web认证机制

本文为web开发系列的一部分。

HTTP Basic Auth

HTTP协议内置的简单身份验证机制，每次都需要验证，无法维持登陆状态。

参考资料

• RFC 7617

• Basic Authentication

Cookie/Session机制

服务器端生成并保存Session，浏览器通过Cookie机制传递Session标识到服务器。可以维持登陆状态，避免重复登陆。

参考资料

• HTTP cookie

• Cookie Authentication

JWT机制

服务器端生成和验证Token，客户端保存和提交Token。可以维持登陆状态，且服务器不用Token信息，多用于RESTful API等无状态服务。

参考资料

• JWT

• RFC 7519

• JSON Web Token 入门教程

OAuth

OAuth是一个第三方授权标准。可用于建立统一集中的身份服务。

参考资料

• OAuth

• RFC 5849(OAuth 1.0)

• RFC 6759(OAuth 2.0)

• RFC 6750(Bearer Token)

• 理解OAuth 2.0

更多内容请查看web开发系列