Descripción general de los mecanismos de autenticación comunes
Antes de comprender la autorización, es necesario comprender los siguientes términos
La verificación de identidad es un proceso de confirmación de identidad, también se puede decir que es una confirmación de la validez de la identidad; dices que eres esa persona?
Correspondiente a esto está la autenticación, que es el proceso de confirmar si se permite realizar una operación o recurso
El propietario del recurso, generalmente el propio usuario
Servidor de autenticación para recursos, que proporciona puntos finales de autorización y puntos finales de token
Solicitudes a la API de autorización
Solicitudes a la API access_token
Servidor de recursos, específico en la API de servicio
Una aplicación que necesita solicitar acceso a recursos puede ser una APLICACIÓN, APLICACIÓN JS, servidor, etc.
Un token de acceso es una credencial temporal generada por un servidor de autorización y utilizada para acceder a un recurso después de la verificación de seguridad.
JWT es una implementación específica;
Se puede utilizar para identificar identidades;
También puede ser información de privilegios de autenticación independiente.
Su período de validez es generalmente corto; >
Se utiliza para realizar solicitudes a servidores de recursos
Ver JWT,
Hay un pequeño problema al usarlo. Base64URL y algoritmo Base64
Base64 tiene tres caracteres: , / y =, que tienen un significado especial en las URL, por lo que se reemplazan: omitir =, reemplazar con - y reemplazar / con _. Este es el algoritmo Base64URL. JWT usa codificación Base64URL, principalmente porque la etiqueta jwt generalmente se coloca directamente en la URL.
Un token de actualización es una credencial generada por el servidor de autorización después de una autenticación segura y se usa para recuperar el token_acceso durante un período de tiempo más largo.
Solo se usa para la solicitud realizada ( no transferible a otros servicios);
Si el token de acceso caduca, use el token de actualización para ir al servidor de autorización y recuperarlo;
El token de actualización administra el token de acceso y previene access_tokens sea utilizado por múltiples clientes
Referencia
Referencia
Este método requiere que solicite un par de claves API al proveedor de API antes de llamar a la API. (como APPID y APPSecret) y luego agregar el par de claves API a la consulta o encabezado durante la solicitud. APPSecret se usa normalmente en escenarios de servidor a servidor. APPSecret se usa generalmente en escenarios de servidor a servidor, y APPID se puede pasar al servidor backend a través del terminal JS, y luego APPSecret se obtiene de la memoria y se reenvía al servicio API juntos en la consulta o encabezado;
Este diagrama sólo considera mecanismos de autenticación.
Ventajas:
La ventaja de este modelo de autenticación es que es simple y puede identificar a la persona que llama a la API
Hay un APPSecret, por lo que generalmente es; utilizado desde el escenario de aplicación de servidor a servidor;
En realidad, base64 ofusca el nombre de usuario y la contraseña colocados en el encabezado;
En realidad, codifica el nombre de usuario y la contraseña colocados en el encabezado. está ofuscado en base64.
com.ibm.isam.doc/config/concept/oauth_pkce.html PKCE
/devg-apisign/api-sign-algorithm.html AK/SK
https://juejin .im/post/ 5c9ada58e51d453fea4a99bc
https://jwt.io/introduction/ JWT
https://tools.ietf.org/html/rfc7519 JWT