身份认证
身份认证,又称 ”身份验证“,”鉴权“,是指通过一定的手段,完成对用户身份的确认,例如:
各大网站的手机验证码登录,邮箱密码登录,二维码登录
为什么需要身份认证
身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户
例如:你去找快递员取快递,你要怎么证明这份快递是你的
不同开发模式下的身份认证
对于服务端渲染和前后端分离这两种开发模式来说,分别有着不同的身份认证方案
服务端渲染 推荐使用 Session 认证机制
前后端分离推荐使用 JWT 认证机制
什么是 Cookie
Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一个值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成
不同域名下的 Cookie 各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的 Cookie 一同发送到服务器
Cookie 的几大特性
自动发送,域名独立,过期时限,4KB 限制
Cookie 在身份认证中的作用
客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的 Cookie,客户端会自动将 Cookie 保存在浏览器中。
随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的 Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份
Cookie 不具有安全性
由于 Cookie 是存储在浏览器中的,而且浏览器也提供了读写 Cookie 的 API,因此 Cookie 很容易被伪造,不具有安全性。因此不建议服务器将重要的隐私数据通过 Cookie 的形式发送给浏览器
注意:千万不要使用 Cookie 存储重要且隐私的数据! 比如用户的身份信息、密码等
Session 的工作原理
Session 认证的局限性
Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证
注意:
当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制
前端需要跨域请求后端接口的时候,不推荐使用 Session 身份认证机制,推荐使用 JWT 认证机制
什么是 JWT
JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案
JWT 的工作原理
用户的信息通过 Token 字符串的形式,保存在客户端浏览器中
服务器通过还原 Token 字符串的形式来认证用户的身份
