用户认证和授权

Posted yangzhou33

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了用户认证和授权相关的知识,希望对你有一定的参考价值。

概述

因为做的项目涉及到用户认证和授权,所以好好总结了一下这块。

认证和授权

一般我们说的认证主要指的是用户登录认证;一般我们说的授权主要是第三方授权

用户登录认证主要有2种方法,一种是基于session-id的认证,另一种是基于token的认证。

第三方授权主要是Oauth2.0标准的授权,它主要包括授权码模式的授权和简单模式的授权。

基于session-id的认证

基于session-id的认证是比较传统的认证方式,它包含以下几个步骤

  1. 用户输入用户名和密码,发送给服务器。
  2. 服务器验证这个用户名和密码,如果成功就生成一个会话id(session-id),然后把这个会话id同时保存在服务器和浏览器的cookie里面。因为保存的地方是浏览器的cookie,所以这种认证方式也叫基于cookie的认证方式。
  3. 用户每次请求资源,都会把这个会话id发送给服务器,服务器端就在本地找这个会话id,如果能够找到,就返回用户请求的数据。
  4. 当用户退出登录时,会话同时在客户端和服务器端被销毁。

对于这种方式,我们前端的处理方式是:

  1. 发送用户名和密码给服务器,并接收服务器返回的会话id。
  2. 服务器会自动把会话id储存在浏览器的cookie里面,不需要我们前端处理。
  3. 由于在发送http请求的时候会自动带上cookie里面的数据,所以在发送其它http请求的时候不需要前端特殊处理。
  4. 用户登出的时候(注意是用户主动注销或者退出登录),前端需要请求一个登出接口,然后服务器会销毁储存在浏览器cookie中的会话id。

需要注意的是,上面所有的一切都由服务器来完成,前端只请求接口就行了。服务器能够自己把会话id写入到浏览器的cookie里面。

基于token的认证

基于token的认证主要是指json web token认证,即jwt认证。

它主要包含如下几个步骤

  1. 用户输入用户名和密码,发送给服务器。
  2. 服务器验证用户名和密码,成功则返回一个token(可以认为是一个很长的字符串)给浏览器。
  3. 后续每次请求,浏览器都会把token发送给服务器,服务器验证token是否有效,有效则返回用户请求的数据。
  4. 当用户退出登录时,浏览器端销毁这个token就行了。

需要注意的是,jwt认证有一个很重要的特点:服务器端没有储存token

为什么服务器端不需要储存token呢,我们来看一下token的生成过程。

jwt这个字符串是由三部分组成:header(头部),payload(主体信息),signature(签名)。

头部是给JWT的基本信息,然后通过加密(base64加密)得到的。通过解密可以得到原始信息。比如下面这段基本信息:类型是jwt,签名算法是HS256。

{
  "typ": "JWT",
  "alg": "HS256"
}

加密后的头部如下:

ewogICJ0eXAiOiAiSldUIiwKICAiYWxnIjogIkhTMjU2Igp9

主体信息是描述用户的信息,然后通过加密(base64加密)得到的。通过解密可以得到原始信息。比如下面这段主体信息。

{
    "iss": "Yang JWT",
    "iat": 1441593502,
    "exp": 1441594722,
    "aud": "www.example.com",
    "sub": "[email protected]",
    "from_user": "B",
    "target_user": "A"
}

加密后的主体信息如下:

ew0KICAgICJpc3MiOiAiWWFuZyBKV1QiLA0KICAgICJpYXQiOiAxNDQxNTkzNTAyLA0KICAgICJleHAiOiAxNDQxNTk0NzIyLA0KICAgICJhdWQiOiAid3d3LmV4YW1wbGUuY29tIiwNCiAgICAic3ViIjogInlhbmdAZXhhbXBsZS5jb20iLA0KICAgICJmcm9tX3VzZXIiOiAiQiIsDQogICAgInRhcmdldF91c2VyIjogIkEiDQp9

将上面加密后的2段字符串用点号连接在一起,如下所示:

ewogICJ0eXAiOiAiSldUIiwKICAiYWxnIjogIkhTMjU2Igp9.ew0KICAgICJpc3MiOiAiWWFuZyBKV1QiLA0KICAgICJpYXQiOiAxNDQxNTkzNTAyLA0KICAgICJleHAiOiAxNDQxNTk0NzIyLA0KICAgICJhdWQiOiAid3d3LmV4YW1wbGUuY29tIiwNCiAgICAic3ViIjogInlhbmdAZXhhbXBsZS5jb20iLA0KICAgICJmcm9tX3VzZXIiOiAiQiIsDQogICAgInRhcmdldF91c2VyIjogIkEiDQp9

再对上面的字符串进行HS256算法加密,加密的时候需要我们提供一个密钥(比如我们设置密钥为63161014009),加密后的内容就是签名:

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

最后再把签名通过点号拼在最后就得到了token:

ewogICJ0eXAiOiAiSldUIiwKICAiYWxnIjogIkhTMjU2Igp9.ew0KICAgICJpc3MiOiAiWWFuZyBKV1QiLA0KICAgICJpYXQiOiAxNDQxNTkzNTAyLA0KICAgICJleHAiOiAxNDQxNTk0NzIyLA0KICAgICJhdWQiOiAid3d3LmV4YW1wbGUuY29tIiwNCiAgICAic3ViIjogInlhbmdAZXhhbXBsZS5jb20iLA0KICAgICJmcm9tX3VzZXIiOiAiQiIsDQogICAgInRhcmdldF91c2VyIjogIkEiDQp9.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

上面的三个加密都是可逆的,其中头部和主体信息任何人都能用base64解密,签名需要密钥才能解密。黑客没有密钥是不能伪造签名的,所以也不能伪造token。然后,在服务器端只需要重新对token里的头部和主体信息用密钥加密一次,然后和签名对比,就能知道这个token合不合法了。所以根本就不需要把token存在本地。

由于服务器不需要把token存在本地,节省了查找token的时间,在用户登出的时候,服务器也不需要销毁token等额外处理。所以jwt减少了服务器的很多压力。

值得一提的是,上面只是说明了一种jwt的模式,过程中都可以根据实际情况对流程进行改造。比如有的业务把token放到http header里面发送给服务器,有的业务把token放到url参数里面发送给服务器。

虽然jwt相比session-id有很多优势,但是它不能解决jwt失效的问题,除非设置过期时间。也就是说,如果把token放在服务器中储存的话,能够解决这个问题:就是假如我储存token在redis里面,每次认证的时候比较这个token,这样就能做到,用户A用A的信息登录之后,用户B再用A的信息登录,那么用户A的登录就会失效,因为储存了新的token(用户B收到的token)。但是jwt实现不了这种情形。

所以说,jwt只适用于有效期极短的token!!!它并不能取代session-id!!!

混合认证

由于基于session-id的认证有如下缺点:

  1. 全部靠服务端完成,服务端拥有状态,压力会很大。
  2. 对于跨域请求,不会自动发送cookie。

基于jwt的认证又有如下缺点:

  1. 只能通过设置有效期来废除token,如果token的有效期设置太长,那么在这段时间内没有办法废除这个token。

所以对于一般的认证,现在通常用混合方法,具体如下:

  1. 用户输入用户名和密码,发送给服务器。
  2. 服务器验证用户名和密码,成功则返回一个token给浏览器,并且把这个token和用户名一起储存在服务器中。
  3. 后续每次请求,浏览器都会把token发送给服务器,服务器把收到的token和本地的对比,一致则返回用户请求的数据。
  4. 每次用户重新登录,服务器都会重新生成一个token,并清除以前的token,储存起来。
  5. 当用户退出登录时,浏览器端销毁这个token,服务器不作处理。

这种认证的优点是:

  1. 服务端只需要生成和储存token,压力会小很多,考虑到存取速度,可以用redis来储存token,这样读取和查找会很快。
  2. 服务端没有状态,也适合restful api。

授权码模式的授权

授权码模式是Oauth2.0中最精彩的授权模式。它的步骤如下:

比如说,用户需要在豆瓣上注册登录,希望用用户的qq的信息来注册,这个时候就需要取得第三方QQ的授权,并拿取QQ里面这个用户的信息。

  1. 用户访问豆瓣,豆瓣将用户导向QQ的认证服务器页面。
  2. 用户选择同意QQ的授权。
  3. QQ的认证服务器页面将用户导向豆瓣指定的“重定向URI”,并且附上一个授权码(code)。
  4. 豆瓣指定的“重定向URI”利用授权code,再加上储存在“重定向URI”里面的服务器id和密码,向QQ的认证服务器申请令牌(token)。
  5. QQ的认证服务器核对授权code,服务器id和密码,确认无误之后,向“重定向URI”发送令牌(token)。
  6. “重定向URI”利用令牌(token)向QQ的资源服务器申请用户信息,然后在豆瓣注册此用户。
  7. 用户在豆瓣的注册完成。(不需要用户填写任何用户信息)

有下面几点需要注意:

  1. 黑客即使获取了第二步中的授权码也没用,因为黑客没有服务器id和密码,所以黑客还是不能访问QQ的服务器中的用户信息。

  2. 服务器id和密码是什么?服务器id和密码是豆瓣的“重定向URI”向QQ的认证服务器注册的时候获得的id和密码,作为豆瓣的标识。在注册的时候,QQ的认证服务器也会储存这个“重定向URI”,所以不同的用户都会导向同一个“重定向URI”。

  3. 第4步中的请求必须用https请求,否则授权code,服务器id和密码有可能被黑客截获,认证服务器发送回的令牌也可能被截获。

  4. 为什么需要一个“重定向URI”?首先,豆瓣的服务器id和密码不能储存在其它页面,它只能储存在豆瓣的“重定向URI”里面,否则很可能被泄漏。其次,“重定向URI”和认证服务器的通信必须为https,一般的豆瓣页面与认证服务器的通信可能不是https。

  5. 在第6步中,“重定向URI”可能会把令牌(token)发回给豆瓣原页面,也可能制造一个豆瓣的token发回给原页面。

  6. Oauth2.0还有一个refresh_token。一般QQ的认证服务器发回的token的有效期很短,而refresh_token的有效期比较长,所以当token过期的时候,可以通过refresh_token向QQ的认证服务器申请token。

  7. 用户一共要进行3次uri跳转,一次是跳转到QQ的认证服务器。第二次是跳转到“重定向URI”。第三次跳转回以前的页面。其中第一次需要用户操作,点击是否同意QQ授权;第二次不需要用户操作,自动进行第三次跳转。

简单模式的授权

简单模式是不利用“重定向URI”,直接向认证服务器中申请token的模式。还是以豆瓣和QQ为例,它的步骤如下:

  1. 用户访问豆瓣,豆瓣将用户导向QQ的认证服务器页面。
  2. 用户选择同意QQ的授权。
  3. QQ的认证服务器页面将用户导向豆瓣指定的“重定向URI”,并且直接在URI的hash部分附带了令牌(token)。
  4. “重定向URI”利用令牌(token)向QQ的资源服务器申请用户信息,然后在豆瓣注册此用户。
  5. 用户在豆瓣的注册完成。(不需要用户填写任何用户信息)

有下面几点需要注意:

  1. 和授权码模式的授权的区别是,没有授权码,从而没有检测服务器id和密码。

  2. 黑客可以通过这2种方式进行攻击:1.黑客直接截取这个token。2.黑客伪造一个第三方网站,然后引导用户在伪造的第三方网站进行授权,最后就能理所当然的得到token了。授权码模式的授权可以防止第二种攻击,但是同样不能防止第一种攻击(可以利用https加强安全性)。

  3. 授权码模式的授权和简单模式的授权为了防止CSRF攻击,都会在跳转的URI上面加一个state参数来进行校验。

  4. 微信的静默授权和这个差不多,只是没有第二步,直接默认同意授权。

  5. URL跳转才会在safari浏览器下面留下白条,非URL的URI跳转不会。由于微信的非静默授权会跳转到一个用户确认是否进行授权的URL,所以非静默授权会留下白条,静默授权不会。(不是因为有code才留下白条的)

  6. 为什么要在hash部分附带令牌?因为浏览器处理hash参数的时候不会使页面重新加载。(虽然说新的history api能够解决这个问题。)

  7. 如果认证服务器不支持跨域,那么只能用简单模式的授权。因为授权码模式的授权会提交服务器id,密码和code到认证服务器,所以需要认证服务器支持跨域的post请求;但是简单模式的授权全部是URI跳转,所以不用担心跨域。

以上是关于用户认证和授权的主要内容,如果未能解决你的问题,请参考以下文章

第十一节:IdentityServer4授权码模式介绍和代码实操演练

Django REST框架--认证和权限

shiro认证和授权

OAuth 2.0 授权认证详解

Laravel 认证和授权

微服务的用户认证与授权杂谈