星哥私有教程

解析Web开发中的几种认证方法及应用场景

# 解析Web开发中的几种认证方法及应用场景

在Web开发中,认证是保障系统安全性的重要一环。不同的应用场景对认证方式的要求也不同。下面我们来详细介绍几种常见的认证方式。

本文是看了B站博主“IT老齐”的一个视频,算是一个笔记,再者星哥再去整合一些知识。

image-20250122155323565

# 基本认证(Basic Auth)

image-20250122155419444

# Basic Auth

HTTP Basic Authentication(基本认证) 是一种简单的身份验证方法,广泛应用于一些对安全要求不高的场景,或者作为 Web 服务、API 之间通信的基本身份验证机制。

尽管存在安全隐患,但它因其实现简洁、配置简单,仍然在很多场景中得到了应用。

# 在Nginx中实现 Basic Authentication

# 1.生成 .htpasswd 文件

使用 htpasswd 工具生成用户名和密码的组合,并加密密码。

htpasswd -c /etc/nginx/.htpasswd user1
1

# 2.配置 Nginx

在 Nginx 配置文件(通常是 /etc/nginx/nginx.conf 或相应的虚拟主机配置文件)中,添加以下配置来启用 Basic Authentication:

server {
    listen 80;
    server_name example.com;

    location / {
        auth_basic "Restricted Access";  # 提示信息
        auth_basic_user_file /etc/nginx/.htpasswd;  # 指定密码文件路径

        # 其他配置
    }
}
1
2
3
4
5
6
7
8
9
10
11
12

# 3.重启 Nginx

保存配置文件后,重启 Nginx 以使配置生效:

sudo systemctl restart nginx
1

使用浏览器打开站点,输入用户名密码

image-20250122162928935

如果输入错误则会显示401

image-20250122163158120

# 令牌认证(Token Auth)

image-20250122155523019

# 什么是令牌认证

令牌认证是一种安全协议,通过使用加密令牌来验证用户的身份。与传统的用户名和密码相比,令牌认证提供了一个额外的安全层,可以更有效地保护用户的数据。

简单来说,令牌就像是一张通行证。 当你成功登录一个系统后,系统会给你颁发一个独特的令牌。这个令牌包含了你的身份信息,但它不是明文,而是经过加密的。在后续的请求中,你只需要携带这个令牌,系统就能识别你的身份,而不需要你每次都重新输入密码。

# 工作原理

  1. 用户登录: 用户输入用户名和密码进行登录。
  2. 服务器验证: 服务器验证用户的身份信息。
  3. 颁发令牌: 如果验证通过,服务器会生成一个令牌,并将其发送给客户端。
  4. 客户端存储: 客户端将令牌存储起来,通常存储在本地存储或cookie中。
  5. 后续请求: 客户端在后续的请求中将令牌包含在请求头中。
  6. 服务器验证令牌: 服务器验证令牌的有效性,如果验证通过,则允许用户访问资源。

# 常见应用场景

API接口认证: 保护API接口的安全,防止未授权访问。

单点登录: 用户只需登录一次,即可访问多个系统。

移动应用认证: 保护移动应用的数据安全。

# 令牌的类型

JWT(JSON Web Token): 一种常用的令牌格式,它是一个自包含的、安全的、基于JSON的令牌。

OAuth 2.0: 一种授权框架,它允许第三方应用代表用户访问用户的资源。

SAML(Security Assertion Markup Language): 一种基于XML的标准,用于在不同的安全域之间交换身份认证和授权数据。

# JWT(JSON Web Token)

JWT (JSON Web Token) 是一种开放标准(RFC 7519),用于在网络上安全地传输信息的简洁、自包含的方式。它通常被用于身份验证和授权机制。

形象地说,JWT就像是一张通行证。当用户登录成功后,服务器会签发给用户一张通行证(即JWT),这张通行证包含了用户的一些基本信息,比如用户ID、用户名、角色等。用户在后续的请求中,只需携带这张通行证,就可以证明自己的身份,而不需要每次都重新登录。

# JWT 的结构

一个 JWT 实际上是一个字符串,它由三部分组成,并用点(.)分隔:

头部(Header): 包含了 metadata,比如 token 的类型(JWT)和所使用的签名算法。

载荷(Payload): 包含了声明,例如,用户的 ID、用户名、以及过期时间等。

签名(Signature): 签名是对前两部分内容的签名,用于验证消息的完整性。

image-20250122164522423

# OAuth2 Auth

image-20250122155703171

# 什么是 OAuth 2.0

OAuth 2.0 是一种授权框架,允许第三方应用程序在用户授权的情况下,访问用户在其他服务提供商(如 Google、Facebook)上的受保护资源。简单来说,就是让第三方应用能够代表用户执行一些操作,而无需直接获取用户的密码。

举个例子: 当你使用微信登录一个网站时,这个网站就是第三方应用,它通过 OAuth 2.0 向微信申请授权,获取你的部分个人信息,从而让你不用重新注册就可以登录这个网站。

# 工作流程

  1. 用户授权: 用户在客户端上发起授权请求,客户端将用户重定向到授权服务器。
  2. 授权服务器验证: 授权服务器验证用户的身份。
  3. 用户同意: 用户同意授权客户端访问其资源。
  4. 授权服务器颁发授权码: 授权服务器颁发一个授权码给客户端。
  5. 客户端获取访问令牌: 客户端使用授权码向授权服务器请求访问令牌。
  6. 授权服务器颁发访问令牌: 授权服务器验证授权码后,颁发访问令牌给客户端。
  7. 客户端访问资源: 客户端使用访问令牌向资源服务器请求资源。
  8. 资源服务器验证: 资源服务器验证访问令牌的有效性,如果验证通过,则返回资源给客户端。

# API KEY 认证

image-20250122155824722

# 定义与原理

API Key就像一个专门用来开启某个“特定房间”的钥匙,这个“特定房间”就是API,一个允许两个不同应用程序交流的桥梁。它是一个唯一的字符串,用于标识和验证API的用户。

当客户端向API发送请求时,需要在请求头中包含API Key,以证明其有权访问该API。服务器端收到请求后,会验证请求头中的API Key是否与存储在服务器端的密钥副本匹配,如果匹配,则认为请求是合法的,否则请求将被拒绝。

# 实现步骤

API Key认证的实现通常遵循以下步骤:

  1. 生成API Key:服务提供者为用户生成一个唯一的API Key,这个Key需要保密,不应在网络上明文传输。
  2. 构建请求:客户端在发送请求时,需要在请求头或请求体中加入API Key。有时,为了增强安全性,还会结合其他信息(如请求的时间戳、请求路径等)生成一个签名,并将签名一同发送到服务器。
  3. 验证API Key:服务器收到请求后,会验证请求头中的API Key或签名的有效性。如果API Key匹配或签名验证通过,则认为请求是合法的,否则请求将被拒绝。

# 例子

比如星哥使用的图床就是某云的对象存储,在控制台中申请KeyID和KeySecret,并且赋予访问权限之后,再通过id和secret就可以访问对应的对象存储,就实现了上传图片等功能。

image-20250122170553299

# 四种认证方式的对比

token-yqd

# 应用场景

image-20250122160738402

# Basic Auth应用场景

  • 内部系统或测试环境,对安全性要求不高时的快速验证。
  • 简单的web服务或API,尤其是在受信任的网络环境中。
  • 内部管理系统登录,当组织有严格的安全网络和访问控制时。

# Token Auth应用场景

  • RESTfuI API,特别是那些需要高性能和无状态性的场景。
  • 移动应用和服务之间的通信,避免存储用户名和密码在客户端。
  • 单点登录(SSO)解决方案的一部分,简化跨系统访问。

# OAuth Auth 应用场景

  • 社交媒体和第三方登录,如“使用Facebook/Google登录”
  • 云服务和API的访问控制,如允许特定应用访问用户存储在云中的数据。
  • 物联网(IoT)设备访问控制,确保设备安全地与云平台交互。

# API KEY Auth 应用场景

  • 企业级API管理,尤其是面向合作伙伴或客户的API,便于跟踪和控制使用情况数据
  • 分析和聚合服务,客户通过API获取数据时认证。
  • 内容分发网络(CDN)和API网关,用于简单的访问控制和流量监控,
  • 第三方支付、调用天气API等

# Session + Cookie 认证模式

Session + Cookie 认证模式是一种传统的 Web 应用程序身份验证方式。它通过在服务器端创建 Session(会话)来跟踪用户的状态,并在客户端存储 Session ID(会话标识符)到 Cookie 中,从而实现用户身份的验证。

# 工作原理

  1. 用户登录: 用户输入用户名和密码,服务器验证通过后,为该用户创建一个唯一的 Session。
  2. 生成 Session ID: 服务器生成一个 Session ID,并将该 ID 与 Session 信息关联起来。
  3. 设置 Cookie: 服务器将 Session ID 设置为一个 Cookie,发送给客户端。
  4. 客户端存储 Cookie: 客户端的浏览器会将这个 Cookie 保存起来。
  5. 后续请求: 每次客户端向服务器发送请求时,浏览器都会自动将这个 Cookie 发送给服务器。
  6. 服务器验证 Session: 服务器根据 Cookie 中的 Session ID 找到对应的 Session,验证用户身份。

# 优点

session信息需要额外的数据库存储,例如一般需增加redis、memached等应用。在多机负载时,需要考虑session共享;

简单易懂: 实现相对简单,易于理解。

广泛支持: 大多数 Web 服务器和编程语言都支持 Session。

状态保持: 可以方便地存储用户的状态信息,如购物车、登录状态等。

# 缺点

session信息统一管理,可以在服务端统一控制认证的过期时间或个别用户的过期时间。

状态维护: 服务器需要维护大量的 Session,占用服务器资源。

跨域问题: 跨域请求时,Cookie 不能自动发送,需要额外的处理。

安全性问题: Cookie 存储在客户端,容易被篡改或窃取。

负载均衡: 在分布式系统中,Session 的共享和同步比较复杂。

# 结尾

在Web开发中,选择合适的认证方式对于保护用户隐私和资源安全至关重要。不同的认证方式具有不同的优缺点和适用场景。因此,在开发过程中,需要根据具体需求和场景来选择合适的认证方式,并采取相应的安全措施来确保认证过程的安全性和可靠性。