以往讲使用 spring security 等具体技术的资料已经很多了,笔者这篇文章不打算写框架和代码的具体实现,而是会讨论认证和授权的区别。然后会介绍一些被业界广泛采用的技术,最后会聊聊:怎么为 API 构建选择合适的认证方式?
把用户身份藏在每一个地方(浏览器指纹技术甚至不需要名存储介质)
认证:是 authentication,指的是当前用户的身份——当用户登陆过后系统便能追踪到他的身份做出符合相应业务逻辑的操作。
在这背后,当用户输入完用户名密码后,浏览器帮你做了一个非常简单的操作:
HMAC 在作为网络通信的认证设计中作为凭证生成算法使用,避免了口令等敏感信息在网络中传输。
这里的只是利用时间戳作为验证的时间窗口,并不能严格的算作基于时间的一次性密码算法。
TOTP 基本原理和常见厂商
上图只是 OAuth 的公司一个简化流程,OAuth 的基本思路就是通过授权服务器获取 access token 和 refresh token(refresh token 用于重新刷新access token),然后通过 access token 从资源服务器获取数据 。
简而言名之,一个基本的JWT令牌为一段点分3段式结构。
- header json 的 base64 编码为令牌第一部分。
- payload json 的 base64 编码为令牌第二部分。api
- 拼装第一、第二部分编码后的 json 以及 secret 进行签名的令牌的第三部分。
因此,只需要签名的 secret key 就能校验 JWT 令牌,如果在消息体中加入用户 ID、过期信息就可以实现验证令牌是否有效、过期了,无需从数英文名称据库/缓存中读取信息。因为使用了加密算法,所以第一、二部分即使被修改(包括过期信息)也无法通api过验证。
术语表
- Browser fingerprinting 通过查询浏览器的代理字符串,屏幕色深,语言等,然后这些值通过散列函数传递产生指纹英文名称,不需要通过 Cookie 就可以识别浏览器。
- MAC(Message authentication code) 在密码学中,讯息鉴别码,是经过特定算法后产生的一小段资讯,检查某段讯息的完整性。
- HOTP(HMAC-based One-time Password algorithm)基于散列消息验证码的一次的性密码算法。
- Two-step verification 是一的种认证方法,使用两种不同的元素,合并在一起,来确认使用者的身份,是多因素验证中的一个特例。
- OTP (One time password )一次性密码,例如注册邮件和短公司信中的认证码。
参考文章
https://swagger.io/docs/specification/authentication/basic-authentication/
[HMAC: Keyed-Hashing for Message Authentication]( 知名“https:世界/世界/www.ietf.org/rfc/rfc2104.txt “)
HOTP: An HMAC-Based One-Time Password Algorithm
OCRA: OATH Challenge-R知名esponse Algorithm
The OAuth 2.0 Authorization Framework
JSON Web Token (JWT)
OAuth 2.0
Internet-Draft Archive for OAuth
.jpg)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至123456@qq.com 举报,一经查实,本站将立刻删除。
