微信邦

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

返回列表 发新帖
查看: 2015|回复: 0

云调用,小程序鉴权正确姿势

[复制链接]
发表于 2019-4-11 20:52:11 | 显示全部楼层 |阅读模式
生活圈制作
目录:
一、无处不在的鉴权
   1. 现实生活中的身份鉴权方法
   2. 简单的密码鉴权体系
二、鉴权优化
   1. 频繁的鉴权场景下的优化方案
   2. 第三方鉴权体现下的设计——oAuth 2.0鉴权体系
三、说了这么多广而全的鉴权方式,我们看看小程序开发中的鉴权是如何实现的
   1. 小程序服务端接口的鉴权方式
   2. 简化版的 OAuth 2.0
   3. 鉴权是否可以优化
四、云调用免鉴权体系
五、未来鉴权畅想

互联网的应用,大大小小,不同场景,都离不开鉴权,从简单的可被用户感知的登陆鉴权,到技术侧不被感知的各种技术参数鉴权,都有着形形色色的鉴权方式和表现形式。
那么,什么是鉴权?
其实,从本质上来讲,鉴权就是要证明你就是你,你可以做哪些事情。

鉴权分为两部分,一部分是鉴别身份,一部分是确定权力。
而现代网络设计中,权力的分配一般都是预先分配好的,在鉴别身份之后,拿着身份信息,去权限中心确定权力范围。这样就完成了用户的鉴权过程。

一、无处不在的鉴权1.现实生活中的身份鉴权方法

云调用,小程序鉴权正确姿势

云调用,小程序鉴权正确姿势

身份证 是现代社会用于鉴别身份的一种方式。

说起身份证, 据相关史实考证,我国的身份证最早出现在战国时期,商鞅在秦国变法,发明了「照身帖」。照身帖由官府发放,是一块打磨光滑细密的竹板,上面刻着持有人的头像和籍贯信息。国人必须持有, 如若没有,就被认为是黑户或者间谍之类。这可能是身份证的雏形。

在隋唐时期,我国出现了最早的“身份证”,当时的朝廷发给官员一种类似身份证的“鱼符”,是用木头或者金属所作,形状像鱼,分左右两片,上有小孔,并可有官员姓名、任职衙门、官员品级等。那时,凡亲王、三品以上官员“鱼符”用黄金制作;五品以上用白银;六品以下为铜制。五品以上官员,还备有存放鱼符的专用袋子,称为“鱼袋”。

从秦朝到清朝的这个阶段,出现的这些身份标识,尽管形式多样,但总体来说,都是属于「身份证明」这一范畴。然而,这样的「身份证」在核验其身份的真实性方面,只能凭眼看,造假很容易蒙混过关,没有人能真正证明其真实性。这种核验身份方法是最初级最原始的方法,是现代身份证雏形的阶段。

而身份证这种鉴权方式犹如密码鉴权一样,属于一种 令牌鉴权方式。
令牌要么被私有不公开,要么很难伪造。


同样,在武侠小说中的令牌,也是如此。最近热播的「倚天屠龙记」中,明教的「圣火令」—— 见之如见教主。「圣火令」就是令牌的一种方式,是一种固定的密钥鉴权方式。

2.简单的密码鉴权体系

云调用,小程序鉴权正确姿势

云调用,小程序鉴权正确姿势
『我这有一把锁,我把钥匙发给你,你使用资源的时候过来开锁使用就好了。』可以形象的比喻现代互联网中使用的密码鉴权体系。资源管理者只信任密码凭证,无论谁持有了密码,都可以使用对应的权利资源。比如,不管谁持有圣火令,都可以使用明教教主的权利资源。
密钥鉴权体系的特点:
1.简单 2.密码成本,不公开或伪造有门槛

二、鉴权优化
1.频繁的鉴权场景下的优化方案
想象一种场景,持有圣火令的教主,每次施号发令,都要将圣火令从自己藏的密道中取出来才能发令。那么,如果自己心爱的人正在被屠杀,取个圣火令回来可能人就没了,所以,这里应该是有一个简单的方式来优化这一过程。
互联网密码鉴权体系中,常常在通过身份验证后,将通过认证的信息保持一段时间,同样,实际武侠江湖中,大家都是有记忆的,圣火令持有者亮出圣火令的一段时间后,看到的人就能记下他已经是圣火令的持有者了,下次发号施令,就不必取来圣火令了。

在web认证体系下,http协议是一种无状态的协议,用户通过输入密码后获得身份认证,这种状态是无法保持下来的,为了保持这种状态,客户端和服务端可以一起想办法把鉴权状态保留一段时间。比如,客户端可以记下用户的密码,下次只需要把密码自动带入到服务端即可。但这种方式是极为不安全的,客户端和传输端的可能泄漏密码。为了避免这种风险的发生,客户端和服务端通过其他的约定来保持这种状态,比如,通过一种临时密码来降低这种风险发生的危害,这种临时规则可以是session + cookie,也可以是token等等。

2.第三方鉴权体现下的设计——oAuth 2.0鉴权体系
密码鉴权体系一般都是发生在两方之间的鉴权方案。但是回归到武侠世界中,如果一个人拿了伪造的圣火令来发号施令,那岂不是对明教的危害很大?怎么解决这个问题?这就需要一个可以被信任的人,能够先甄别圣火令的真假,然后其他的人信任这个人,最终完成身份的验证。
所以这就引入了一个可信任的第三方代为鉴别令牌的,然后告知鉴别结果。比如,第三方登录场景下, 平台需要第三方平台代为身份验证后告知平台此人的身份是什么。这就是我们常见到的oAuth鉴权,现在被广泛应用再第三方登陆平台中,比如微信登陆、QQ登陆等等。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

微信邦网联系QQ|Archiver|手机版|小黑屋|鲁公网安备 37082802000167号|微信邦 ( 鲁ICP备13013993号-5

GMT+8, 2019-6-21 08:05 , Processed in 0.186746 second(s), 25 queries .

Powered by Discuz! X3.2

© 2001-2013 Wxuse Inc. | Style by ytl QQ:1400069288

快速回复 返回顶部 返回列表