网站常见的鉴权认证方式有哪几种？

时间：2019-11-25 20:38:11 阅读：312 评论：0 收藏：0 [点我收藏+]

一、什么是鉴权

鉴权（authentication）是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是，每个获得密码的用户都已经被授权。在建立用户时，就为此用户分配一个密码，用户的密码可以由管理员指定，也可以由用户自行申请。这种方式的弱点十分明显：一旦密码被偷或用户遗失密码，情况就会十分麻烦，需要管理员对用户密码进行重新修改，而修改密码之前还要人工验证用户的合法身份。
为了克服这种鉴权方式的缺点，需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。

二、网站常见的鉴权认证方式

Session机制
JWT机制
Auth2机制

2.1Session认证的原理

解析：第一次登陆网站的时候，需要填写用户名和密码，之后push到服务器上，因为是第一次注册，服务器先去查看一下用户名是否被人用过，如果已经被人使用，需要重新注册一个用户名，若没有，则可以进行创建。创建有两种方法：第一种是把用户名和密码直接保存在数据库中，这种方法对于服务器来说，有风险，一旦数据库密码被攻破了，数据就会被泄露。第二种方法：数据库不存储明文密码，只存储用户名之后生成一个随机数，之后输入的密码和随机数通过SHA256（单向散列函数）进行处理，把密码加随机数生成一个字符串，把这个字符串（secret）和随机数（salt）和用户名（username）存储起来。当用户进行登录的时候，首先数据库进行查找，有无这个用户名，如果有的话，就会进行一个计算，用密码和随机数通过SHA256进行处理，得到一个随机字符串，把这个字符串和之前的进行比较，如果是一样的，则表示密码正确。之后再服务器创建一个对象（session），存到内存（小数据）中或者数据库中，服务器发送响应给浏览器，响应报文中有一个Set-Cookie:s_id=1b3ra9字段，浏览器发现这个字段就把他放到cookie中，下一次用户再一次请求的时候，请求会自动带cookie字段，服务器收到带cookie请求，则先进行比较，找到相同的s_id，之后发送更多的信息返回给浏览器。

2.2JWT（全称：JSON Web Token）认证的原理

技术图片

解析：假设已经注册好，服务器只要生成token就可以了，之后把token返回给客户端。token = str1+‘.‘+str2+‘.‘+str3。浏览器需要手动的把token存储起来，可以存在cookie里，下一次发送请求的时候只需要/user?jwt_token=xxx就可以了。服务器收到请求后，要对token进行验证。（图片上步骤8）base64加密解密方法。

再一次发送请求的方法：
- /user?jwt_token=xxx；
- 或者把token放到请求头（Authorization）里面。
优点：
- 任何地方都可以使用，使用范围广泛。（只需要把Token在客户端保存起来）
- 服务器额存储压力小，session是需要进行存储的，但是Token不需要。
缺点：
- 增加了计算压力，每个请求到达，都要进行计算。
- cookie的续期比较麻烦。
- 点击了发送请求后，立即点击注销，但是cookie还是存在。

2.3Auth2认证的流程

技术图片

使用场景
- 网站会有一个登陆，（比如QQ登陆），第三方账号登陆，没有注册，登陆后会回到当前网站。
流程
网站找认证服务器要用户的数据。网站必须拿到用户允许服务器给数据的凭证，否则服务器不会随意给数据。用户向服务器奥认证，服务器询问是否确定给凭证，用户回复确定才会给凭证。
- （9）步骤：一定要有凭据、自己的名片、自己的密钥。

2.4和JWT相比Session机制有哪些缺点

如果摆脱浏览器，没有cookie，不能用在任何场景。（小程序、终端、app）
如果把session放在内存中，则会导致占用大量内存。
当采用分布式的时候，如果把数据存储在数据库中，则进行处理会比较麻烦。
如果存在XSS漏洞，cookie容易泄露。