1、HTTP Basic认证
用户每次发送请求的时候,在请求头中携带能通过认证的身份信息;Authorization: <username>:<password>
1.1 交互过程
① 客户端发起请求,未携带身份信息的请求;
② 服务端返回401 Unauthorized状态,并在返回头中说明要用Basic方法进行认证:WWW-Authenticate:Basic;
③ 客户端发起请求,并在请求头中携带身份信息:Authorization:Basic password;
④ 服务端验证请求头中的身份信息,并相应地返回200或者403状态码;
⑤ 之后,客户端每次请求都在请求头中携带身份信息;
1.2 优缺点
优点:
简单,容易理解;
缺点:
不安全,认证身份用明文传输,需要配合https使用;
效率低,服务端处理请求的时候,每次都要验证身份信息:用户名、密码;
2、Session 认证
结合了session和cookie。服务端将本次会话信息以session对象的形式保存在服务端的内存、数据库或系统文件中,并将对应的session的对象ID值以cookie的形式返回给客户端。sessionID保存在客户端的cookie中。
是一种有状态的认证方法,服务端保存session对象,客户端以cookie形式保存sessionid。
2.1 交互过程
① 客户端在登录页面输入身份信息,如用户名、密码;
② 服务端验证身份信息,通过后生成一个session对象,保存到服务端,并将sessionid值以cookie的形式返回给客户端;
③ 客户端将接收到的sessionid保存到cookie中,并且之后的每次请求都在请求头中携带sessionid cookie;
④ 服务端从请求的cookie中获取sessionid,并查询其对应的session对象,从而获得身份信息;
⑤ 客户端退出本次会话后,客户端删除sessionid和cookie,服务端删除session对象;
⑥ 客户端重新登录,生成新的session对象和sessionid;
2.2 优缺点
优点:
较安全:客户端每次请求时无需发送身份信息,只需要发送sessionid;
较高效:服务端无需每次处理请求时验证身份信息,只需通过sessionid查询session对象;
缺点:
扩展性差:session对象保存在服务端,如果保存在多个服务器上,有一致性问题,如果保存在单个服务器上,无法适应用户增长;
基于cookie的sessionid不能跨域共享,同一用户的多个客户端不能共享sessionid;
基于cookie的sessionid容易被截获生成csrf攻击;
3、token认证
是一种无状态的认证方法,是SPA应用和APP经常使用的认证方法;
客户端首先将用户信息发送给服务端,服务端根据用户信息+私钥生成一个唯一的Token并返回给客户端。Token只保存在客户端,之后,客户端的每个请求头都携带token,而服务端只通过运算来验证用户;
