了解下常见的用户认证鉴权方式

常见的用户认证鉴权方式如下，可以简单了解下，方便我们和后台沟通。

• Cookie Session
• JWT，Token 认证
• OAuth2 认证
• SSO 单点登录
• 扫码认证

一、Cookie Session

1-1、大致流程

• 1、使用浏览器访问服务端页面；
• 2、服务端收到该客户端第一次请求后，会创建一个 session ，生产一个唯一 sessionId ；
• 3、同时在响应请求中设置 cookie ，属性名为jessionid；
• 4、客户端收到后会保存 jessionid ，再次请求时，会在 header 中设置，服务端可从请求头中获取；
• 5、服务端验证获取的 sessionId 是否存在，即可验证是否是同一用户；

Cookie 流程

1-2、问题

• 当浏览器禁用 cookie 后，基于 cookie 的 session 将不能正常工作，每次都将创建一个新的 session ，可通过url重写传递 sessionid。
• 当用户量太多的时候，比方微博这种，一个系统保存上亿的 seessionId， 这么多用了系统均衡，也是很容易出现单点失败的可能性，那个负责 session 的机器挂了就全惨了

二、JWT，Token 认证

2-1、Token的认证流程：

• 用户输入用户名和密码，发送给服务器。
• 服务器验证用户名和密码，正确的话就返回一个签名过的Token（Token 可以认为就是个长长的字符串），浏览器客户端拿到这个Token。
• 后续每次请求中，浏览器会把 Token 作为 HTTP Header 发送给服务器，服务器验证签名是否有效，如果有效那么认证就成功，可以返回客户端需要的数据。 特点： 这种方式的特点就是客户端的Token中自己保留有大量信息，服务器没有存储这些信息。

Token 认证流程

2-2、 JWT 概念：

JWT是 Json Web Token 缩写。它将用户信息加密到Token里，服务器不保存任何用户信息。服务器通过使用保存的密钥验证Token的正确性，只要正确即通过验证。

JWT包含三个部分： Header头部，Payload负载和Signature签名。由三部分生成Token，三部分之间用“.”号做分割

大致流程

• 在头部信息中声明加密算法和常量，然后把Header使用Json转化为字符串
• 在负载中声明用户信息，同时还有一些其他的内容，再次使用Json把在和部分进行转化，转化为字符串
• 使用在Header中声明的加密算法来进行加密，把第一部分字符串和第二部分的字符串结合和每个项目随机生成的Secret字符串进行加密，生成新的字符串，此字符串是独一无二的
• 解密的时候，只要客户端带着JWT来发起请求，服务端就直接使用Secret进行解密，解签证解出第一部分和第二部分，然后比对第二部分的信息和客户端穿过来的信息是否一致。如果一致验证成功，否则验证失败。

2-3、总结

JWT 适合做一次行验证，比方邮箱激活账号，Token 适合做 API 请求认证
我们移动端主要还是用的是 API 请求认证。

三、OAuth2 认证

OAuth（开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。

3-1、大致流程

• 先去第三方注册，获取类似 client_id，client_secret， redirect_uri 东东
• 用户在页面点击登录后，后端会拿着上面这三样东西，拼接一个地址，跳转到第三方
• 第三方校验 client_id，client_secret，redirect_uri
• 通过后，第三方回调 redirect_uri，在url后面带上 token
• 拿着 token 和client_secret，去第三方获取 acccessToken，
• 然后系统就可以拿着 acccessToken 去第三方获取用户信息，然后就可以关联了

OAuth2 认证流程

3-2、好处

我们的系统不需要一个维护用户登录的的数据库表，系统多起来了，就非常方便，大家都去一个地方获取用户信息，后面衍生的 网关的概念，是把用户的权限都管理起来了

四、SSO 单点登录

单点登录 英文全称是 Single Sign On，简称就是 SSO，解释就是说：在多个应用系统中，只需要登录一次，就可以访问其他相互信任的应用系统，是为了解决 内部系统 一次登录 到处使用，共享 session 的问题

4-1、大致流程

流程

4-2、不同域名下的 SSO

这个时候可以通过 Oauth2 的方式去获取这个 Cookie，存到a的域名下，同样拿着这个 cookie 去 common session 服务器获取用户信息

4-3、解决的点

• SSO 是解决 只需要登录一次，就可以访问其他相互信任的应用系统
• SSO 适合公司内部多系统

五、扫码认证

5-1、大致流程

• 网页端的二维码 本质是一个 url，比方是 https:/xxx?uuid=xxxxx, 这个uuid是生成的当前pc的唯一标示，
• 然后会定时请求后端的API，假设这个请求叫 A 请求，根据返回的状态来做下一步动作
• 当手机扫码后,会带上这个uuid和用户信息，发送一个请求给后端，后端拿到这个 uuid，就知道用户已经登录来，然后上面的 A 接口
• 就会返回一个已经登录的状态，同时返回用户信息，这样 二维码页面会跳转到用户列表页，整个扫码登录流程完成。

扫码认证流程图

以上是常见的用户认证鉴权方式，目前我们移动端常用的是 Token 的认证方式。