由于http 协议是一种无状态的协议,服务器端并不知道客户端的那一头是谁在请求服务器。而且服务器上的资源不一定是对所有人开放,所以需要进行用户对登录鉴权。目前,我们在开发中主要使用过4 种鉴权方式。
这种授权方式是浏览器遵守http协议实现的基本授权方式。
优点 基本上所有流行的网页浏览器都支持基本认证。基本认证很少在可公开访问的互联网网站上使用,有时候会在小的私有系统中使用(如路由器网页管理接口)。后来的机制HTTP摘要认证是为替代基本认证而开发的,允许密钥以相对安全的方式在不安全的通道上传输。 程序员和系统管理员有时会在可信网络环境中使用基本认证,使用Telnet或其他明文网络协议工具手动地测试Web服务器。这是一个麻烦的过程,但是网络上传输的内容是人可读的,以便进行诊断。
缺点 虽然基本认证非常容易实现,但该方案创建在以下的假设的基础上,即:客户端和服务器主机之间的连接是安全可信的。特别是,如果没有使用SSL/TLS这样的传输层安全的协议,那么以明文传输的密钥和口令很容易被拦截。该方案也同样没有对服务器返回的信息提供保护。 现存的浏览器保存认证信息直到标签页或浏览器被关闭,或者用户清除历史记录。HTTP没有为服务器提供一种方法指示客户端丢弃这些被缓存的密钥。这意味着服务器端在用户不关闭浏览器的情况下,并没有一种有效的方法来让用户注销。
优缺点
session-cookie的缺点
(1)认证方式局限于在浏览器中使用, cookie 是浏览器端的机制,如果在app端就无法使用 cookie 。
(2)为了满足全局一致性,我们最好把 session 存储在 redis 中做持久化,而在分布式环境下,我们可能需要在每个服务器上都备份,占用了大量的存储空间。
(3)在不是 Https 协议下使用 cookie ,容易受到 CSRF 跨站点请求伪造攻击。
token 是一个令牌,当浏览器第一次访问服务端时会签发一张令牌,之后浏览器每次携带这张令牌访问服务端就会认证该令牌是否有效,只要服务端可以解密该令牌,就说明请求是合法的。一般 token 由用户信息、时间戳和由 hash 算法加密的签名构成。
优点 :
(1) token 认证不局限于 cookie ,这样就使得这种认证方式可以支持多种客户端,而不仅是浏览器。且不受同源策略的影响。
(2)不使用 cookie 就可以规避CSRF攻击。
(3) token 不需要存储, token 中已包含了用户信息,服务器端变成无状态,服务器端只需要根据定义的规则校验这个 token 是否合法就行。这也使得 token 的可扩展性更强。
缺点 :
(1)加密解密消耗使得 token 认证比 session-cookie 更消耗性能。
(2) token 比 sessionId 大,更占带宽。
由于app没有浏览器无法存储cookie,故出现了OAuth,且允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAuth是安全的。
联通一号双终端鉴权失败可参考如下方式处理:1、首先尝试多次插拔主卡,如无效,可以尝试重启手机;
2、检查客户手机是否为iPhone6以上,IoS版本为11.0(AW3)/12.0(AW4)以上,运营商版本为29.1以上;
3、将手表与手机解绑,再次进行匹配;
4、iWATCH是国行正品,非海外版本;
5、如以上都不行,可拨打号码归属地的联通客服寻求帮助。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)