本文主要列舉在如今前后端分離、手機(jī)App大行其道的現(xiàn)狀下，用戶認(rèn)證、授權(quán)的幾種做法及對(duì)比。PS. 本文假設(shè)你已經(jīng)理解了各種認(rèn)證模式的具體細(xì)節(jié)。

OAuth2.0的幾種模式

OAuth2.0是一個(gè)被廣泛采用的事實(shí)標(biāo)準(zhǔn)，它同時(shí)包含認(rèn)證和授權(quán)兩種模式，我們來(lái)看一下它有幾種模式：

名詞定義：

• User: 自然人。

• Client: 索要Authorization Code和Access Token的程序。

Client owner:

• First-party: 第一方client，即client開(kāi)發(fā)者/廠商和Resource Server是同一個(gè)人/廠商。

• Third-party: 第三方client，即client開(kāi)發(fā)者/廠商和Resource Server不是同一個(gè)人/廠商。OAuth 2.0主要解決的是第三方client的授權(quán)問(wèn)題。

User context:

• Y: 代表被授權(quán)的資源是和當(dāng)前User相關(guān)的。

• N: 代表被授權(quán)的資源是和Client相關(guān)的。

Client type:

• Confidential: 這類Client和Authorization Server/Resource Server的通信是秘密進(jìn)行的。

• Public: 這類Client和Authorization Server/Resource Server的通信是公開(kāi)進(jìn)行的。

App type:

• web app: 這類App的代碼在服務(wù)器上執(zhí)行，用戶通過(guò)User-Agent（瀏覽器）下載App渲染的html頁(yè)面，并與之交互。比如，傳統(tǒng)的MVC應(yīng)用。

• user-agent app: 這類App的代碼是直接下載到User-Agent（瀏覽器）里執(zhí)行的。比如，前后端分離App、SPA。

• native app: 這類App安裝在用戶的設(shè)備上，可以認(rèn)為這類App內(nèi)部存儲(chǔ)的credential信息是有可能被提取的。比如，手機(jī)App、桌面App。

pixabayhttps://www./sites/73237.html wallhavenhttps://www./sites/73236.html

僅做認(rèn)證的模式

詳細(xì)說(shuō)明以上三種模式：

Session模式: 就是我們傳統(tǒng)的Web app所使用的技術(shù)，用戶輸入賬號(hào)和密碼登錄系統(tǒng)，服務(wù)端返回一個(gè)名字叫做SESSIONID的Cookie，之后User-agent和服務(wù)端每次交互都會(huì)攜帶這個(gè)Cookie，通過(guò)這種方式來(lái)做到用戶登錄狀態(tài)的保持。

SSO模式: 其實(shí)是Session模式的變種，只不過(guò)把認(rèn)證從Session模式的本地認(rèn)證變成了利用SSO服務(wù)器做認(rèn)證。已知SSO類型有：CAS、SAML。

JWT模式: 它和Session模式的區(qū)別在于:

1. 用戶會(huì)話信息不通過(guò)Cookie攜帶，而是放在Header里，這個(gè)信息我們叫做Token。

2. Token里包含了加密的、不可篡改的當(dāng)前登錄用戶的信息，SESSIONID只是一個(gè)代號(hào)，是沒(méi)有這個(gè)信息的。

3. 服務(wù)端可以做到無(wú)狀態(tài)，因?yàn)橛脩粜畔⒃赥oken里已經(jīng)存在，再也不需要維護(hù)Session了。

JWT模式可以使用SSO嗎？答案是可以的，但是有條件，在SSO認(rèn)證流程的最后一步——獲取用戶信息——的通信必須是confidential的。

對(duì)于Web app來(lái)說(shuō)只要它接入了SSO，獲取用戶信息的通信本來(lái)就是confidential的，它獲得用戶信息之后構(gòu)造JWT并返回就可以了。

對(duì)于User-agent app和Native app來(lái)說(shuō)，需要為它做一個(gè)中介Web app，這個(gè)Web app和SSO通信，然后構(gòu)造JWT返回給User-agent app。