超级会员免费看
本文详细介绍了认证、授权以及凭证的概念,重点讨论了Cookie、Session、Token和JWT在身份验证中的作用和区别。Cookie和Session存储在客户端和服务器端,适用于简单的状态跟踪;Token,尤其是JWT,提供了一种无状态、安全且可扩展的身份验证方式,常用于API访问。文中还探讨了各种凭证的安全性、存储类型、有效期、存储大小和跨域问题,以及在分布式架构下的session共享方案。
文章目录
什么是认证(Authentication)
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)
互联网中的认证:
用户名密码登录
邮箱发送登录链接
手机号接收验证码
只要你能收到邮箱/验证码,就默认你是账号的主人
什么是授权(Authorization)
用户授予第三方应用访问该用户某些资源的权限
你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)
你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
实现授权的方式有:cookie、session、token、OAuth
什么是凭证(Credentials)
实现认证和授权的前提是需要一种媒介(证书) 来标记访问者的身份
在战国时期,商鞅变法,发明了照身帖
订阅专栏 解锁全文
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
