登录是证明「你是你」,授权是发一个「令牌」,持有者(不一定是本人)可以拥有部分权限。
授权
授权有两种方式,Cookie
和Authorization
。
Cookie
Cookie的Sessionid
可以记录用户的登录状态,经常被用来用作授权,不过真正用来授权的应该是Authorization
。
Authorization
Authorization有两种用法:
- Basic Token:本人
- Bearer Token:持票人
Basic Token通过在HTTP Header里面加上 Authorization: Basic <username:password(Base64)>
来验证用户身份。
Bearer Token不需要携带用户名密码,通过授权的方式获取token
,通过令牌token
来使用部分权限。
OAuth2.0
认证流程:
开发APP经常用到的第三方授权登录功能,分为两个部分:
- 授权:第三方(微信/QQ/Github)授权给应用使用部分功能(比如获取用户基本信息)。
- 登录:应用服务器获取到用户的基本信息后,帮用户进行注册或者登录。
获取access_token需要在服务端操作,使用HTTPS保证传输安全。
公众号:JairusTse的日常
(转载本站文章请注明作者和出处 JairusTse的技术博客)