摘要:什么是鑒權(quán)鑒權(quán)是指驗(yàn)證用戶是否擁有訪問系統(tǒng)的權(quán)利。傳統(tǒng)的鑒權(quán)是通過密碼來驗(yàn)證的���。這種方式的前提是��,每個(gè)獲得密碼的用戶都已經(jīng)被授權(quán)��。接下來就一一介紹一下這三種鑒權(quán)方式�����。
在系統(tǒng)級(jí)項(xiàng)目開發(fā)時(shí)常常會(huì)遇到一個(gè)問題就是鑒權(quán)���,身為一個(gè)前端來說可能我們距離鑒權(quán)可能比較遠(yuǎn),一般來說我們也只是去應(yīng)用�,并沒有對(duì)權(quán)限這一部分進(jìn)行深入的理解。
什么是鑒權(quán)
鑒權(quán):是指驗(yàn)證用戶是否擁有訪問系統(tǒng)的權(quán)利����。傳統(tǒng)的鑒權(quán)是通過密碼來驗(yàn)證的。這種方式的前提是�,每個(gè)獲得密碼的用戶都已經(jīng)被授權(quán)。在建立用戶時(shí),就為此用戶分配一個(gè)密碼����,用戶的密碼可以由管理員指定,也可以由用戶自行申請(qǐng)�。這種方式的弱點(diǎn)十分明顯:一旦密碼被偷或用戶遺失密碼,情況就會(huì)十分麻煩��,需要管理員對(duì)用戶密碼進(jìn)行重新修改��,而修改密碼之前還要人工驗(yàn)證用戶的合法身份�����。 -- 節(jié)選自百度百科
上述簡(jiǎn)單扼要的說明了一下鑒權(quán)的概念����,但是這也只是簡(jiǎn)單的鑒權(quán)�����,也是項(xiàng)目中最最常見的及安全形式了�,但是對(duì)于后端鑒權(quán)又是如何去做的,我們?nèi)允且粺o所知��,一般來說對(duì)于后端來說,鑒權(quán)最長(zhǎng)見的方式分為三種:
Session/Cookie
Token或Jwt
OAuth
這種授權(quán)方式是瀏覽器遵守http協(xié)議實(shí)現(xiàn)的基本授權(quán)方式,HTTP協(xié)議進(jìn)行通信的過程中���,HTTP協(xié)議定義了基本認(rèn)證認(rèn)證允許HTTP服務(wù)器對(duì)客戶端進(jìn)行用戶身份證的方法����。接下來就一一介紹一下這三種鑒權(quán)方式�。
Session/Cookie
Cookie是一個(gè)非常具體的東西,指的就是瀏覽器里面能永久存儲(chǔ)的一種數(shù)據(jù)�,僅僅是瀏覽器實(shí)現(xiàn)的一種數(shù)據(jù)存儲(chǔ)功能。Cookie由服務(wù)器生成�����,發(fā)送給瀏覽器�,瀏覽器把Cookie以KV形式保存到某個(gè)目錄下的文本文件內(nèi),下一次請(qǐng)求同一網(wǎng)站時(shí)會(huì)把該Cookie發(fā)送給服務(wù)器���。由于Cookie是存在客戶端上的�,所以瀏覽器加入了一些限制確保Cookie不會(huì)被惡意使用����,同時(shí)不會(huì)占據(jù)太多磁盤空間,所以每個(gè)域的Cookie數(shù)量是有限的��。
Cookie.js
const Http = require("http");
const app = Http.createServer((req,res) => {
if(req.url === "/favicon.ico"){
return;
}else{
res.setHeader("Set-Cookie","cx=Segmentfault");
res.end("hello cookie");
};
});
app.listen(3000);
使用node Cookie.js運(yùn)行上面代碼,等程序啟動(dòng)后訪問http://localhost:3000/�,就可以看到hello cookie字樣,這樣的話就代表該服務(wù)已經(jīng)啟動(dòng)了����。若想查看到到我們所設(shè)置的Cookie,首先觀察一下在Network中Response Headers中�����,可以看到我們所寫的Set-Cookie屬性��,當(dāng)我們?cè)L問http://localhost:3000/的時(shí)候���,當(dāng)瀏覽器接收到Set-Cookie這個(gè)屬性的時(shí)候�����,瀏覽器會(huì)根據(jù)其內(nèi)部約定,并在其瀏覽器內(nèi)部對(duì)其cookie進(jìn)行存儲(chǔ)����,打開瀏覽器控制臺(tái),在Application中找到Cookies中找到相對(duì)應(yīng)的域名�,就可以看到我們所設(shè)置的cookie值了。當(dāng)在同域的情況下,當(dāng)再次請(qǐng)求數(shù)據(jù)的時(shí)候?yàn)g覽器會(huì)默認(rèn)發(fā)送cookie在該請(qǐng)求中�,一起發(fā)送給后端。為了證實(shí)上面的說法���,刷新一下http://localhost:3000/頁面��,在控制臺(tái)Network找到Request Headers中可以看到Cookie: cx=Segmentfault屬性����,既然發(fā)送給服務(wù)端之后��,相應(yīng)的在后端也是可以接收到該Cookie的�����,修改一下上面的例子:
const Http = require("http");
const app = Http.createServer((req,res) => {
if(req.url === "/favicon.ico"){
return;
}else{
console.log("cookie",req.headers.cookie)
res.setHeader("Set-Cookie","cx=Segmentfault");
res.end("hello cookie");
};
});
app.listen(3000);
在接收到訪問的時(shí)候�,就可以接收到了cx=Segmentfault,如果說現(xiàn)在這份Cookie是一份加密的數(shù)據(jù)的話����,里面包含一些用戶信息,在通過前后端進(jìn)行交互之后���,當(dāng)客戶端再次請(qǐng)求服務(wù)端的時(shí)候�����,服務(wù)端拿到相對(duì)應(yīng)的Cookie并對(duì)其進(jìn)行解密���,對(duì)其中用戶的信息進(jìn)行鑒權(quán)處理就可以了���。
服務(wù)端通過Set-Cookie在Response Headers設(shè)置了一段加密數(shù)據(jù),客戶端接收到了其相對(duì)應(yīng)的數(shù)據(jù)之后����,瀏覽器對(duì)其進(jìn)行存儲(chǔ),當(dāng)可客戶端再次發(fā)送請(qǐng)求的時(shí)候�,會(huì)攜帶已有的Cookie在Request Headers中一并發(fā)送給服務(wù)端,服務(wù)端解密數(shù)據(jù)完成鑒權(quán)��,由此可以得出Cookie是服務(wù)端存儲(chǔ)在客服端的狀態(tài)標(biāo)志�,再由客戶端發(fā)送給服務(wù)端,由服務(wù)端解析��。Cookie在使用中必須是同域的情況下才可以���,一般常用的是在MVC這種開發(fā)形式中很常用。
說了半天Cookie�,但是對(duì)于Session卻只字未提����,接下來就介紹一下Session���,Session從字面上講���,就是會(huì)話。這個(gè)就類似于你和一個(gè)人交談��,你怎么知道當(dāng)前和你交談的是張三而不是李四呢���?對(duì)方肯定有某種特征(長(zhǎng)相等)表明他就是張三�。Session也是類似的道理����,服務(wù)器要知道當(dāng)前發(fā)請(qǐng)求給自己的是誰。為了做這種區(qū)分�,服務(wù)器就要給每個(gè)客戶端分配不同的身份標(biāo)識(shí),然后客戶端每次向服務(wù)器發(fā)請(qǐng)求的時(shí)候���,都帶上這個(gè)身份標(biāo)識(shí)�,服務(wù)器就知道這個(gè)請(qǐng)求來自于誰了�。至于客戶端怎么保存這個(gè)身份標(biāo)識(shí)��,可以有很多種方式����,對(duì)于瀏覽器客戶端��,大家都默認(rèn)采用Cookie的方式����。
const Http = require("http");
let session = {};
const app = Http.createServer((req,res) => {
const sessionKey = "uId";
if(req.url === "/favicon.ico"){
return;
}else{
const uId = parseInt(Math.random() * 10e10);
const cookie = req.headers.cookie;
if(cookie && cookie.indexOf(sessionKey) !== -1){
let _uId = cookie.split("=")[1];
res.end(`${session[_uId].name} Come back`);
}
else{
res.setHeader("Set-Cookie",`${sessionKey}=${uId}`);
session[uId] = {"name":"Aaron"};
res.end("hello cookie");
}
};
});
app.listen(3000);
代碼中解析cookie只是用了和很簡(jiǎn)單的方式,只是為了完成Dome而已�����,在實(shí)際項(xiàng)目中獲取cookie比這個(gè)要復(fù)雜很多��。
Session/Cookie認(rèn)證主要分四步:
服務(wù)器在接受客戶端首次訪問時(shí)在服務(wù)器端創(chuàng)建seesion��,然后保存seesion(我們可以將seesion保存在內(nèi)存中��,也可以保存在redis中����,推薦使用后者),然后給這個(gè)session生成一個(gè)唯一的標(biāo)識(shí)字符串,然后在響應(yīng)頭中種下這個(gè)唯一標(biāo)識(shí)字符串�����。
簽名����。這一步只是對(duì)sid進(jìn)行加密處理,服務(wù)端會(huì)根據(jù)這個(gè)secret密鑰進(jìn)行解密��。(非必需步驟)
瀏覽器中收到請(qǐng)求響應(yīng)的時(shí)候會(huì)解析響應(yīng)頭�,然后將sid保存在本地cookie中,瀏覽器在下次http請(qǐng)求的時(shí)候�����,請(qǐng)求頭中會(huì)帶上該域名下的cookie信息���,
服務(wù)器在接受客戶端請(qǐng)求時(shí)會(huì)去解析請(qǐng)求頭cookie中的sid����,然后根據(jù)這個(gè)sid去找服務(wù)器端保存的該客戶端的session�����,然后判斷該請(qǐng)求是否合法���。
利用服務(wù)器端的session和瀏覽器端的cookie來實(shí)現(xiàn)前后端的認(rèn)證��,由于http請(qǐng)求時(shí)是無狀態(tài)的���,服務(wù)器正常情況下是不知道當(dāng)前請(qǐng)求之前有沒有來過���,這個(gè)時(shí)候我們?nèi)绻涗洜顟B(tài),就需要在服務(wù)器端創(chuàng)建一個(gè)會(huì)話(seesion),將同一個(gè)客戶端的請(qǐng)求都維護(hù)在各自得會(huì)會(huì)話中���,每當(dāng)請(qǐng)求到達(dá)服務(wù)器端的時(shí)候�����,先去查一下該客戶端有沒有在服務(wù)器端創(chuàng)建seesion�,如果有則已經(jīng)認(rèn)證成功了����,否則就沒有認(rèn)證。
與redis結(jié)合使用:
const koa = require("koa");
const session = require("koa-session");
const redisStore = require("koa-redis");
const redis = require("redis");
const wrapper = require("co-redis");
const app = new koa();
const redisClient = redis.createClient(6379,"localhost");
const client = wrapper(redisClient);
// 類似于密鑰
app.keys = ["Aaron"];
const SESSION_CONFIG = {
// 所設(shè)置的session的key
key:"sId",
// 最大有效期
maxAge:8640000,
// 是否防止js讀取
httpOnly:true,
// cookie二次簽名
signed:true,
// 存儲(chǔ)方式
stroe:redisStore({client})
};
app.use(session(SESSION_CONFIG,app));
app.use((ctx) => {
redisClient.keys("*",(err,keys) => {
keys.forEach(key => {
redisClient.get(key,(err,val) => {
console.log(val);
});
})
})
if(ctx.path === "/favicon.ico") return;
let n = ctx.session.count || 0;
ctx.session.count = ++n;
ctx.body = `第${n}次訪問`
});
app.listen(3000);
雖然Session/Cookie可以解決鑒權(quán)問題�����,但是會(huì)有很大的問題,對(duì)于服務(wù)端來說說是一個(gè)巨大的開銷���,嚴(yán)重的限制了服務(wù)器擴(kuò)展能力�,比如說我用兩個(gè)機(jī)器組成了一個(gè)集群�����,小F通過機(jī)器A登錄了系統(tǒng)���,那sessionId會(huì)保存在機(jī)器A上,假設(shè)小F的下一次請(qǐng)求被轉(zhuǎn)發(fā)到機(jī)器B怎么辦�?機(jī)器B可沒有小F的sessionId,有時(shí)候會(huì)采用一點(diǎn)小伎倆:session sticky���,就是讓小F的請(qǐng)求一直粘連在機(jī)器A上���,但是這也不管用,要是機(jī)器A掛掉了�����, 還得轉(zhuǎn)到機(jī)器B去�����。那只好做session的復(fù)制了,把sessionId在兩個(gè)機(jī)器之間搬來搬去�,再好的服務(wù)器也經(jīng)不起這樣的折騰。
Token或Jwt
在計(jì)算機(jī)身份認(rèn)證中是令牌(臨時(shí))的意思�����,在詞法分析中是標(biāo)記的意思�。一般作為邀請(qǐng)、登錄系統(tǒng)使用?����,F(xiàn)在前后端分離火熱�,Token混的風(fēng)生水起,很多項(xiàng)目開發(fā)過程中都會(huì)用到Token���,其實(shí)Token是一串字符串��,通常因?yàn)樽鳛殍b權(quán)憑據(jù)����,最常用的使用場(chǎng)景是API鑒權(quán)����。
客戶端使用用戶名跟密碼請(qǐng)求登錄
服務(wù)端收到請(qǐng)求�,去驗(yàn)證用戶名與密碼
驗(yàn)證成功后�,服務(wù)端會(huì)簽發(fā)一個(gè)Token,再把這個(gè)Token發(fā)送給客戶端
客戶端收到Token以后可以把它存儲(chǔ)起來����,比如放在Cookie里或者Local Storage里
客戶端每次向服務(wù)端請(qǐng)求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的Token
服務(wù)端收到請(qǐng)求,然后去驗(yàn)證客戶端請(qǐng)求里面帶著的Token��,如果驗(yàn)證成功��,就向客戶端返回請(qǐng)求的數(shù)據(jù)
示例:
前端
Document
后端:
const Koa = require("koa");
const jwt = require("jsonwebtoken");
const jwtAuth = require("koa-jwt");
const Router = require("koa-router"); // koa 路由中間件
const bodyParser = require("koa-bodyparser");
const cors = require("koa2-cors");
const app = new Koa();
const router = new Router();
// 密鑰
const secret = "this is a secret";
app.use(bodyParser());
app.use(cors());
router.post("/users/login/token",(ctx) => {
const {body} = ctx.request;
const {username} = body;
ctx.body = {
code:1,
message:"登陸成功",
body:{
username
},
token:jwt.sign({
data:body,
exp:Math.floor(Date.now() / 1000) + 60 * 60,
},secret)
}
});
router.post("/users/logout",(ctx) => {
const {body} = ctx.request;
ctx.body = {
code:1,
message:"退出成功"
}
})
router.get("/users/get/user/info",jwtAuth({secret}),(ctx) => {
// jwtAuth token參數(shù)
console.log(ctx.state.user.data)
ctx.body = {
code:1,
message:"成功",
data:ctx.state.user.data
}
})
app.use(router.routes());
app.listen(3000);
上面代碼用到了很多的依賴模塊���,最關(guān)鍵的的是jsonwebtoken和koa-jwt�,這兩個(gè)模塊一個(gè)是用來對(duì)token進(jìn)行加密���,一個(gè)是用來對(duì)數(shù)據(jù)進(jìn)行解密的�,同時(shí)在每次訪問需要保護(hù)的路由的時(shí)候需要使用jwtAuth對(duì)其進(jìn)行攔截處理����,jwtAuth會(huì)根據(jù)其secret進(jìn)行數(shù)據(jù)解密,把解密的數(shù)據(jù)存放到ctx.state中,供用戶讀取����。
有關(guān)jwt相關(guān)請(qǐng)查看深入理解令牌認(rèn)證機(jī)制詳細(xì)的解釋了其加密后數(shù)據(jù)token的構(gòu)成。
加密后的數(shù)據(jù)主要分為三個(gè)部分機(jī)密頭部�����、載荷��、數(shù)據(jù)如果我們想查看其加密前內(nèi)容是什么樣子的�,可以通過base64對(duì)其沒一部分進(jìn)行解密。
機(jī)密頭部:聲明加密規(guī)則�����,可反解
載荷:數(shù)據(jù)信息��,也就是我們需要加密的信息�,可反解
驗(yàn)證:這部分是對(duì)前兩部分使用hash算法的摘要,是不可逆的
在使用jsonwebtoken時(shí)需要注意的是�,由于加密信息是可以反解的所以,盡量不要在加密數(shù)據(jù)中存放敏感信息���,比如用戶的密碼�,用戶私密信息等等(千萬不要效仿Dome,這是不對(duì)的O(∩_∩)O)�。同過上面所述,所傳遞給前端的token一旦發(fā)生變化�����,僅僅是一個(gè)字母大小寫發(fā)生變化也是不行的�,當(dāng)服務(wù)端接收到token解密時(shí),是無法正確解密的�,這種token可以是發(fā)篡改的。如果想要篡改token必須要有其secret才可以對(duì)其進(jìn)行篡改和偽造���。
OAuth
OAuth(開放授權(quán))是一個(gè)開放標(biāo)準(zhǔn),允許用戶授權(quán)第三方網(wǎng)站訪問他們存儲(chǔ)在另外的服務(wù)提供者上的信息�,而不需要將用戶名和密碼提供給第三方網(wǎng)站或分享他們數(shù)據(jù)的所有內(nèi)容,為了保護(hù)用戶數(shù)據(jù)的安全和隱私�����,第三方網(wǎng)站訪問用戶數(shù)據(jù)前都需要顯式的向用戶征求授權(quán)���。我們常見的提供OAuth認(rèn)證服務(wù)的廠商有支付寶���,QQ,微信����。
OAuth協(xié)議又有1.0和2.0兩個(gè)版本��。相比較1.0版��,2.0版整個(gè)授權(quán)驗(yàn)證流程更簡(jiǎn)單更安全�,也是目前最主要的用戶身份驗(yàn)證和授權(quán)方式。
OAuth認(rèn)證主要經(jīng)歷了如下幾步:
需要第三方應(yīng)用存儲(chǔ)資源所有者的憑據(jù)���,以供將來使用�,通常是明文密碼�。
需要服務(wù)器支持密碼身份認(rèn)證,盡管密碼認(rèn)證天生就有安全缺陷����。
第三方應(yīng)用獲得的資源所有者的受保護(hù)資源的訪問權(quán)限過于寬泛,從而導(dǎo)致資源所有者失去對(duì)資源使用時(shí)限或使用范圍的控制����。
資源所有者不能僅撤銷某個(gè)第三方的訪問權(quán)限而不影響其它,并且���,資源所有者只有通過改變第三方的密碼�����,才能多帶帶撤銷這第三方的訪問權(quán)限���。
與任何第三方應(yīng)用的讓步導(dǎo)致對(duì)終端用戶的密碼及該密碼所保護(hù)的所有數(shù)據(jù)的讓步�。
簡(jiǎn)單概括�����,就是用于第三方在用戶授權(quán)下調(diào)取平臺(tái)對(duì)外開放接口獲取用戶相關(guān)信息�。OAuth引入了一個(gè)授權(quán)環(huán)節(jié)來解決上述問題。第三方應(yīng)用請(qǐng)求訪問受保護(hù)資源時(shí)����,資源服務(wù)器在獲準(zhǔn)資源用戶授權(quán)后,會(huì)向第三方應(yīng)用頒發(fā)一個(gè)訪問令牌(AccessToken)�����。該訪問令牌包含資源用戶的授權(quán)訪問范圍���、授權(quán)有效期等關(guān)鍵屬性。第三方應(yīng)用在后續(xù)資源訪問過程中需要一直持有該令牌�,直到用戶主動(dòng)結(jié)束該次授權(quán)或者令牌自動(dòng)過期��。
總結(jié)
授權(quán)方式多種多樣�,主要還是要取決于我們對(duì)于產(chǎn)品的定位�。如果我們的產(chǎn)品只是在企業(yè)內(nèi)部使用,token和session就可以滿足我們的需求�,現(xiàn)在前后端分離如此火熱jwt認(rèn)證方式更加適合。
感謝大家閱讀本文章���,文章中若有錯(cuò)誤請(qǐng)大家指正�����,如果感覺有多幫助的話����,不要忘記點(diǎn)贊哦��。
