034.認證方式 | 基本認證 、Token認證、 AK/SK認證

認證方式

關於認證： 

http://www.javashuo.com/article/p-pmfqmxij-s.html

http://www.javashuo.com/article/p-uaetutdz-br.html

http://www.javashuo.com/article/p-sxdngdtd-gd.html

https://www.cnblogs.com/xiangkejin/archive/2018/05/08/9011119.html

 

 

基本認證

• 用戶輸入帳號、密碼提交給服務端認證

 

Token認證

• 用途：用戶輸入帳號、密碼經過基本認證後，服務端認頒發受權token（包含用戶ID等基本信息）用做認證令牌
• 原理：任何請求，都附帶token；服務端根據token判斷請求是否合法。
• 缺點：若是報文在中途被劫持，那麼token就泄露了，這時（token有效期內）黑客就能夠構造任意的請求了。

  

AK/SK的認證 

• 用途：通常用於後臺程序執行API調用時的服務端認證；AK標識用戶，SK做爲對稱加密通訊的祕鑰。？
• 原理：

　　客戶端：
　　　　構建http請求（包含 access key）；
　　　　使用請求內容和 使用secret access key計算的簽名(signature)；
　　　　發送請求到服務端。

　　服務端：
　　　　根據發送的access key 查找數據庫獲得對應的secret-key；
　　　　使用一樣的算法將請求內容和 secret-key一塊兒計算簽名（signature），和步驟2同樣；
　　　　對比用戶發送的簽名和服務端計算的簽名，二者相同則認證經過，不然失敗。

• 其餘使用場景：AK/SK認證經過後，服務端再生成token頒發給客戶端使用