登陸和第三方受權,TCP和IP詳解

登陸與受權的區別

• 登陸: 身份認證,即確認 [你是你] 的過程
• 受權: 由身份或持有的令牌確認享有某些權限(例如獲取用戶信息).而登陸過程實質目的也是爲了確認權限

所以,在實際應用過程當中,多數場景下的[登陸] 和 [受權] 界限是模糊的

---

Http 確認受權(或登陸)的兩種方式

1. 經過 Cookie
2. 經過 Authorization Header

---

Cookie

起源: [購物車] 功能的需求,由 Netscape 瀏覽器開發團隊打造

---

⼯做機制:

1. 服務器須要客戶端保存的內容,放在 Set-Cookie header裏面返回,客戶端會自動保存
2. 客戶端保存的Cookie,會在以後全部的請求裏面都攜帶進 Cookie header裏發回給服務器
3. 客戶端保存的Cookie,會在以後的請求裏都攜帶進Cookie裏header發回給服務器
4. 客戶端裏的Cookie超時會被刪除,沒有設置超時時間的Cookie(稱作Session Cookie)在瀏覽器關閉後,會自動刪除;另外服務器也能夠刪除還未過時的客戶端Cookie

---

Cookie的做用:

• 會話登陸

登陸狀態 ,購物車

---

• 個性化:

⽤戶偏好、主題

---

• Tracking

分析用戶的行爲

---

• XSS(Cross-site scripting): 跨站腳本攻擊.即便用JavaScript拿到瀏覽器Cookie以後,發送到本身的網站,以這種方式盜取y用戶Cookie.對應方式: Server 在發送 Cookie 時,敏感 Cookie 加上 HttpOnly

  • 對應方式: HttpOnly -- 這個 Cookie 只能用於 Http 請求,不能被JavaScript 調用.它能夠防止本地代碼濫用 Cookie

• XSRF (Cross-site request forgery): 跨站請求僞造.即在用戶不知情的狀況下訪問已經保存了了 Cookie 的網站,以此來越權操做用戶帳號(例如:盜取用戶資金).應對方式主要是從服務器安全角度考慮,就很少說了

  • 應對方式: Referer 校驗

  ---

Authorization

• Basic

格式: Authorization:Basicusername:password(Base64ed)

• Bearer