認證
一種是session會話狀態,資訊儲存在伺服器端;一種是客戶端傳送每乙個請求的同時帶乙個 secret access token 來驗證使用者。因為乙個 access token 可以用來確定乙個唯一的使用者和驗證這個使用者, api requests 應該總是通過 https 協議來傳輸, 以防止 man-in-the-middle (mitm) 攻擊。
http basic authentication;客戶端將使用者名稱和密碼中間用「:」分隔合併,並將合併後的字串用base64編碼,在每次請求資料 時,將密文附加於請求頭(request header)authorization: basic ******x中。
query parameter;access token 在 api url 中作為乙個查詢引數被傳遞,比如
oauth 2;遵照 oath2.0 協議, 呼叫者從乙個 授權伺服器 上獲取 access token, 再通過 http bearer tokens 傳送給 api 伺服器。
jwt;客戶端每次與伺服器通訊,都要帶上這個 jwt,可以放在http 請求的頭資訊authorization欄位裡面,也可以放在 post 請求的資料體裡面;
jwt的token包含三部分:header(頭部)+ payload(負載)+ signature(簽名);token的payload裡面會包含使用者的資訊(依據業務需要存放)和token的過期時間等資訊。但jwt的缺點是一生成,就是有效,沒有續約機制和登出機制。
授權role based access control (rbac) 基於角色的訪問控制(rbac)
access control filter 訪問控制過濾
認證 授權和訪問控制
apache能夠確保使用者只能訪問被允許訪問的資源 本文涵蓋了保護站點資源的 標準 方法,大多數管理員將要用到這些方法。前提 本文中討論的指令應該被放進主配置檔案 通常在段中 或者針對單個目錄的配置檔案 htaccess檔案 中。如果你打算使用.htaccess檔案,則必須設定伺服器以允許在這些檔案...
認證,授權2
authorization 授權 判斷使用者是否有權操作,比如登入的使用者有沒有許可權訪問資源或者資料庫 authentication 認證 使用者的identity.主要有 http基礎認證 證書 kerberos passport ntlm forms based digest 這兩個東西最好從...
shiro認證授權
1.shiro配置類 1.1需要配置什麼?建立乙個shirofilte ctorybean物件,檢測認證 向bean中傳入securitymanager物件 沒有認證的時候應該訪問哪個url位址 setloginurl 哪些資源是可以被匿名訪問的 setfilterchaindefinitionma...