶端每次請求必須自備描述信息,通過這些信息來識別客戶端身份����。服務(wù)端只需要確認(rèn)該 Token是否是自己親自簽發(fā)即可,簽發(fā)和驗證都在服務(wù)端進行����。 所謂單點登錄,是指在多個應(yīng)用系統(tǒng)中�,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。 那有人就問了�����,既然 Token 這么好,那為什么各個大公司幾乎都采用共享 Session 的方式呢����。原因是 Token 有以下兩點劣勢: 1)Token 太長了:Token 是 Header, Payload, Signature 編碼后的樣式,所以一般要比 SessionId 長很多�����。如果你在 Token 中存儲的信息越多�,那么 Token 本身也會越長,這樣的話由于你每次請求都會帶上 Token����,那么對請求來說是個不小的負(fù)擔(dān); 2)不太安全:網(wǎng)上很多文章說 Token 更安全�����,其實不然�����。細(xì)心的你可能發(fā)現(xiàn)了����,我們說 Token 是存儲在瀏覽器的,再細(xì)問����,存在瀏覽器的哪里呢?首先不能放在 Cookie 里�,那就只好放在 local storage 里,這樣會造成安全隱患�。因為 local storage 這類的本地存儲是可以被 JS 直接讀取的,另外上面也提到�����,Token 一旦生成無法讓其失效�,必須等到過期才行。這樣的話即便服務(wù)端檢測到了一個安全威脅����,也無法使相關(guān)的 Token 失效。 所以 Token 更適合一次性的命令認(rèn)證�,設(shè)置一個比較短的有效期。 其實不管是 Cookie 還是 Token�,從存儲角度來看其實都不安全(實際上防護 CSRF 攻擊的正確方式是用 CSRF Token),都有暴露的風(fēng)險�����。我們所說的安全更多的是強調(diào)傳輸中的安全,可以用 HTTPS 協(xié)議來傳輸�����, 這樣的話請求頭都能被加密����,也就保證了傳輸中的安全。 當(dāng)然我們把 Cookie 和 Token 放在一起比較本身就不合理����,一個是存儲方式,一個是驗證方式�,正確的比較應(yīng)該是 Session 和 Token。 Token 和 Session 其實都是為了身份驗證�,Session 一般翻譯為會話,而 Token 更多的時候是翻譯為令牌����;Session 和 Token 都是有過期時間一說,都需要去管理過期時間����。 1)Session 是一種「記錄服務(wù)器和客戶端會話狀態(tài)的機制」,使服務(wù)端有狀態(tài)化,可以保存會話信息(一般保存在緩存中)�。而 Token 是「令牌」,是訪問資源接口(API)時所需要的資源憑證����,Token 使服務(wù)端無狀態(tài)化�,不會存儲會話信息; 2)其實 Token 與 Session 的區(qū)別就是一個時間與空間的博弈問題�����,Session 是空間換時間�����,而 Token 是時間換空間�,兩者的選擇要看具體情況而定。 雖然確實都是「客戶端記錄�����,每次訪問攜帶」�,但 Token 很容易設(shè)計為自包含的,也就是說��,后端不需要記錄什么東西���,每次一個無狀態(tài)請求���,每次解密驗證��,每次當(dāng)場得出合法/非法的結(jié)論����。這一切判斷依據(jù)���,除了固化在 CS 兩端的一些邏輯之外��,整個信息是自包含的����,這才是真正的無狀態(tài)����。 而 Session 需要依賴一段隨機字符串作為 SessionID,每次請求都要去緩存中檢索 ID 的有效性��。但這存在風(fēng)險���,如果服務(wù)器重啟導(dǎo)致內(nèi)存里的 Session 沒了怎么辦��?萬一 Redis 服務(wù)器掛了怎么辦���?所以此時會使得服務(wù)端變得有狀態(tài)��。
3)所謂 Session 認(rèn)證只是簡單的把 User 信息存儲到 Session 里��,因為 SessionID 的不可預(yù)測性,暫且認(rèn)為是安全的��。 而 Token ��,如果指的是 OAuth Token 或類似的機制的話��,提供的是認(rèn)證和授權(quán) ����。認(rèn)證是針對用戶,授權(quán)是針對 App����,其目的是讓某 App 有權(quán)利訪問某用戶的信息。這里的 Token 是唯一的��,不可以轉(zhuǎn)移到其它 App上,也不可以轉(zhuǎn)到其它用戶上��。 Session 只提供一種簡單的認(rèn)證���,只要有此 SessionID ��,即認(rèn)為有此 User 的全部權(quán)利����,因此需要嚴(yán)格保密��,這個數(shù)據(jù)應(yīng)該只保存在站方���,不應(yīng)該共享給其它網(wǎng)站或者第三方 App���。 所以簡單來說:如果你的用戶數(shù)據(jù)可能需要和第三方共享,或者允許第三方調(diào)用 API 接口���,用 Token ��;如果只是自己的網(wǎng)站����,自己的 App,用什么就無所謂了���。
本文深度參考自
|
