发现只有在写博客的时候,才会认真地去学习。总结一下我在学习、写前后端项目中的一些有关身份验证的心得体会。

因为HTTP是无状态的,如何保证用户和用户之间的操作隔离开来,如何保证有些接口、页面只有某些用户才能访问。一般通过下面的方式实现:

1.cookie方案

原理

这种方式依赖没用禁用cookie浏览器环境。

step1:客户端请求登陆接口,服务端返回200状态码同时把cookie给客户端。

step2:客户端在需要身份验证的接口上带上cookie。

step3:服务端把cookie取出、解析后就可以知道身份了。

那session(会话)又是什么?session不是一个实体,而是基于cookie来维持会话状态的一种技术。有些敏感信息存储在客户端导致不安全,所以服务端在创建session的时候生成一个session_id通过cookie传给客户端。而服务端维持一个 session_id -> session 类似的哈希结构。

一般来说session是在内存中的,但是通常会把这个哈希结构用KV(键值对)数据库来存储,这样做的好处是方便管理,而且在分布式的环境下也可以。

服务端大致实现思路:

const http = require('http')
const server = http.createServer((req, res) => {
  if (req.url === '/login'){
    // 从数据库中验证账号密码正确(略)

    // 保存下面这个SESSION_ID(略)

    // 设置响应头
    res.writeHead(200, {
      'Content-Type': 'application/json',
      'Set-Cookie': 'SESSION_ID=abcdefg; HttpOnly;' 
    })
    // 返回响应
    res.write(JSON.stringify({
      code: 200,
      msg: 'OK'
    }))
    res.end()
    
  }
  // 匹配其他路由
  else {
    if (req.headers.cookie && isValid(req.headers.cookie)){
      // 解析cookie并验证,验证通过做一些事情
      // 验证失败则返回code 401
      res.write('OK')
      res.end()
    }
  }
})
server.listen(3000)

前端需要注意:使用fetch时默认不携带cookie,需要手动设置。在XMLHttpRequest中也是。

// Fetch
fetch({
  //cookie既可以同域发送,也可以跨域发送
  credentials: 'include'  
})

// XMLHttpRequest
xhr.withCredentials = true

安全

首先,没用绝对的安全。只能通过一些手段来提高安全性。

1.在set-cookie的时候使用HttpOnly。这样可以防止客户端通过JS来获取cookie,在一些XSS攻击中可能会导致cookie泄漏。

2.HTTPS。在传输过程中cookie不会以明文的方式传递,就算被第三方截取,也是加密过的。

3.服务端的session过期机制。

Token方案

在一些非浏览器环境下(当然浏览器环境也可以使用该方案),如微信小程序、APP中等前端如何和后端通信。其实原理和上面说的是一样的。

原理

step1:客户端请求登陆接口,服务端返回Token,且客户端手动将Token保存。

step2:客户端发起请求的时候将Token带上。

step3:服务端解析Token。

不同就在于需要手动去存储这个凭证。

安全

1.Token设置过期时间,增加刷新机制。

2.HTTPS。

再说下JWT

再说一下JWT(JSON Web Token),我过去对JWT的理解是错误的。
参考:请停止使用 JWT 认证。JWT适合用于一次性登陆的场景。
优点是服务端消耗更少的资源(不用去保存状态)。
至于很多文章说的安全,无法认同。难道服务端用SCRET KEY加密后就是安全的了吗?一般jwt保存在localStorage里面,泄漏了jwt同样会导致身份被盗用。可以通过在payload里面设置过期时间来避免泄漏后造成的风险。所以“更安全”我认为是不成立的。

标签: cookie, session, jwt

添加新评论