网站常见的鉴权认证方式有哪几种？

一、什么是鉴权

鉴权（authentication）是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是，每个获得密码的用户都已经被授权。在建立用户时，就为此用户分配一个密码，用户的密码可以由管理员指定，也可以由用户自行申请。这种方式的弱点十分明显：一旦密码被偷或用户遗失密码，情况就会十分麻烦，需要管理员对用户密码进行重新修改，而修改密码之前还要人工验证用户的合法身份。
为了克服这种鉴权方式的缺点，需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。

二、网站常见的鉴权认证方式

• Session机制
• JWT机制
• Auth2机制

2.1Session认证的原理

解析：第一次登陆网站的时候，需要填写用户名和密码，之后push到服务器上，因为是第一次注册，服务器先去查看一下用户名是否被人用过，如果已经被人使用，需要重新注册一个用户名，若没有，则可以进行创建。创建有两种方法：第一种是把用户名和密码直接保存在数据库中，这种方法对于服务器来说，有风险，一旦数据库密码被攻破了，数据就会被泄露。第二种方法：数据库不存储明文密码，只存储用户名之后生成一个随机数，之后输入的密码和随机数通过SHA256（单向散列函数）进行处理，把密码加随机数生成一个字符串，把这个字符串（secret）和随机数（salt）和用户名（username）存储起来。当用户进行登录的时候，首先数据库进行查找，有无这个用户名，如果有的话，就会进行一个计算，用密码和随机数通过SHA256进行处理，得到一个随机字符串，把这个字符串和之前的进行比较，如果是一样的，则表示密码正确。之后再服务器创建一个对象（session），存到内存（小数据）中或者数据库中，服务器发送响应给浏览器，响应报文中有一个Set-Cookie:s_id=1b3ra9字段，浏览器发现这个字段就把他放到cookie中，下一次用户再一次请求的时候，请求会自动带cookie字段，服务器收到带cookie请求，则先进行比较，找到相同的s_id，之后发送更多的信息返回给浏览器。

2.2JWT（全称：JSON Web Token）认证的原理

解析：假设已经注册好，服务器只要生成token就可以了，之后把token返回给客户端。token = str1+'.'+str2+'.'+str3。浏览器需要手动的把token存储起来，可以存在cookie里，下一次发送请求的时候只需要/user?jwt_token=xxx就可以了。服务器收到请求后，要对token进行验证。（图片上步骤8）base64加密解密方法。

• 再一次发送请求的方法：
  • /user?jwt_token=xxx；
  • 或者把token放到请求头（Authorization）里面。
• 优点：
  • 任何地方都可以使用，使用范围广泛。（只需要把Token在客户端保存起来）
  • 服务器额存储压力小，session是需要进行存储的，但是Token不需要。
• 缺点：
  • 增加了计算压力，每个请求到达，都要进行计算。
  • cookie的续期比较麻烦。
  • 点击了发送请求后，立即点击注销，但是cookie还是存在。

2.3Auth2认证的流程

• 使用场景
  • 网站会有一个登陆，（比如QQ登陆），第三方账号登陆，没有注册，登陆后会回到当前网站。
• 流程
  网站找认证服务器要用户的数据。网站必须拿到用户允许服务器给数据的凭证，否则服务器不会随意给数据。用户向服务器奥认证，服务器询问是否确定给凭证，用户回复确定才会给凭证。
  • （9）步骤：一定要有凭据、自己的名片、自己的密钥。

2.4和JWT相比Session机制有哪些缺点

• 如果摆脱浏览器，没有cookie，不能用在任何场景。（小程序、终端、app）
• 如果把session放在内存中，则会导致占用大量内存。
• 当采用分布式的时候，如果把数据存储在数据库中，则进行处理会比较麻烦。
• 如果存在XSS漏洞，cookie容易泄露。

2.5Session机制如何能尽量保证安全

• 对保存到cookie里面的敏感信息必须加密
• 设置HttpOnly为true（针对http）
  • 该属性值的作用就是防止Cookie值被页面脚本读取。
  • 但是设置HttpOnly属性，HttpOnly属性只是增加了攻击者的难度，Cookie盗窃的威胁并没有彻底消除，因为cookie还是有可能传递的过程中被监听捕获后信息泄漏。
• 设置Secure为true（针对HTTPS）
  • 给Cookie设置该属性时，只有在https协议下访问的时候，浏览器才会发送该Cookie。
  • 把cookie设置为secure，只保证cookie与WEB服务器之间的数据传输过程加密，而保存在本地的cookie文件并不加密。如果想让本地cookie也加密，得自己加密数据。
• 给Cookie设置有效期
  • 如果不设置有效期，万一用户获取到用户的Cookie后，就可以一直使用用户身份登录。
  • 在设置Cookie认证的时候，需要加入两个时间，一个是“即使一直在活动，也要失效”的时间，一个是“长时间不活动的失效时间”，并在Web应用中，首先判断两个时间是否已超时，再执行其他操作。
• 一定不要在cookie中存储重要和敏感的数据
  JavaScript中cookie那些事
  cookie数据并非存储在一个安全的环境中，其中包含的任何数据都可以被其他人访问到，所以不要在cookie中存储如银行卡或个人地址之类的数据。

转自：https://www.jianshu.com/p/f2a08107599a