身份认证
目录
Session和Cookie
cookie/session 是我们最初接触的认证。
他的步骤如下:
- 用户用浏览器提交用户名和密码给服务器
- 服务器鉴定此用户为合法用户,和身份后,在服务器建立一个文件,这个文件就是 session,文件名叫做会话 id,文件内容存放用户身份信息。然后给这个文件名返回给浏览器。
- 用户让浏览器带着服务器给返回的 session 文件名,服务器按文件名查找,确实存在此文件,并获取文件内容,并与用户交互。
access_token认证
微信的接口认证方式,正是此。
jwt认证
SSO单点登录
迷惑的地方
- 浏览器端禁用了 cookie 还能使用吗?
答:能,禁用了 header 头传递 cookie,还可以曲线救国,用地址栏传递 cookie。