前后端常见的几种鉴权方式

最新推荐文章于 2024-05-01 08:11:18 发布
最新推荐文章于 2024-05-01 08:11:18 发布
阅读量875 收藏
点赞数
文章标签: ajax http 数据库
原文链接:https://blog.youkuaiyun.com/wang839305939/article/details/78713124
版权

本文链接:https://blog.youkuaiyun.com/wang839305939/article/details/78713124
最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。

目前我们常用的鉴权有四种:

HTTP Basic Authentication
session-cookie
Token 验证
OAuth(开放授权)
一.HTTP Basic Authentication

   这种授权方式是浏览器遵守http协议实现的基本授权方式,HTTP协议进行通信的过程中,HTTP协议定义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。

认证过程:

  1. 客户端向服务器请求数据,请求的内容可能是一个网页或者是一个ajax异步请求,此时,假设客户端尚未被验证,则客户端提供如下请求至服务器:

  Get /index.html HTTP/1.0 
  Host:www.google.com

  2. 服务器向客户端发送验证请求代码401,(WWW-Authenticate: Basic realm=”google.com”这句话是关键,如果没有客户端不会弹出用户名和密码输入界面)服务器返回的数据大抵如下:

  HTTP/1.0 401 Unauthorised 
  Server: SokEvo/1.0 
  WWW-Authenticate: Basic realm=”google.com” 
  Content-Type: text/html 
  Content-Length: xxx

  3. 当符合http1.0或1.1规范的客户端(如IE,FIREFOX)收到401返回值时,将自动弹出一个登录窗口,要求用户输入用户名和密码。

  4. 用户输入用户名和密码后,将用户名及密码以BASE64加密方式加密,并将密文放入前一条请求信息中,则客户端发送的第一条请求信息则变成如下内容:

  Get /index.html HTTP/1.0 
  Host:www.google.com 
  Authorization: Basic d2FuZzp3YW5n

注:d2FuZzp3YW5n表示加密后的用户名及密码(用户名:密码 然后通过base64加密,加密过程是浏览器默认的行为,不需要我们人为加密,我们只需要输入用户名密码即可)

  5. 服务器收到上述请求信息后,将Authorization字段后的用户信息取出、解密,将解密后的用户名及密码与用户数据库进行比较验证,如用户名及密码正确,服务器则根据请求,将所请求资源发送给客户端

效果: 
  客户端未未认证的时候,会弹出用户名密码输入框,这个时候请求时属于pending状态,这个时候其实服务当用户输入用户名密码的时候客户端会再次发送带Authentication头的请求。

认证成功:

server.js

let express = require("express");
let app = express();

    app.use(express.static(__dirname+'/public'));

    app.get("/Authentication_base",function(req,res){
        console.log('req.headers.authorization:',req.headers)
        if(!req.headers.authorization){
            res.set({
               'WWW-Authenticate':'Basic realm="wang"'
            });
            res.status(401).end();
        }else{
            let base64 = req.headers.authorization.split(" ")[1];
            let userPass = new Buffer(base64, 'base64').toString().split(":");
            let user = userPass[0];
            let pass = userPass[1];
            if(user=="wang"&&pass="wang"){
                res.end("OK");
            }else{
                res.status(401).end();
            }

        }

    })

    app.listen(9090)

index.html:

<!DOCTYPE html>
<html>
    <head>
        <meta charset="UTF-8">
        <title>HTTP Basic Authentication</title>
    </head>
    <body>
        <div></div>
        <script src="js/jquery-3.2.1.js"></script>
        <script>
            $(function(){
              send('./Authentication_base');
            })
            var send = function(url){
                        $.ajax({  
                        url : url,  
                        method : 'GET',  
                    });
           }
        </script>
    </body>
</html>

lionzl
关注
前端开发:关于的使用总结
全沾软贱开发攻城狮
12-27 1万+
前端开发过程中,关于限的控制)是非常重要的内容,尤其是前端和后端之间数据传递时候的请求校验。前端的本质就是控制前端视图层的显示和前端向后台所发送的请求,但是只有前端,没有后端是非常不合理的,前端的只是起到一个锦上添花的作用,虽然在前后端开发中程序的核心是在后端,但是前端也是很有必要的。那么本篇博文就来分享一下前端关于的使用总结,记录一下,方便查阅使用。前端,也叫前端身份认证,指的是验证用户是否具有系统的访问限。
关于四种方式
最新发布
qq_54161774的博客
08-19 1662
:验证用户是否拥有访问系统的利。传统的是通过密码来验证的,这种方式的前提是,每个获得密码的用户都已经被授。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。
文件服务器虚拟路径访问文件代码
04-16
文件服务器虚拟路径访问文件代码文件服务器虚拟路径访问文件代码
前后端安全规范
06-12
是确保用户有访问特定资源的过程,通常包含以下几种方式: ##### HTTP Basic Authentication HTTP Basic Authentication 是一种基于HTTP协议的标准认证方法。当客户端发起请求时,会携带经过Base64编码的...
Go中间件跨域、与缓存:多策略保障前后端分离高效运行
[Go中间件跨域、与缓存:多策略保障前后端分离高效运行](https://media.geeksforgeeks.org/wp-content/uploads/20210606160200/Screenshotfrom202105021653142.png) # 1. Go中间件的基本概念和作用 在当今的...
Jquery 添加Authorization认证
斗战圣佛91的博客
01-25 1万+
$.ajax({ type: "GET", url: "http://localhost:8080/books", beforeSend: function(xhr) { xhr.setRequestHeader("Authorization", "Bearer eyJhbGciOiJIUzI1NiJ9.eyJwcmluY2
HttpReqHeader详解
05-06
HttpReqHeader
【模块】【通信】---http模块中req和res 常用的属性介绍
weixin_30590285的博客
08-19 1140
【模块】【通信】---http模块中req和res 常用的属性介绍 const http = require("http"); const fs = require("fs"); let server = http.createServer((req,res)=>{ console.log(req.url); console.log(r...
HTTP协议中的Authorization头部如何用于客户端向服务器发送认证信息?
长风破浪会有时的博客
05-01 789
具体来说,当我们需要访问一个需要认证的资源时,我们的浏览器会弹出一个窗口让我们输入用户名和密码。首先,我们要明白什么是“认证”。在互联网上,有些资源是需要我们提供用户名和密码才能访问的,比如我们的电子邮箱。当我们输入用户名和密码后,服务器会检查这些信息是否正确,如果正确,就让我们访问资源。这个过程就叫做“认证”。总的来说,Authorization头部就像是我们给服务器的一张“通行证”,里面包含了我们的用户名和密码。服务器收到这张“通行证”后,会检查里面的信息是否正确,如果正确,就让我们访问资源。
客户端读取响应头+后端读取请求头的那些事
qq_44859233的博客
05-19 1810
在一些特殊场景中,我们在客户端想要去获取服务端接口设置的一些自定义响应头,服务端该如何处理,客户端才能取到这些自定义响应头的值呢?特殊场景,我这里也举例一下,原生页面webView嵌入web页面。这个时候如果在app内,用户已经登录了,就需要h5页面能够拿到用户信息,但是登录信息在app中,所以需要原生把这个信息传递给h5页面。这个时候会有两种方法,一个是通过接口请求的方式,我们指定尽管是一个页面,在浏览器打开,但其实本质是一个get请求。所以能够通过这个接口传递数据;第二个方法就是与h5页面进行通信。
常见请求头request header
伯约同学的前端学习之路
01-09 6702
常见请求头request header
【Node.js】basicAuth中间件的使用
Sodino的专栏
06-12 7751
Sodino文章目录1. basicAuth2. 实现3. 完整代码4. 效果截图basicAuthbasicAuth中间件为网站添加身份认证功能,使用该中间件后,用户访问网站必须输入用户名和密码并通过难后才能访问网站。GitHub示例工程源码点击源码链接安装basic-auth1npm install basic-auth --save实现接下来require basic-auth并创建中间件使
http请求的时候Header加 Authorization值实现方式
热门推荐
kinghuahua
05-08 5万+
http请求的时候Header加 Authorization值实现方式
Access-Control-Request-Headers: authorization 401
黄大仙儿的专栏
06-28 2万+
后端加了Authorization验证,前端在header里加了authorization,然而结果还是401,发现是跨域先要发一个预检请求,参考https://segmentfault.com/a/1190000006095018解决方案参考https://segmentfault.com/q/1010000012364132if (request.getMethod().equals("OPT...
必学必备的几种接口方式
魏小言的博客
03-11 3211
比如,传输的参数是 “abc",传输的时候就变成了 “cde" ,位置偏移了三位。更近一步而言,在银行或涉及钱、个人信息等场景下,即使这样的接口成功通过 token ,但还会进行 个人确认额外的。每次进行交互时,接收方会按照接收到的参数按照相同的方式进行产出密钥,然后依据此字段进行比对,来核验数据是否被篡改、及请求是否非法、异常。数据进行交互时,会同时按照动态策略采用 ”长串“ 密钥的某一个部分作为 Sign 的密钥,进行 Sign 校验方式组织进行传输。当然在此基础上,也可以进行另外的改造。
前后端分离的限管理
04-23
前后端分离的限管理是指在前后端分离的架构下,用户的限进行管理和控制。在这种架构下,前端负责示和交互,后端负责数据处理和业务逻辑。限管理的目的是确保用户只能访问其具有限的资源,并限制其对系统的操作。 在前后端分离的限管理中,通常会采用以下几种方式来实现: 1. 身份认证:用户在登录时提供身份信息,后端通过验证身份信息来确认用户的身份。常见的身份认证方式包括基于Token的认证、基于Session的认证等。 2. 限验证:一旦用户身份被认证,后端会根据用户的角色和限信息来验证用户是否有访问某个资源或执行某个操作。通常会使用角色-限模型或者访问控制列表(ACL)来管理和控制限。 3. 接口保护:前后端分离的架构中,前端通过调用后端提供的API来获取数据和执行操作。为了保护接口不被未授的用户访问,可以在后端对接口进行,只有具有相应限的用户才能成功调用接口。 4. 前端路由控制:前端路由控制是指根据用户的限动态生成前端路由,只有具有相应限的用户才能访问对应的页面或功能模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值