碼上歡樂
相關內容    簡體    繁體

認證(Authentication)與授權(Authorization)

本文轉載自   查看原文   2020-02-08 22:55   838    [12]Architecture分布式系統架構

認證與授權

漫談認證與授權

Intro#

認證與授權一直以來都是很多人在討論的話題,之所以想這次談一談認證和授權,主要是因為最近看到許多文章都把認證和授權混為一談,把認證方式當作是授權方式。所以想寫篇文章談談我眼中的認證與授權

Authentication#

什么是認證?認證是一個嘗試解決我是誰的問題的過程。

以一個 HTTP 請求為例,認證就是 嘗試 從請求信息中獲取用戶信息的過程,

有一點需要特別注意:認證並不等於一定有用戶信息,有些文章直接把認證等同於有用戶信息,再次強調,認證就是認證,一定有用戶信息就相當於是要授權了,有用戶信息只能說明某種認證方式認證成功了,經過某種反射光hi認證之后,還是沒有用戶信息,只能說明這種認證方式認證失敗,認證失敗並不代表授權失敗。

認證的方式可以多種多樣,而且我們可以同時使用多種認證方式:比如說 Cookie 認證、JWT 認證 以及其他自定義 Token 認證,之所以稱之為認證方式,是因為他們只提供解決我是誰的解決方案,比如 Cookie 認證會嘗試從 HTTP 請求攜帶的 Cookie 信息中獲取用戶信息,而 JWT 則是從 Authorization 請求頭中的 Bearer Token 獲取用戶的信息,自定義的Token 也類似。

甚至我們可以做一些擴展,做一些不一樣的認證,比如說根據 Header/QueryString Authentication,我在我們的項目里就是這么做的,網關解析出用戶信息之后轉發給下游服務的請求會把用戶信息放在請求頭里,我們自定義了一個 HeaderAuthentication 從請求頭中獲取用戶的信息,我們下游服務就可以用 HeaderAuthentication 替換原來使用的 JWT 認證,這樣 JWT 只需要在網關處認證一次即可,下游服務不再需要驗證 token 的有效性以及解析這個 token。

之前提供了一個開源版本的 Header/QueryString Authentication 的實現,實現源碼:https://github.com/WeihanLi/AspNetCorePlayground/tree/master/WeihanLi.AspNetCore.Authentication

Authorization#

什么是授權?授權顧名思義就是授予權限,允許查看或進行某種操作。

授權是嘗試對用戶授予訪問或操作權限的過程

如果一個資源是允許匿名訪問的,那么無論認證成功與否,無論有沒有用戶信息,都是可以授權訪問的

如果一個資源是需要用戶有某個角色(Manager)才能訪問的,那么首先我們應該先通過認證獲取用戶的信息,再判斷用戶是否有這個角色,如果有這個角色則允許授權,否則都不應授權訪問。

  • 如果認證失敗就沒有用戶信息,沒有用戶信息,自然不可能具備 Manager 的角色,這時候就不應該授權訪問,如果用戶沒有認證成功,則需要用戶提供有效的認證信息(用戶可能沒有提供認證信息,也有可能是 token 過期等認證信息無效的錯誤),這時一般 Web 框架會返回 401 Unauthorized ,

  • 如果用戶認證成功了,但是沒有相應的角色 Manager,這種情況 Web 框架一般會返回 403 Forbidden

  • 如果用戶認證成功了,並且擁有 Manager 的角色,則說明用戶是有權限訪問資源的,這時應該授權用戶訪問。

一點嘮叨:

允許匿名訪問、需要用戶登錄才能訪問、需要某種角色才能訪問等這些都屬於授權,不屬於認證,就像允許匿名訪問,沒有用戶信息也可以訪問,但是並不影響認證的過程,用戶認證成功還是有用戶信息的。

Summary#

認證是一個嘗試解決我是誰的問題的過程。

授權是嘗試對用戶授予訪問或操作權限的過程

More#

最后安利一下,自己做的一個關於授權的項目 AccessControlHelper

AccessControlHelper 是一個基於策略的授權解決方案,最早是基於 asp.net mvc 做的,實現了可以控制對 Action 的訪問和頁面上某個元素的訪問(Conditional Server Render),后來.netcore2.0 發布之后也支持了 .netcore,.netcore 下的支持更多一點,支持 .net core 下的 TagHelper 和 Policy,現在的實現還有不太好,感興趣的可以上去看看,歡迎 issue/pr ...

Github: https://github.com/WeihanLi/AccessControlHelper

Reference#

作者: WeihanLi

出處:https://www.cnblogs.com/weihanli/p/talk-on-authentication-and-authorization.html

版權:本站使用「CC BY 4.0」創作共享協議,轉載請在文章明顯位置注明作者及出處。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 認證和授權(Authentication和Authorization) 認證 (authentication) 和授權 (authorization) 的區別 認證 (authentication) 和授權 (authorization) 的區別 mongodb的認證(authentication)與授權(authorization) .net中的認證(authentication)與授權(authorization) Web APi之認證(Authentication)及授權(Authorization)【一】(十二) .net core 認證 Authentication 授權 Authorization 補充篇 (1) Spring Security 實現用戶認證(Authentication)和用戶授權(Authorization) 驗證(Authentication)和授權(Authorization)(一): .netcore 認證和權限(Authentication 和 Authorization)
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM