笔记——什么是鉴权

2023-10-27

前言

鉴权是自动化测试路上的拦路虎；故以此记录鉴权到底是怎么回事。

一、什么是鉴权，为什么要鉴权

鉴权：是指验证用户是否有访问系统的权利。
为什么要鉴权：对用户进行鉴权，防止非法用户占用网络资源，非法用户接入网络，被骗取关键信息

二、鉴权方式

HTTP Basic Authentication
OAuth（开发授权）
session + cookie
token

三、session + cookie

1.鉴权流程
** 在这里插入图片描述
**
2. 鉴权过程详解

a、用户注册的时候，客户端提交用户名和密码，服务端会存储用户名和密码，为了防止被脱库，密码存储一般会进行加密存储，不i如md5、rsa加密等待
b.、注册完成后，用户发起登录，客户端提交用户名和密码，服务端会对用户提交的数据进行校验（用户名就和密码是否正确），若正确服务端会根据用户信息（用户id，用户名，user_agent等）创建一个session，并存储在数据库中（一般是存储在redis中），保存好后，服务端会将这个session通过响应头的Set-cookie字段返回给客户端。
c.、客户端收到服务器的响应，浏览器会自动将响应头Set-cookie的内容添加到请求头的cookie中（代码实现要手动添加，如果使用其他创建session的方式自动添加），在请求其他接口时会始终携带这个请求头。
d.、服务端收到客户端发起的请求后，会从请求头中将session提取出来与之前存储在Redis中的session进行对比，如果一致就返回对应的接口数据给客户端，不一致或者是超时则不返回接口数据给客户端
session鉴权的缺点就是服务端存储压力较大，需要大量的存储空间来存储session，因此token鉴权应运而生

四、token鉴权

鉴权流程
鉴权过程详解
a、用户发起登录，客户端提交用户名和密码，服务端会对用户提交的数据进行校验，校验通过以后此时会提取用户的关键信息（比如用户名密码、用户id、时间戳等信息进行排序，然后再进行签名运算）通过特定的算法生成token，然后将这个token放到响应头里面返回给客户端。
b、客户端收到响应结果，然后就会从响应结果中获取token（这个步骤是有前端工程师完成），然后将token放到请求头token字段中（通常情况是这个字段，由后端决定），再去请求其他接口
c、服务端再次收到客户端请求，此时服务端会去请求头中提取出token，然后对token进行解签，获取到用户关键信息，再去数据库查询是否存在该用户。但凡这个token被修改过，解签就会失败，鉴权就自然失败了。
d、服务端鉴权成功就会返回对应接口数据更黑客户端，鉴权失败就不会返回随影数据

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

前端