常见的鉴权方式
原创
1. 鉴权方式对比
有点 | 缺点 | |
|---|---|---|
Session/Cookie | 较易扩展;简单 | 安全性低;性能低,服务端存储;多服务器同步session困难;跨平台困难 |
JWT | 易扩展;支持移动端设备;跨应用调用;安全;承载信息丰富 | 刷新与过期处理;Payload不易过大;中间人攻击 |
Oauth | 开放;安全;简单;权限指定 | 需要增加授权服务器;增加网络请求 |
2. JWT
JWT全称JSON Web Token, 一个JWT由三部分构成: Header, Payload, Signature。
- 防CSRF(主要是伪造请求,带上Cookie)
- 适合移动应用
- 无状态,编码数据
3. API安全设计
- 通信信道加密:使用https
- 通信数据加密:秘文+加密关键数据
- 通信安全策略: 授权中间层、尝试次数、过期策略...
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
作者已关闭评论
推荐阅读
目录
腾讯云开发者
