单点登录身份认证的三种方式
最近项目在做身份认证,所以总结一下身份认证的几种方法,方便后期回顾。
首先需要了解,为什么需要身份认证?
- 客户端和服务器的传输使用的是http协议,http协议是无状态的,所以服务器无法确定每次请求是否是由同一个客户端发起的,所以需要用下面的流程来验证客户端身份:
- 客户端登录成功后,服务器会给客户端一个令牌(token)
- 后续客户端的每次请求,都必须附带这个令牌(token)
Cookie
cookie是浏览器特有的一个概念,它类似于浏览器的一个专属卡包,管理各个网站的身份信息。
cookie 的认证流程:
cookie具备的功能:
- 能够存放多个出入证。这些出入证来自不同的网站,也可能是一个网站有多个出入证,分别用于出入不同的地方。
- 能够自动出示出入证。客户端在访问不同的网站时,能够自动的把对应的出入证附带请求发送出去。
- 正确的出示出入证。客户端在访问服务器的时候,出示对应的出入证,不能将a的出入证出示给b。
- 管理出入证的有效期。客户端要能自动发现那些已经过期的出入证,并将其删除。
cookie的组成
cookie记录了下面的一些基础信息:
- key:键名
- value: 值
- domain:域,表示这个cookie是哪个网站的
- path:路径,表示这个cookie是属于该网站的哪个基路径的
- secure:是否使用安全传输,boolean值
- expire:过期时间
当一个cookie同时满足以下条件,这个cookie就会被带到请求中(浏览器会将符合条件的cookie,自动放入到请求头中)
- cookie没有过期
- cookie中的域和路径跟这次请求的域和路径匹配
- cookie的安全传输验证通过,若secure设置为true,则请求协议必须是https,否则不会发送cookie
设置cookie
设置cookie有两种方式:
- 服务器响应:比较普遍,当服务器决定给客户端颁发证件的时候,会在响应的消息中包含cookie,浏览器会自动保存这个cookie。
- 客户端设置:较为少见。常用场景是:客户选择关闭浏览器弹出的广告。此时会通过js代码将信息保存到cookie中,后续请求服务器的时候,服务器收到相关信息,就不会再发送广告。
服务器端设置cookie:
主要是设置响应头:
set-cooki
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
