基於 Token 的身份驗證
傳統身份驗證的方法
HTTP 是一種沒有狀態的協議,也就是它並不知道是誰是訪問應用。這裏咱們把用戶當作是客戶端,客戶端使用用戶名還有密碼經過了身份驗證,不過下回這個客戶端再發送請求時候,還得再驗證一下。算法
解決的方法就是,當用戶請求登陸的時候,若是沒有問題,咱們在服務端生成一條記錄,這個記錄裏能夠說明一下登陸的用戶是誰,而後把這條記錄的 ID 號發送給客戶端,客戶端收到之後把這個 ID 號存儲在 Cookie 裏,下次這個用戶再向服務端發送請求的時候,能夠帶着這個 Cookie ,這樣服務端會驗證一個這個 Cookie 裏的信息,看看能不能在服務端這裏找到對應的記錄,若是能夠,說明用戶已經經過了身份驗證,就把用戶請求的數據返回給客戶端。數據庫
上面說的就是 Session,咱們須要在服務端存儲爲登陸的用戶生成的 Session ,這些 Session 可能會存儲在內存,磁盤,或者數據庫裏。咱們可能須要在服務端按期的去清理過時的 Session 。編碼
基於 Token 的身份驗證方法
使用基於 Token 的身份驗證方法,在服務端不須要存儲用戶的登陸記錄。大概的流程是這樣的:加密
- 客戶端使用用戶名跟密碼請求登陸
- 服務端收到請求,去驗證用戶名與密碼
- 驗證成功後,服務端會簽發一個 Token,再把這個 Token 發送給客戶端
- 客戶端收到 Token 之後能夠把它存儲起來,好比放在 Cookie 裏或者 Local Storage 裏
- 客戶端每次向服務端請求資源的時候須要帶着服務端簽發的 Token
- 服務端收到請求,而後去驗證客戶端請求裏面帶着的 Token,若是驗證成功,就向客戶端返回請求的數據
JWT
實施 Token 驗證的方法挺多的,還有一些標準方法,好比 JWT,讀做:jot ,表示:JSON Web Tokens 。JWT 標準的 Token 有三個部分:spa
- header
- payload
- signature
中間用點分隔開,而且都會使用 Base64 編碼,因此真正的 Token 看起來像這樣:.net
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
Header
header 部分主要是兩部份內容,一個是 Token 的類型,另外一個是使用的算法,好比下面類型就是 JWT,使用的算法是 HS256。code
{
"typ": "JWT",
"alg": "HS256"
}
上面的內容要用 Base64 的形式編碼一下,因此就變成這樣:內存
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload
Payload 裏面是 Token 的具體內容,這些內容裏面有一些是標準字段,你也能夠添加其它須要的內容。下面是標準字段:ci
- iss:Issuer,發行者
- sub:Subject,主題
- aud:Audience,觀衆
- exp:Expiration time,過時時間
- nbf:Not before
- iat:Issued at,發行時間
- jti:JWT ID
好比下面這個 Payload ,用到了 iss 發行人,還有 exp 過時時間。另外還有兩個自定義的字段,一個是 name ,還有一個是 admin 。資源
{
"iss": "ninghao.net",
"exp": "1438955445",
"name": "wanghao",
"admin": true
}
使用 Base64 編碼之後就變成了這個樣子:
eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ
Signature
JWT 的最後一部分是 Signature ,這部份內容有三個部分,先是用 Base64 編碼的 header.payload ,再用加密算法加密一下,加密的時候要放進去一個 Secret ,這個至關因而一個密碼,這個密碼祕密地存儲在服務端。
- header
- payload
- secret
var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); HMACSHA256(encodedString, 'secret');
處理完成之後看起來像這樣:
SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
最後這個在服務端生成而且要發送給客戶端的 Token 看起來像這樣:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
客戶端收到這個 Token 之後把它存儲下來,下回向服務端發送請求的時候就帶着這個 Token 。服務端收到這個 Token ,而後進行驗證,經過之後就會返回給客戶端想要的資源。
- 1. WebApi_基於Token的身份驗證——JWT
- 2. 基於Token的身份驗證——JWT
- 3. node基於token的身份驗證
- 4. 基於 Token 的身份驗證
- 5. JavaWeb—基於Token的身份驗證
- 6. 基於 Token 的身份驗證方法
- 7. 基於JWT(JSON Web Token)的token身份驗證
- 8. 基於 Token 的身份驗證:JSON Web Token
- 9. 身份驗證cookies和Token
- 10. 基於表單的身份驗證(FBA)
- 更多相關文章...
- • XML 驗證 - XML 教程
- • DTD 驗證 - DTD 教程
- • ☆基於Java Instrument的Agent實現
- • 適用於PHP初學者的學習線路和建議
-
每一个你不满意的现在,都有一个你没有努力的曾经。