iOS网络之认证和授权(Authorization)

一什么是认证和授权

认证与授权是计算机安全的两个基础概念.
简单的说:

认证:解决你是谁的问题,就是系统对用户的合法身份进行验证.

授权:解决你能干什么的问题 ,就是对用户所能访问的资源进行控制.

1.1 用户认证

用户要访问系统中的资源,就需要认证用户,通常我们使用用户名和密码,系统验证了用户身份的合法性,用户才可以访问系统的资源.

用户认证流程

但是一般不同的用户能访问的资源权限不一样,比如VIP用户就有权访问更多的资源,这里就引出了用户授权.

1.2 用户授权

用户授权过程可以理解为:who对what进行how操作。

用户授权流程

二私有平台(自己公司APP的服务器)的认证方式

2.1 静态密码登录

1.App用户名密码登录,加密处理,发送给服务器.
2.服务器解密密码,然后进行认证,认证成功后,会返回一个token(令牌)和expireTime(记录了token的有效时长)
3.用户请求资源的时候,会把token发送给服务器,服务器会验证token是否失效,或者过期.

2.2 动态密码,身份验证

常见的忘记密码找密码,就是直接发送动态密码或者验证码到手机上.

三开放平台(第三方平台访问)的认证方式

常见的两种方式

3.1 Http Basic Authorization

例如

POST /goform/ser2netconfigAT HTTP/1.1
Host: 192.168.16.254
Connection: keep-alive
Authorization: Basic YWRtaW46YWRtaW4= // Authorization: "Basic 用户名和密码的base64加密字符串"
Content-Length: 23
uart=9600,8,n,1&save=1

http auth的过程:

如果有，则判断Authorization里面的内容是否在用户列表里面，Authorization header的典型数据为"Authorization: Basic jdhaHY0="，其中Basic表示基础认证， jdhaHY0=是base64编码的"user:passwd"字符串。如果没有，或者用户密码不对，则返回http code 401页面给客户端。
标准的http浏览器在收到401页面之后，应该弹出一个对话框让用户输入帐号密码；并在用户点确认的时候再次发出请求，这次请求里面将带上Authorization header
一次典型的访问场景是：
浏览器发送http请求（没有Authorization header）
服务器端返回401页面
浏览器弹出认证对话框
用户输入帐号密码，并点确认
浏览器再次发出http请求（带着Authorization header）
服务器端认证通过，并返回页面
浏览器显示页面
使用http auth的场景不会用cookie，也就是说每次都会送帐号密码信息过去。然后我们都知道base64编码基本上等于明文。这削弱了安全。
由于种种缺点，http auth现在用的并不多。不过在路由器等场合还是有应用的，原因是http auth最简单，使用起来几乎是零成本。
在你需要做访问控制，又不想拖上SSO、数据库之类的东西的时候，http auth不失为一个简洁的选项。

3.2 OAuth 2

这个是现在比较常用的方式
主要包括四个部分

RO（resource onwer）资源所有者，对资源有授权能力的人.
RS (resource sever) 资源服务器，实际存储资源的设备
Client 第三方应用，在RO授权后，就可以访问对应的资源
AS (authorization server) 授权服务器，对访问者进行身份认证，为RO提供授权审批流程，最终颁发Access Token给访问者。Access Token具有实效。

大概的流程是这样的
1.Client请求资源所有者要访问RO某些资源
2.RO返回给Client一些临时token，让Client通过AS进行授权
3.Client通过RO返回的东西，到AS进行授权
4.AS授权成功后给Client返回Acccess Token

5.第三方应用拿着Access Token访问服务器
6.服务器验证Access Token，如果没有被伪造，时间没有过期，则返回给Cilent对应的资源，或者执行相关的操作。

以新浪微博的OAuth 2为例
第三方应用要访问新浪微博为例

1.App向微博的RO提供APP KEY(应用唯一标示)和APP secret(应用秘钥)，这些可提前在微博上申请
2.微博RO验证App身份后，提供RO一个临时OAuth_token(授权token)
3.App携带临时OAuth_token到AS的授权链接上进行授权（本地的微博应用或者是webview）
4.用户输入用户名密码，并且同意授权，然后AS返回Access Token
5.App拿着Access Token就可以进行相关的Http操作，例如分享微博等。