问题: 判断一个用户是否已经授权登录
方法1: cookie
用户通过用户名和密码登录成功之后,服务端往客户端设置cookie islogon=1,
问题: 客户端可以随意伪造这些信息,不安全
方法2: session
用户通过用户名和密码登录成功之后,服务端为该用户生成一个sessionid,设置session["islogon"]=1,服务端服务端往客户端设置cookie sid=sessionid
下次客户端访问会带上cookie sid=sessionid,后端根据sid索引到登录状态判断是否已经登录成功
注:如果一些信息不能随便被篡改,泄漏或者数据量较大,则不适合存放到cookie里面
问题:
1 资源压力,因为后端存放session一般存放到内存里面,用户量大的情况,内存压力大
2 系统伸缩性,如果服务做负载均衡,多个服务器之间如何保证session一致性。(一般做法是把session存放到统一集群上去)
3 CORS,跨域资源访问问题
4 CSRF,存放到cookie存在这个问题,需要额外解决
方法3: jwt
流程上是这样的:
用户使用用户名密码来请求服务器
服务器进行验证用户的信息
服务器通过验证发送给用户一个token
客户端存储token,并在每次请求时附送上这个token值
服务端验证token值,并返回数据
这个token必须要在每次请求时传递给服务端,它应该保存在请求头里(也可以存放到cookie里面,这样存放需要解决CSRF问题), 另外,服务端要支持CORS(跨来源资源共享)策略,一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *
JWT长什么样?JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串。就像样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
JWT的构成, 第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).
如何应用,一般是在请求头里加入Authorization,并加上Bearer标注:
fetch('api/user/1', {
headers: {
'Authorization': 'Bearer ' + token
}
})
安全相关
- 不应该在jwt的payload部分存放敏感信息,因为该部分是客户端可解密的部分。
- 保护好secret私钥,该私钥非常重要。
- token泄漏,意味着身份可以被伪造,jwt不解决传输泄漏问题,如果可以,请使用https协议或者其它加密方式通讯
- 保证token的时效性,确保一段时间后token失效
- 如果jwt存放在cookie,需要做好csrf和XSS防御
- Cookies,当使用带有HttpOnly的cookie标志时,通过JavaScript是无法访问的,并且对XSS是免疫的。你还可以设置安全的cookie标志来保证cokie仅通过HTTPS发送
- Replay Attacks也要做额外的工作
注: JWT和OAuth2.0区别
JWT是一种认证协议 ,JWT提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。 令牌本身包含了一系列声明,应用程序可以根据这些声明限制用户对资源的访问。
OAuth2是一种授权框架 ,提供了一套详细的授权机制(指导)。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。