讲真,别再使用JWT了
登录工程:传统 Web 应用中的身份验证技术
登录工程:现代 Web 应用的典型身份验证需求
- 双因子鉴权
- 单点登录
- 与用户系统的集成,与业务系统的分离
邮箱可以作为一种登录方式,还可以被作为联系方式。当我们在系统中修改了语言,在其子系统中语言会随着改变。
- 开放第三方 API,迎接更多的用户
Basic Authentication
在 http header 中增加参数
将在客户端弹出了一个处于 pending 状态的输入窗口,输入后会进行简单的 Base64 转码传输。
Session-Cookie
Session
因为 http 是无状态的, session 存在于后端,session 生成的 sessionId 作为用户的唯一标识,由服务器端控制。
Cookie
本质是 Http header 的一个字段,内容是键值对
在 Session-Cookie 鉴权中,用户每一次请求中都会附带 session 生成的 sessionId ,session 存放在 cookie 中,所以只要谁拥有这个 cookie,谁就相当于用户,所以在此基础上很容易受到 XSS
XSS(跨站脚本攻击)
通过使用 JS 来截取 sessionId
CSRF(跨站请求伪造)
与 XSS 相似,这两种很容易被混淆。CSRF 是一种形式,XSS 是一种具体的实施。
如果你是 XSS,那你必然是 CSRF
但我 CSRF 直接通过 http 请求模拟用户,那就不算是 XSS
网友评论