【工程构建】权限认证机制

简介: 【1月更文挑战第13天】【工程构建】权限认证机制

HTTP Basic Auth

HTTP Basic Auth 是一种简单的登录认证方式,Web浏览器或其他客户端程序在请求时提供用户名和密码,通常用户名和密码会通过HTTP头传递。简单点说就是每次请求时都提供用户的username和password

这种方式是先把用户名、冒号、密码拼接起来,并将得出的结果字符串用Base64算法编码。

例如,提供的用户名是 bill 、口令是 123456 ,则拼接后的结果就是 bill:123456 ,然后再将其用Base64编码,得到 YmlsbDoxMjM0NTY= 。最终将Base64编码的字符串发送出去,由接收者解码得到一个由冒号分隔的用户名和口令的字符串。

优点:

基本上所有流行的网页浏览器都支持基本认证。

缺点:

由于用户名和密码都是Base64编码的,而Base64编码是可逆的,所以用户名和密码可以认为是明文。所以只有在客户端和服务器主机之间的连接是安全可信的前提下才可以使用。

Cookie-Session Auth

Cookie-session 认证机制是通过浏览器带上来Cookie对象来与服务器端的session对象匹配来实现状态管理。

第一次请求认证在服务端创建一个Session对象,同时在用户的浏览器端创建了一个Cookie对象;当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的expire time使cookie在一定时间内有效。

优点:

相对HTTP Basic Auth更加安全。

缺点:

这种基于cookie-session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来。

image.png

相关文章
|
7月前
|
前端开发 数据安全/隐私保护
若依框架---权限控制角色设计
若依框架---权限控制角色设计
1139 0
|
7月前
|
SQL XML Java
若依框架 --- 使用数据权限功能
若依框架 --- 使用数据权限功能
844 0
|
7月前
|
存储 安全 JavaScript
【分布式技术专题】「授权认证体系」深度解析OAuth2.0协议的原理和流程框架实现指南(授权流程和模式)
在传统的客户端-服务器身份验证模式中,客户端请求服务器上访问受限的资源(受保护的资源)时,需要使用资源所有者的凭据在服务器上进行身份验证。资源所有者为了给第三方应用提供受限资源的访问权限,需要与第三方共享它的凭据。这就导致一些问题和局限:
488 2
【分布式技术专题】「授权认证体系」深度解析OAuth2.0协议的原理和流程框架实现指南(授权流程和模式)
|
5月前
|
前端开发
codereview开发问题之无登录权限等校验的上传接口会带来问题如何解决
codereview开发问题之无登录权限等校验的上传接口会带来问题如何解决
|
6月前
|
项目管理 数据安全/隐私保护
项目管理工具权限设置:如何自定义与控制访问
项目管理工具指南关注自定义和用户权限控制。工具提供自定义字段、状态、标志及用户权限简档和角色功能,允许团队根据需求调整,确保安全性和访问相关性。权限简档是一组权限设置,定义用户对系统的访问权限,可分配给多个用户。通过定制角色和权限,项目经理能精细控制团队成员的访问范围。例如,不同角色如管理员、产品经理和测试人员有不同的权限设定。此外,工具还支持@提及角色、跨项目依赖和任务编号等功能,如Zoho Projects提供的4级权限设置,实现精细化管理。
59 4
|
6月前
|
JSON 监控 安全
构建安全的用户身份验证系统
【6月更文挑战第21天】 本文介绍了如何使用Flask和JWT构建安全的用户身份验证系统。JWT是一种流行的网络身份验证标准,由头部、载荷和签名三部分组成。在Flask中,通过安装`Flask`和`PyJWT`库,可以创建一个简单的身份验证系统,包括登录路由和受保护的资源路由。文章提供了示例代码,展示如何实现登录、验证JWT令牌、用户注册和令牌刷新。同时,强调了使用HTTPS、日志记录和安全性增强措施的重要性,以确保应用程序的安全性。文章结尾提醒开发者持续改进和评估安全性,遵循最佳实践。
39 0
|
7月前
|
JSON 算法 数据安全/隐私保护
【工程构建】权限认证 JWT
【1月更文挑战第13天】【工程构建】权限认证 JWT
|
7月前
|
安全 前端开发 API
【工程构建】OAuth 认证协议
【1月更文挑战第13天】【工程构建】OAuth 认证协议
|
JSON 监控 Unix
License二次验证机制:管理公共集群上的Sentieon授权资源
License二次验证机制:管理公共集群上的Sentieon授权资源
199 0
|
缓存 数据安全/隐私保护
【项目基础】SSO理论篇
SSO:单点登录(Single Sign On),简称为 SSO,在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统