五種常用的Web安全認證方式

本文轉載自查看原文 2020-10-20 12:18 2156 http請求

1. Http Basic Auth

這是一種最古老的安全認證方式，這種方式就是簡單的訪問API的時候，帶上訪問的username和password，由於信息會暴露出去，所以現在也越來越少用了，現在都用更加安全保密的認證方式，可能某些老的平台還在用。

如下圖所示，彈出一個框，讓你填寫用戶名密碼。這就是Tomcat自帶的HTTPBasic認證。

當用戶名密碼輸入錯誤后，會返回401 Unauthorized 表明認證失敗，無法訪問應用。

當認證成功后，你再看看詳細的request headers，會發現多了一個請求頭：

Authorization: Basic xxxXXXxxx

這就是你訪問應用的憑據了，那段xxxXXX字符串是我寫的表示這是一段密文，這是一段什么密文呢，就是講用戶名和密碼進行一個Base64加密后得到的密文。所以你現在是不是也有同感了---這tm也太容易盜取了，所以現在新的應用幾乎不怎么用這種方式了，雖然簡單，但是安全級別太低了。

2. OAuth2

本人之前的博客介紹過OAuth2 以及使用Azure AD實現OAuth2認證方式，在這里呢，還是把那篇博客部分內容摳出來，方便大家總結查看。

https://blog.csdn.net/aHardDreamer/article/details/88650939

OAuth 即：Open Authrization(開放授權)，它是一個開放標准，允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密資源，而無需將用戶名和密碼提供給第三方。比如我們熟知的通過qq/微信/微博等登錄第三方平台。OAuth 1.0版本發布后有許多安全漏洞，所以在OAuth2.0里面完全廢止了OAuth1.0，它關注客戶端開發者的簡易性，要么通過組織在資源擁有者和HTTP服務商之間的被批准的交互動作代表用戶，要么允許第三方應用代表用戶獲得訪問的權限。讀起來有點繞口，其實原理也非常簡單，請看下面講解。

一、首先我們要了解在OAuth2 認證和授權的過程中有這三個角色：

1. 服務提供方：顧名思義，提供受保護的服務和資源的，用戶在這里面存了很多東西。

2. 用戶：存了東西（照片，資料等）在服務提供方的人。

3. 客戶端：服務調用方，它要訪問服務提供方的資源，需要在服務提供方進行注冊，不然服務提供方不鳥它呀。

二、OAuth2 認證和授權的過程：

1）用戶想操作存放在服務提供方的資源；

2）用戶登錄客戶端，客戶端向服務提供方請求一個臨時token;

3）服務提供方驗證客戶端的身份后，給它一個臨時token;

4）客戶端獲得臨時token之后，將用戶引導至服務提供方的授權頁面，並請求用戶授權。（在這個過程中會將臨時token和客戶端的回調鏈接/接口發送給服務提供方 ---很明顯服務提供方到時會回來call這個接口在用戶認證並授權之后）

5）用戶輸入用戶名密碼登錄，登錄成功之后，可以授權客戶端訪問服務提供方的資源；

6）授權成功后，服務提供方將用戶引導至客戶端的網頁（call第4步里面的回調鏈接/接口）；

7）客戶端根據臨時token從服務提供方那里獲取正式的access token；

8）服務提供方根據臨時token以及用戶的授權情況授予客戶端access token;

9）客戶端使用access token訪問用戶存放在服務提供方的受保護的資源。

三、拿access token的方法（Grant Type）有下面四種，每一種都有適用的應用場景：

1. Authorization Code （授權碼模式）

結合普通服務器端應用使用。

1）用戶訪問客戶端，后者將前者導向認證服務器，假設用戶給予授權，認證服務器將用戶導向客戶端事先指定的"重定向URI"（redirection URI），同時附上一個授權碼。

2)客戶端收到授權碼，附上早先的"重定向URI"，向認證服務器申請令牌：GET /oauth/token?response_type=code&client_id=test&redirect_uri=重定向頁面鏈接。請求成功返回code授權碼，一般有效時間是10分鍾。

3）認證服務器核對了授權碼和重定向URI，確認無誤后，向客戶端發送訪問令牌（access token）和更新令牌（refresh token）。POST /oauth/token?response_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA&redirect_uri=重定向頁面鏈接。請求成功返回access Token和refresh Token。

2. Implicit（簡化模式）

結合移動應用或 Web App 使用。

Access Token直接從授權服務器返回(只有前端渠道)

不支持refresh tokens

假定資源所有者和公開客戶應用在同一個設備上

最容易受安全攻擊

3. Resource Owner Password Credentials

適用於受信任客戶端應用，例如同個組織的內部或外部應用。

使用用戶名密碼登錄的應用，例如桌面App

使用用戶名/密碼作為授權方式從授權服務器上獲取access token

一般不支持refresh token

假定資源擁有者和公開客戶在相同設備上

4. Client Credentials

適用於客戶端調用主服務API型應用（比如百度API Store，不同項目之間的微服務互相調用）

只有后端渠道，使用客戶憑證獲取一個access token

因為客戶憑證可以使用對稱或者非對稱加密，該方式支持共享密碼或者證書

3. Cookie-Session Auth

Cookie-Session 認證機制在我們初學J2EE的時候接觸的比較多，就是為一次請求認證在服務端創建一個Session對象，同時在客戶端的瀏覽器端創建了一個Cookie對象；通過客戶端帶上來Cookie對象來與服務器端的session對象匹配來實現狀態管理的。默認的，當我們關閉瀏覽器的時候，cookie會被刪除。但可以通過修改cookie 的expire time使cookie在一定時間內有效；

但是這種基於cookie-session的認證使應用本身很難得到擴展，隨着不同客戶端用戶的增加，獨立的服務器已無法承載更多的用戶，而這時候基於session認證應用的問題就會暴露出來。

基於session認證所顯露的問題：

1）Session 增多會增加服務器開銷

每個用戶經過我們的應用認證之后，我們的應用都要在服務端做一次記錄，以方便用戶下次請求的鑒別，通常而言session都是保存在內存中，而隨着認證用戶的增多，服務端的開銷會明顯增大。

2）分布式或多服務器環境中適應性不好

用戶認證之后，服務端做認證記錄，如果認證的記錄被保存在內存中的話，這意味着用戶下次請求還必須要請求在這台服務器上,這樣才能拿到授權的資源，這樣在分布式的應用上，相應的限制了負載均衡器的能力。這也意味着限制了應用的擴展能力。不過，現在某些服務器可以通過設置粘性Session，來做到每台服務器之間的Session共享。

3）容易遭到CSRF攻擊

因為是基於cookie來進行用戶識別的, cookie如果被截獲，用戶就會很容易受到跨站請求偽造的攻擊

4. Token Auth

基於token的鑒權機制類似於http協議也是無狀態的，它不需要在服務端去保留用戶的認證信息或者會話信息。這就意味着基於token認證機制的應用不需要去考慮用戶在哪一台服務器登錄了，這就為應用的擴展提供了便利。

流程：

用戶使用用戶名密碼來請求服務器

服務器進行驗證用戶的信息

服務器通過驗證發送給用戶一個token

客戶端存儲token，並在每次請求時附送上這個token值

服務端驗證token值，並返回數據

這個token必須要在每次請求時傳遞給服務端，它應該保存在請求頭里，另外，服務端要支持CORS(跨來源資源共享)策略，一般我們在服務端這么做就可以了Access-Control-Allow-Origin。

5. JWT 認證機制（Json Web Token）

JWT作為一個開放的標准（RFC 7519），定義了一種簡潔的，自包含的方法用於通信雙方之間以Json對象的形式安全的傳遞信息。因為數字簽名的存在，這些信息是可信的，JWT可以使用HMAC算法或者是RSA的公私秘鑰對進行簽名。

簡潔性

可以通過URL，POST參數或者在HTTP header發送，因為數據量小，傳輸速度也很快

自包含性

負載中包含了所有用戶所需要的信息，避免了多次查詢數據庫

下列場景中使用JSON Web Token是很有用的：

Authorization (授權) : 這是使用JWT的最常見場景。一旦用戶登錄，后續每個請求都將包含JWT，允許用戶訪問該令牌允許的路由、服務和資源。單點登錄是現在廣泛使用的JWT的一個特性，因為它的開銷很小，並且可以輕松地跨域使用。

Information Exchange (信息交換) : 對於安全的在各方之間傳輸信息而言，JSON Web Tokens無疑是一種很好的方式。因為JWTs可以被簽名，例如，用公鑰/私鑰對，你可以確定發送人就是它們所說的那個人。另外，由於簽名是使用頭和有效負載計算的，您還可以驗證內容沒有被篡改。

JWT的結構：