关闭

多种认证、授权模型的比较

时间: 2018-08-23阅读: 1540标签: 前端

本文主要列举在如今前后端分离、手机App大行其道的现状下,用户认证、授权的几种做法及对比。PS. 本文假设你已经理解了各种认证模式的具体细节。


OAuth2.0的几种模式

OAuth2.0是一个被广泛采用的事实标准,它同时包含认证和授权两种模式,我们来看一下它有几种模式:

Grant typeClient ownerUser context?Client typeApp type
Authorization CodeThird-partyYconfidentialWeb app
Authorization Code, without client secretThird-partyYpublicUser-agent app
Authorization Code, without client secret, with PKCEThird-partyYpublicNative app
OAuth2 Implicit(deprecated)Third-partyYpublicUser-agent app, Native app
PasswordFirst-partyYbothWeb app, User-agent app, Native app
Client CredentialsThird-partyNconfidentialWeb app

名词定义:

  • User: 自然人。
  • Client: 索要Authorization Code和Access Token的程序。

Client owner:

  • First-party: 第一方client,即client开发者/厂商和Resource Server是同一个人/厂商。
  • Third-party: 第三方client,即client开发者/厂商和Resource Server不是同一个人/厂商。OAuth 2.0主要解决的是第三方client的授权问题。

User context:

  • Y: 代表被授权的资源是和当前User相关的。
  • N: 代表被授权的资源是和Client相关的。

Client type:

  • Confidential: 这类Client和Authorization Server/Resource Server的通信是秘密进行的。
  • Public: 这类Client和Authorization Server/Resource Server的通信是公开进行的。

App type:

  • web app: 这类App的代码在服务器上执行,用户通过User-Agent(浏览器)下载App渲染的html页面,并与之交互。比如,传统的MVC应用。
  • user-agent app: 这类App的代码是直接下载到User-Agent(浏览器)里执行的。比如,前后端分离App、SPA。
  • native app: 这类App安装在用户的设备上,可以认为这类App内部存储的credential信息是有可能被提取的。比如,手机App、桌面App。


仅做认证的模式

ModeClient belongUser ContextApp type
SessionFirst-partyYWeb app
SSOFirst-partyYWeb app
JWTFirst-partyYWeb app, User-agent app, Native app

详细说明以上三种模式:

Session模式: 就是我们传统的Web app所使用的技术,用户输入账号和密码登录系统,服务端返回一个名字叫做SESSIONID的Cookie,之后User-agent和服务端每次交互都会携带这个Cookie,通过这种方式来做到用户登录状态的保持。

SSO模式: 其实是Session模式的变种,只不过把认证从Session模式的本地认证变成了利用SSO服务器做认证。已知SSO类型有:CAS、SAML。

JWT模式: 它和Session模式的区别在于:

  1. 用户会话信息不通过Cookie携带,而是放在Header里,这个信息我们叫做Token。
  2. Token里包含了加密的、不可篡改的当前登录用户的信息,SESSIONID只是一个代号,是没有这个信息的。
  3. 服务端可以做到无状态,因为用户信息在Token里已经存在,再也不需要维护Session了。

JWT模式可以使用SSO吗?答案是可以的,但是有条件,在SSO认证流程的最后一步——获取用户信息——的通信必须是confidential的。

对于Web app来说只要它接入了SSO,获取用户信息的通信本来就是confidential的,它获得用户信息之后构造JWT并返回就可以了。

对于User-agent app和Native app来说,需要为它做一个中介Web app,这个Web app和SSO通信,然后构造JWT返回给User-agent app。


来源:https://chanjarster.github.io/
站长推荐

1.云服务推荐: 国内主流云服务商,各类云产品的最新活动,优惠券领取。地址:阿里云腾讯云华为云

2.广告联盟: 整理了目前主流的广告联盟平台,如果你有流量,可以作为参考选择适合你的平台点击进入

链接: http://www.fly63.com/article/detial/1030

关闭

前端迷茫怎么办?

从业这么多年,时不时就有前端同行咨询我关于职业发展的事情,其中比较常见的一个就是对前端的迷茫。具体表现为,团队没什么前端,就自己一个人,感觉上面的人也不太重视前端

JavaScript能运用到哪些方面

每一个想要学习前端的人对于前端中html+css+js都不会陌生,这些可以说是一个前端的标配,而在前端的世界里,没有什么是JavaScript实现不了的,那么js都能运用到哪些方面呢?

web前端的前景及工资

前端开发行业它不再是一个近两年新兴产业了,但我们有越来越多的人迁移到Web前端开发,在2010年之前,没有高度在这个位置估值仍然是开发者。虽然它有点被称为JS工程师,但是打电话给艺术家或剪画是不好的。

web前端开发有前途吗?到底怎么学?

近几年来,随着 HTML5、JS 的流行,前端这个职业火热了起来!不少人发出疑惑,前端以后还会更有前途吗?我只能告诉你:前端不灭。

为什么说转行应该首选Web前端职业?

现在找工作越来越难难,而且一年比一年就业压力大,为什么学习web前端却如此火爆呢?转行首选web前端呢?职业价值提升的技术人员,Web前端工程师可能是你一个不错的选择。

web前端程序员真的这么值钱吗?

对于互联网公司来说用户就是上帝,做好客户体验一切才有可能。所以互联网公司都会把钱砸向前端,Web前端程序员也越来越受到企业争相聘用。

一位工作10年的前端总结的10个忠告

最近在知乎看到这样一个问题:作为IT行业的过来人,你有什么话想对后辈说的?笔者作为一位工作10年的老前端,忍不住也答了一波,为前端的朋友们总结了10条“走心”建议,都是那些年我踩过的坑,希望能帮你少走一些弯路。

晋级高级前端的四大建议

要成功晋级高级前端开发,面试中的表现尤为重要。如何让面试官觉得你是一名合格的高级前端工程师,如何流利地回答面试官的问题?首先你要了解面试时他们关注哪几点:

关于前端数据&逻辑的思考

这里我是基于典型的MVC模型,那么为了将现有代码重构为理想的模型,我需要做以下几步:拆分组件,逻辑处理,抽象、聚合数据

纯JS实现前端动态分页码

思路分析:有3种情况。第一种情况,当前页面curPage < 4;第二种情况,当前页面curPage == 4;第三种情况,当前页面curPage>4。此外,还要考虑,当前页码 curPage < pageTotal(总页码)-2,才显示...

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!