- 1make a vcard/vcal Ndef message on Android_text/x-vcard
- 21.《一个物联网系统的实现》之使用微信小程序给ESP32C3配网_物联网小程序 教程
- 3vnc viewer 远程桌面,vnc viewer 远程桌面使用教程
- 4细粒度识别 DCL 论文及代码学习笔记_细粒度目标识别
- 5鸿蒙系统开发教程提纲_鸿蒙开发课程大纲
- 6关于 Qt报错“No rule to make target xxxx 长路径”一种非常规问题定位(原因:shadow全路径+深度模块依赖相对路径超过系统预定义256字节) 的解决方法_qt没有规则可制作目标
- 7安卓项目报错了Connect timed out_android connect timed out
- 8意图识别bert_bert隐式意图判断
- 9linux暑期实践1-字符界面与常用命令_尝试在字符界面用ls命令查询新建文件夹
- 10用灰度发布功能实现A/B测试_a/b测试 灰度落地方案
鉴权 前后端常见的几种鉴权方式_什么是后台鉴权
赞
踩
https://juejin.cn/post/6844903927100473357
鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。
为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式。主流鉴权方式是利用认证授权来验证数字签名的正确与否。
逻辑上,授权发生在鉴权之后,而实际上,这两者常常是一个过程。
鉴权包括两个方面:
用户鉴权,网络对用户进行鉴权,防止非法用户占用网络资源。
网络鉴权,用户对网络进行鉴权,防止用户接入了非法的网络,被骗取关键信息。
这种双向的认证机制,就是AKA(Authentication and Key Agreement,鉴权和密钥协商)鉴权。
一、四种鉴权方式
目前我们常用的鉴权有四种:
HTTP Basic Authentication
session-cookie
Token 验证
OAuth(开放授权)
二、HTTP Basic Authentication
这种授权方式是浏览器遵守http协议实现的基本授权方式,HTTP协议进行通信的过程中,HTTP协议定义了基本认证允许HTTP服务器对客户端进行用户身份证的方法。
认证过程:
1、 客户端向服务器请求数据,请求的内容可能是一个网页或者是一个ajax异步请求,此时,假设客户端尚未被验证,则客户端提供如下请求至服务器:
Get /index.html HTTP/1.0
Host:www.google.com
复制代码2、 服务器向客户端发送验证请求代码401,(WWW-Authenticate: Basic realm=”google.com”这句话是关键,如果没有客户端不会弹出用户名和密码输入界面)服务器返回的数据大抵如下:
HTTP/1.0 401 Unauthorised
Server: SokEvo/1.0
WWW-Authenticate: Basic realm=”google.com”
Content-Type: text/html
Content-Length: xxx
复制代码3、 当符合http1.0或1.1规范的客户端(如IE,FIREFOX)收到401返回值时,将自动弹出一个登录窗口,要求用户输入用户名和密码。
4、 用户输入用户名和密码后,将用户名及密码以BASE64加密方式加密,并将密文放入前一条请求信息中,则客户端发送的第一条请求信息则变成如下内容:
Get /index.html HTTP/1.0
Host:www.google.com
Authorization: Basic d2FuZzp3YW5n
复制代码注:d2FuZzp3YW5n表示加密后的用户名及密码(用户名:密码 然后通过base64加密,加密过程是浏览器默认的行为,不需要我们人为加密,我们只需要输入用户名密码即可)
5、 服务器收到上述请求信息后,将 Authorization 字段后的用户信息取出、解密,将解密后的用户名及密码与用户数据库进行比较验证,如用户名及密码正确,服务器则根据请求,将所请求资源发送给客户端
效果:
客户端未未认证的时候,会弹出用户名密码输入框,这个时候请求时属于 pending 状态,当用户输入用户名密码的时候客户端会再次发送带 Authentication 头的请求。
认证成功:
server.js
let express = require(“express”);
let app = express();
app.use(express.static(__dirname+’/public’));
app.get("/Authentication_base",function(req,res){
console.log(‘req.headers.authorization:’,req.headers)
if(!req.headers.authorization){
res.set({
‘WWW-Authenticate’:‘Basic realm=“wang”’
});
res.status(401).end();
}else{
let base64 = req.headers.authorization.split(" “)[1];
let userPass = new Buffer(base64, ‘base64’).toString().split(” 本文内容由网友自发贡献,转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/321775
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。
