1、HTTP Basic认证

用户每次发送请求的时候,在请求头中携带能通过认证的身份信息;Authorization: <username>:<password>

1.1 交互过程

① 客户端发起请求,未携带身份信息的请求;

② 服务端返回401 Unauthorized状态,并在返回头中说明要用Basic方法进行认证:WWW-Authenticate:Basic;

③ 客户端发起请求,并在请求头中携带身份信息:Authorization:Basic password;

④ 服务端验证请求头中的身份信息,并相应地返回200或者403状态码;

⑤ 之后,客户端每次请求都在请求头中携带身份信息;

1.2 优缺点

优点:

简单,容易理解;

缺点:

不安全,认证身份用明文传输,需要配合https使用;

效率低,服务端处理请求的时候,每次都要验证身份信息:用户名、密码;

2、Session 认证

结合了session和cookie。服务端将本次会话信息以session对象的形式保存在服务端的内存、数据库或系统文件中,并将对应的session的对象ID值以cookie的形式返回给客户端。sessionID保存在客户端的cookie中。

是一种有状态的认证方法,服务端保存session对象,客户端以cookie形式保存sessionid。

2.1 交互过程

① 客户端在登录页面输入身份信息,如用户名、密码;

② 服务端验证身份信息,通过后生成一个session对象,保存到服务端,并将sessionid值以cookie的形式返回给客户端;

③ 客户端将接收到的sessionid保存到cookie中,并且之后的每次请求都在请求头中携带sessionid cookie;

④ 服务端从请求的cookie中获取sessionid,并查询其对应的session对象,从而获得身份信息;

⑤ 客户端退出本次会话后,客户端删除sessionid和cookie,服务端删除session对象;

⑥ 客户端重新登录,生成新的session对象和sessionid;

2.2 优缺点

优点:

较安全:客户端每次请求时无需发送身份信息,只需要发送sessionid;

较高效:服务端无需每次处理请求时验证身份信息,只需通过sessionid查询session对象;

缺点:

扩展性差:session对象保存在服务端,如果保存在多个服务器上,有一致性问题,如果保存在单个服务器上,无法适应用户增长;

基于cookie的sessionid不能跨域共享,同一用户的多个客户端不能共享sessionid;

基于cookie的sessionid容易被截获生成csrf攻击;

3、token认证

是一种无状态的认证方法,是SPA应用和APP经常使用的认证方法;

客户端首先将用户信息发送给服务端,服务端根据用户信息+私钥生成一个唯一的Token并返回给客户端。Token只保存在客户端,之后,客户端的每个请求头都携带token,而服务端只通过运算来验证用户;

HTTP身份认证的更多相关文章

  1. "用户增长"--快速身份认证实现用户增长的技术和产品方案

    "用户增长"--快速身份认证实现用户增长的技术和产品方案 1   引言 作为一个互联网产品,用户量的增长是一个非常重要的衡量指标. 这是一个集合了销售,市场,运营,技术的综合能力. ...

  2. 基于token的多平台身份认证架构设计

    基于token的多平台身份认证架构设计 1   概述 在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情. 随着移动互联网时代到来,客户端的类型越来越多, 逐渐出现了 一个服务器,N个客户端的格 ...

  3. .NET Web的身份认证

    百度一下”asp.net身份认证“,你会得到很多相关的资料,这些资料通常上来就会介绍诸如”Form认证“”Windows认证“等内容,而没有给出一个完整的流程.初学者对此往往一头雾水,我也曾经被坑过很 ...

  4. ABP源码分析四十二:ZERO的身份认证

    ABP Zero模块通过自定义实现Asp.Net Identity完成身份认证功能, 对Asp.Net Identity做了较大幅度的扩展.同时重写了ABP核心模块中的permission功能,以实现 ...

  5. RESTful Api 身份认证安全性设计

    REST是一种软件架构风格.RESTful Api 是基于 HTTP 协议的 Api,是无状态传输.它的核心是将所有的 Api 都理解为一个网络资源.将所有的客户端和服务器的状态转移(动作)封装到 H ...

  6. ASP.NET MVC 身份认证

    身份认证的好处就是, 如果这个页面没有登录, 刷新后会自动跳到登录页要求登录,保证了应用程序的安全.而Forms 身份认证是web下最常用的,如何配置呢?见下(基于mvc 4) 1.在webconfi ...

  7. C#进阶系列——WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

  8. 在ASP.NET Core中使用Angular2,以及与Angular2的Token base身份认证

    注:下载本文提到的完整代码示例请访问:How to authorization Angular 2 app with asp.net core web api 在ASP.NET Core中使用Angu ...

  9. 如何在ASP.NET Core中实现一个基础的身份认证

    注:本文提到的代码示例下载地址> How to achieve a basic authorization in ASP.NET Core 如何在ASP.NET Core中实现一个基础的身份认证 ...

  10. 在ASP.NET Core中实现一个Token base的身份认证

    注:本文提到的代码示例下载地址> How to achieve a bearer token authentication and authorization in ASP.NET Core 在 ...

随机推荐

  1. (0501) perl-正则表达式-匹配关键字task【知乎】

    (1)

  2. const char* str和const char str[]的区别

    首先,字符串常量是存储在flash中的.假设字符串常量在flash中的地址是0x8003fb8. 第一种方式,str等价于str的内存单元的地址,str的内存单元存储着字符串常量的地址 第二种方式,s ...

  3. 2023Hgame

    2023Hgame Shared Diary 源代码先放一下 const express = require('express'); const bodyParser = require('body- ...

  4. 调度器46—tick模式

    一.tick简介 tick就是一个周期性的中断,周期通过 CONFIG_HZ 进行配置,一般常取值为100Hz.250Hz.1000Hz.Tick 每秒窃取CPU 100 到 1000 次,导致Ica ...

  5. 力扣1143. 最长公共子序列(dp)

    给定两个字符串 text1 和 text2,返回这两个字符串的最长 公共子序列 的长度.如果不存在 公共子序列 ,返回 0 . 一个字符串的 子序列 是指这样一个新的字符串:它是由原字符串在不改变字符 ...

  6. ssl自动更新证书

    安装证书 yum install certbot 更新证书之前先开启80 443 端口 自动生成证书certbot certonly --standalone --agree-tos -n -d ww ...

  7. 华为交换机,改vlan的方法

    telnet 登录1.1.1.111, 如果登录再到其他交换机,需要在用户状态,telnet其他的ip.不能在系统用户状态下跳转登录. sys改为系统用户  状态符由尖括号,改为方括号 display ...

  8. PyTables 教程(二)多维表单元格和自动健全性检查,使用链接更方便地访问节点

    翻译自http://www.pytables.org/usersguide/tutorials.html 多维表单元格和自动健全性检查 现在是一个更真实的例子(即代码中有错误)的时候了.我们将创建两个 ...

  9. ubuntu 16.04 安装peach

    当前操作系统:ubuntu 16.04 使用 TUNA 的软件源镜像替换sources.list 备份原sources.list文件 sudo cp /etc/apt/sources.list /et ...

  10. git log 查看修改历史

    git log 后面可以跟文件名,表示查看对应文件的修改记录 git log --pretty=oneline --format="%h:%ad:%an:%s" -5 git lo ...