前后端鉴权二三事

热度：

编号：180525

分类：电影视频

加入：2025-06-02 14:21:19

点入：2025-06-02 14:21:32

备案：-

名称：-

SEO更新时间
2025-06-02T14:21:45

百度权重：

0
百度移动：

0
360 权重： 360权重

0
搜狗权重：

访问网站

http://canzha.cn

举报/报错

网站标签
该站未曾设置keywords

网站描述
该站未曾设置description

上一篇：首页|三构科技（武汉）有限公司

下一篇：畅玩空间官网 - 无限游戏世界

seo综合信息

SEO信息百度来访IP：- | 移动端来访IP：- | 出站链接：2 | 站内链接：3

IP网速： IP地址：47.100.118.62 [中国上海上海阿里云] | 网速：826毫秒

ALEXA排名世界排名：- | 预估IP：- | 预估PV：-

备案信息 - | 名称：- | 已创建：3年8个月4天

收录百度 360 搜狗谷歌

查询 0 0 0 0

电脑关键词手机关键词页面友好首页位置索引近期收录

0 0 电脑端优秀 - 0 0

协议类型HTTP/1.1 200 OK 页面类型text/html 服务器类型nginx 是否压缩是原网页大小21342 压缩后大小7780 压缩比63.55%

网站快照
前后端鉴权二三事前后端鉴权二三事引言前后端鉴权是一个很大的话题，不同组织的鉴权方式各不相同，甚至对同一协议的业务实现也可能相去甚远。本文尝试从认证与授权两个维度来描述标题中的鉴权，大部分篇幅还是偏认证。文章主要包含三部分内容：区分认证与授权、常见的认证及授权方式和企业应用中常见的单点登录（ S S O ）方案。 1 认证与授权首先，我们来简单看一下认证与授权，并理清楚两者之间的区别。认证（ A u t h e n t i c a t i o n ）认证涉及一方应用和一方用户，用于描述用户在该应用下的身份。认证可以简单理解为登录，以此确认你是一个合法的用户。比如说掘金必须要登录才能点赞、收藏。授权（ A u t h o r i s a t i o n ）授权涉及两方应用和一方用户，用于描述第三方应用有哪些操作权限。带入场景区分认证与授权我们分别举三个例子来说明三种情况让大家对认证和授权的关系有更好的理解：只认证不授权、即认证又授权、不认证只授权。（ 1 ）只认证不授权上面提到的使用掘金账号登录掘金就是只认证不授权的场景，此时掘金只知道你是哪个用户，但是不涉及到授权的操作。（ 2 ）即认证又授权同样是登录掘金，我们可以不使用在掘金注册的账号和密码登录，而选择第三方应用登录，比如说 g i t h u b 账号。此时会弹出 g i t h u b 的登录页面，如果你在此页面输入账号和密码进行登录，则相当于默认授权给掘金获取你的 g i t h u b 的头像和账号名。在这个过程中即完成了认证（合法用户）又完成了授权（你允许掘金从 g i t h u b 获取你的信息）。（ 3 ）不认证只授权以某外卖小程序为例，在你第一次进入外卖小程序的时候小程序会弹框请求获取你的个人信息，此时相当于上面提到的即认证又授权。你同意以后就相当于使用微信账号登录，但是此时外卖小程序获取到的你的信息不包括你的手机号。当你要下单点击提交的时候，小程序再次发起请求，要获取你微信绑定的手机号，此时发生的动作就是不认证只授权。 2 有哪些常用的认证和授权方式？一旦涉及认证，必须要考虑的一个问题就是状态管理。所谓的状态管理就是说我们在一个网站进行登录之后的一段时间里，不希望每次访问它都需要重新登录，所以应用开发者必须要考虑怎么样保持用户的登录状态以及决定何时失效。而这个过程需要前后端通力合作来完成。下面介绍几种常见的认证和授权方式。 S e s s i o n C o o k i e 认证（ 1 ）流程 S e s s i o n C o o k i e 的认证流程如下：用户先使用用户名和密码登录，登录完成后后端将用户信息存在 s e s s i o n 中，把 s e s s i o n I d 写到前端的 c o o k i e 中，后面每次操作带着 c o o k i e 去后端，只要后端判断 s e s s i o n I d 没问题且没过期就不需要再次登录。使用这种方式进行认证，开发者可能面临的主要问题如下： c o o k i e 安全性问题，攻击者可以通过 x s s 获取 c o o k i e 中的 s e s s i n I d ，使用 h t t p O n l y 在一定程度上提高安全性 c o o k i e 不能跨域传输 s e s s i o n 存储在服务器中，所以 s e s s i o n 过多会耗费较大服务器资源分布式下 s e s s i o n 共享问题 T o k e n 认证与上面的 S e s s i o n C o o k i e 机制不同的地方在于，基于 t o k e n 的用户认证是一种服务端无状态的认证方式，服务端可以不用存放 t o k e n 数据，但是服务器可以验证 t o k e n 的合法性和有效性。使用 t o k e n 进行认证的方式这里主要介绍两种： S A M L 和 J W T . S A M L 的流程如下：未登录的用户通过浏览器访问资源网站（ S e r v i c e P r o v i d e r ，简称 S P ） S P 发现用户未登录，将页面重定向至 I d P （ I d e n t i t y P r o v i d e r ） I d P 验证请求无误后，提供表单让用户进行登录用户登录成功后， I d P 生成并发送 S A M L t o k e n ( 一个很大的 X M L 对象 ) 给 S P S P 对 t o k e n 进行验证，解析获取用户信息，允许用户访问相关资源针对上面的流程补充两点信息：（ 1 ） S P 是如何验证 t o k e n 的合法性？比如是否有可能 t o k e n 在 I D P 到 S P 的过程中被人劫持并修改了内容？答案是：没有可能。因为 I D P 返回给 S P 的 t o k e n 使用 I D P 的私钥进行了签名，而通过私钥签名后的信息可以通过对应的公钥进行验证。（ 2 ） S P 如何判断 t o k e n 是否过期？ S A M L t o k e n 携带了 t o k e n 过期时间的信息。（ 3 ）生成的 S A M L t o k e n 是托管在 S P 还是前端？如果是托管在 S P ，那么又要引入 s e s s i o n 机制，如果托管在前端，那么前端需要存储并且每次传递 S A M L t o k e n ，但是 S A M L t o k e n 大小又比较大，耗费传输资源。答案是：都可以。放在前端的话需要前端通过单独的 a j a x 请求获取 t o k e n 并存储在 l o c a l S t o r a g e 或者其他的本地存储中。如果是托管在 S P ，那么就像上面说的，引入 s e s s i o n ，前端只掌握 s e s s i o n I d ，这样的话 t o k e n 机制其实就退化成了上面提到的 s e s s i o n c o o k i e 机制。 J W T （ J S O N W e b T o k e n ）关于 J W T 的文章有很多，这里不再赘述，相关信息可以参考阮一峰老师的入门文章： J S O N W e b T o k e n 入门教程（预计阅读时间： 2 m i n s ）简言之， J W T 就是一种在用户登录后生成 t o k e n 并把 t o k e n 放在前端，后端不需要维护用户的状态信息但是可以验证 t o k e n 有效性的认证及状态管理方式。文章里已经有的内容这里不过多探讨，想聊一聊的是在此基础之上延伸出的一个问题： J W T 用于签名和验证签名的 s e c r e t 对于所有人来说都是一样的吗？如果一样的则存在比较大的安全隐患，一旦泄露，所有 J W T 都可能会被解密。如果不一样，那么同样需要在服务器端维护每一个人对应的 s e c r e t 信息，这样的话和服务器端维护 s e s s i o n 信息又有什么区别呢？从 J W T 官方 I n t r o d u c t i o n 的介绍文档中看到这样一句话： T h e s i g n a t u r e i s u s e d t o v e r i f y t h e m e s s a g e w a s n t c h a n g e d a l o n g t h e w a y , a n d , i n t h e c a s e o f t o k e n s s i g n e d w i t h a p r i v a t e k e y , i t c a n a l s o v e r i f y t h a t t h e s e n d e r o f t h e J W T i s w h o i t s a y s i t i s . 也就是说， s e c r e t 可以用服务器私钥。如果这样的话，对于所有用户都是一样的。如果服务器私钥丢了，那所有的安全都无从谈起，所以 J W T 就是假设这个私钥不会丢。当然按我的理解，开发者也可以为每个用户设置一个单独的 s e c r e t ，这就必须要面临上面提到的复杂性问题了。 O A u t h 授权 O A u t h 的设计本意更倾向于授权而不是认证，所以这一小节的标题写的是授权，但是其实在授权的同时也已经完成了认证。本文偏向于认证， O A u t h 在这里不过多讨论，更多 O A u t h 内容可以参考这篇：理解 O A u t h 2 . 0 3 S S O 与 C A S 接下来我们探讨一个企业应一定绕不过的课题：单点登录。举例来说，华为云下有若干云服务。包含项目管理、代码托管、代码检查、流水线、编译构建、部署、自动化测试等众多微服务的 D e v C l o u d （软件开发云）正是其中之一，用户如果在使用任意一个服务没有登录的时候都可以去同一个地方进行登录认证，登录之后的一段时间内可以无需登录访问所有其他服务。在单点登录领域， C A S （ C e n t r a l A u t h e n t i c a t i o n S e r v i c e ，中文名是中央认证服务）是一个被高频使用的解决方案。因此，这里介绍一下利用 C A S 实现 S S O 。而 C A S 的具体实现又可以依赖很多种协议，比如 O p e n I D 、 O A u t h 、 S A M L 等，这里重点介绍一下 C A S 协议。 C A S 协议中的几个重要概念简单介绍一下 C A S 协议中的几个重要概念，一开始看概念可能很模糊，可以先过一遍，再结合下面的流程图来理解。 C A S S e r v e r ：用于认证的中心服务器 C A S C l i e n t s ：保护 C A S 应用，一旦有未认证的用户访问，重定向至 C A S S e r v e r 进行认证 T G T & T G C ：用户认证之后， C A S S e r v e r 回生成一个包含用户信息的 T G T ( T i c k e t G r a n t i n g T i c k e t ) 并向浏览器写一个 c o o k i e （ T G C ， T i c k e t G r a n t i n g C o o k i e ），有啥用后面流程会讲到 S T ：在 u r l 上作为参数传输的 t i c k e t ，受保护应用可以凭借这个 t i c k e t 去 C A S S e r v e r 确认用户的认证是否合法 C A S 协议核心流程 ① 用户通过浏览器访问受保护应用（以下简称 a p p _ 1 ）首页 ② a p p _ 1 侧的 C A S C l i e n t 通过检测 s e s s i o n 的方式察觉到到用户未进行过认证，将用户重定向（第一次重定向）到 C A S S e r v e r ， u r l 上携带的参数 s e r v i c e 包含了 a p p _ 1 的访问地址 ③ C A S S e r v e r 检测到用户浏览器没有 T G C ，提供表单让用户登录，用户登录成功后， C A S S e r v e r 生成包含用户信息的 T G T ，并写 T G C 到用户浏览器 T G C 跟 T G T 相关联，是用户浏览器直接向 C A S S e r v e r 获取 S T 的票据，如果 T G C 有效，用户就不需要完成表单信息填写的步骤直接实现登录 T G C 的过期策略是这样设置的，如果用户一直没有页面操作和后台接口请求，那么默认 2 小时过期，如果一直有操作，默认 8 小时过期，开发者可以在 c a s . p r o p e r t i e s 中对这两个过期时间进行修改，一般的应用中不会配置这么长的过期时间 # m o s t r e c e n t l y u s e d e x p i r a t i o n p o l i c y c a s . t i c k e t . t g t . t i m e o u t . m a x T i m e T o L i v e I n S e c o n d s = 7 2 0 0 # h a r d t i m e o u t p o l i c y c a s . t i c k e t . t g t . t i m e o u t . h a r d . m a x T i m e T o L i v e I n S e c o n d s = 2 8 0 0 0 复制代码 ④ C A S S e r v e r 把浏览器重定向（第二次重定向）回 a p p _ 1 首页，此时重定向的 u r l 携带了 S T ⑤ a p p _ 1 再次接收到用户浏览器的访问，把上一步 u r l 参数中的 S T 拿出来，凭着 S T 去 C A S S e r v e r 确认当前用户是否已经完成认证， C A S S e r v e r 给出肯定回复以后， a p p _ 1 拿掉 u r l 上的 S T 重定向（第三次重定向）浏览器至 a p p _ 1 首页 a p p _ 1 （ C A S C l i e n t ）凭借 S T 去向 C A S S e r v e r 确认当前用户认证状态的同时获取了包含用户信息在内的额外信息把这些额外信息写到 s e s s i o n 里并把 s e s s i o n I d 返回给前端，那么前端下一次访问的时候直接判断 s e s s i o n 是否有效就可以了 ⑥ 用户端浏览器去访问同一认证体系下的 a p p _ 2 首页 ⑦ 同第 ② 步， a p p _ 2 侧的 C A S C l i e n t 通过检测 s e s s i o n 的方式察觉到到用户未进行过认证，将用户重定向到 C A S S e r v e r ， u r l 上携带的参数 s e r v i c e 包含了 a p p _ 2 的访问地址 ⑧ C A S S e r v e r 检测到用户浏览器的 T G C ，找到对应的 T G T ，经验证是合法的，此处呼应了第 ③ 步的 T G C ⑨ 同第 ④ 步， C A S S e r v e r 把浏览器重定向回 a p p _ 2 首页，此时重定向的 u r l 携带了 S T ⑩ 同第 ⑤ 步， a p p _ 2 再次接收到用户浏览器的访问，把上一步 u r l 参数中的 S T 拿出来，凭着 S T 去 C A S S e r v e r 确认当前用户是否已经完成认证， C A S S e r v e r 给出肯定回复以后， a p p _ 2 拿掉 u r l 上的 S T 重定向浏览器至 a p p _ 2 首页关于 C A S 流程中的几个问题（ 1 ）如何避免 s e s s i o n I d 冲突？业务服务器（我们不妨把它看成跟前后文中提到的 C A S C l i e n t 是一个东西）通过在服务端写 s e s s i o n 并且把 s e s s i o n I d 传回给前端保存的方式，保证用户登录的一段时间内不需要再次登录。那么如何保证使用同一单点认证的各个子服务（下文以服务 a 和服务 b 来举例描述）的的 s e s s i o n I d 不冲突？当然这个问题的前提是服务 a 和服务 b 没有使用共享 s e s s i o n 的情况。如果服务 a 和服务 b 使用了共享 s e s s i o n ，那么他们的 s e s s i o n I d 肯定是一致的，即两者的 C A S C l i e n t 在上述流程 ② 中检测的 s e s s i o n 是一致的。此时如果用户已经在服务 a 登录，那么可以直接访问服务 b ，因为在第 ② 步的时候登录状态就已经验证通过。如果服务 a 和服务 b 没有使用共享 s e s s i o n ，那么用户在服务 a 登录之后，再去访问服务 b ，要走上面流程中的第 ⑧ 步才可以确认用户是登录过的，此时，用户仍然不需要登录就可以访问，但是验证流程相比于共享 s e s s i o n 要长很多，如果你去观察 n e t w o r k 中的所有请求，也会发现在这个过程中多了几个 3 0 2 。此处要讨论的问题恰恰是在这种情况下 a 和 b 如何避免 s e s s i o n I d 冲突。一旦发生冲突，就会导致用户在 a 和 b 之间切换的时候，双方的 C A S C l i e n t 需要不断地去 C A S S e r v e r 确认并刷新 s e s s i o n 。这一段的描述如果不太好理解，可以往上翻一翻再看一遍上面流程图中的【 F i r s t A c c e s s T o S e c o n d A p p l i c a t i o n 】部分。其实要避免冲突也很简单，即 a 和 b 各自在自己写入前端 c o o k i e 的 k e y 上加入服务名作为前缀，比如分别写成 a _ s e s s i o n I d 和 b _ s e s s i o n I d 。（ 2 ）假设 a 与 b 使用同样的单点登录认证 S e r v e r ，有没有可能出现 a 应用登录过期， b 应用没有过期的情况？接着上面的问题进行讨论， a 和 b 在不使用共享 s e s s i o n 的情况下，有没有可能出现这样一个情况： a 应用的认证状态过期了（ s e s s i o n 和 T G C 都无效）而 b 应用仍没有过期（ s e s s i o n 或 T G C 至少存在一个有效）？答案是：不会。在业务实现中， C A S C l i e n t 会定期和 C A S S e r v e r 进行通信，如果用户一直在操作，那么 C A S S e r v e r 就会相应延长 T G C 的过期时间，最终对于 a 和 b 来说， T G C 的过期时间一定是相同的。所以哪怕两边的 s e s s i o n 设置过期时长不一致，认证状态最多走到 C A S S e r v e r 处通过 T G C 的检测就能完成，而不会出现 a 需要登录， b 不需要登录的情况。总结本文首先探讨了认证与授权的区别，并列举了几种常见的认证与授权方式。然后重点介绍了一下使用 C A S 协议实现单点登录的流程与问题。最后，补充一点。华为云 D e v C l d o u d 的 C A S C l i e n t 正是参考标准的 C A S 协议实现，感兴趣的同学可以在这里注册一个账号，然后打开 F 1 2 使用账号登录观察所有的网络请求并分析一下 C A S 业务实现的完整流程。豫 I C P 备 2 0 2 2 0 0 2 8 5 1 号 1

站点概括
关于canzha.cn说明：
canzha.cn由网友主动性提交被蜘蛛1号整理收录的，蜘蛛1号仅提供canzha.cn的基础信息并免费向大众网友展示，canzha.cn的是IP地址：47.100.118.62 [中国上海上海阿里云]，canzha.cn的百度权重为0、百度手机权重为0、百度收录为0条、360收录为0条、搜狗收录为0条、谷歌收录为0条、百度来访流量大约在-之间、百度手机端来访流量大约在-之间、canzha.cn的备案号是-、备案人叫-、被百度收录的关键词有0个、手机端关键词有0个、该站点迄今为止已经创建3年8个月4天。

内容声明：
1、本站收录的内容来源于大数据收集，版权归原网站所有！
2、本站收录的内容若侵害到您的利益，请联系我们进行删除处理！
3、本站不接受违规信息，如您发现违规内容，请联系我们进行清除处理！
4、本文地址：http://zhizhu1h.kangle.im/dianyingdh/180525.html，复制请保留版权链接！

温馨小提示：在您的网站做上本站友情链接,访问一次即可自动收录并自动排在本站第一位！

SEO信息	百度来访IP：- \| 移动端来访IP：- \| 出站链接：2 \| 站内链接：3
IP网速：	IP地址：47.100.118.62 [中国上海上海阿里云] \| 网速：826毫秒
ALEXA排名	世界排名：- \| 预估IP：- \| 预估PV：-
备案信息	- \| 名称：- \| 已创建：3年8个月4天

电脑关键词	手机关键词	页面友好	首页位置	索引	近期收录
0	0	电脑端优秀	-	0	0

收录	百度	360	搜狗	谷歌
查询	0	0	0	0

更换肤色

前后端鉴权二三事