有多少个网站,怎么手动更新wordpress,渭南市工程建设项目审批网上办事大厅,自动化 东莞网站建设#xfeff;写在前面头发掉得多了#xff0c;总有机会接触/调到各种各样的接口#xff0c;各种面向Api编程实际上已经嵌入到我们的习惯中#xff0c;没办法现在服务端通信还得是http(s)#xff0c;其他协议还未能成为通用的。大厂的开发平台api我先不敢说#xff0c;各种… 写在前面头发掉得多了总有机会接触/调到各种各样的接口各种面向Api编程实际上已经嵌入到我们的习惯中没办法现在服务端通信还得是http(s)其他协议还未能成为通用的。大厂的开发平台api我先不敢说各种小公司、或者不少大公司内部之间各种各样的的接口签名/授权方式可以说是尽显劳动人民智慧、八仙过海各显神通。当然我也曾是八仙中一员大将然而不能总当神仙偶尔也要做下凡人。下面我们聊聊常见的服务授权方式Basic AuthBasic Auth使用base64编码把 username:password (注意中间有个半角冒号)加密后放入请求头比如账号密码 hei:123 base64后在request—header这样:Authorization: Basic aGVpOjEyMwPostman支持总结优点简单明了特别容易理解缺点因为简单且几乎是明文的形式传递总得来说不够安全且要配合权限啊、授权策略啊要花挺多成本看场景使用Key Auth这个别看名字起得高大上其实也就是你先定义一个 KeyNameKeyValue,调用方和接口定义方约定这个Key放在—header或者Query Params里到时按约定好的取出就好比如我定义了的KeyName: apikeyKeyValue: hei.key.7LimLB5qXHtuBsI7HpxM9mj447ME3GlNoe7WxKL5约定好放到Header里。Postman支持总结 跟basic auth 一样还是不够安全虽然可以通过添加超复杂的keyValue提高安全性。但记住只要是固定的key永远都是不安全的。看场景使用。Jwt Auth这个知识点可是可是博客园的常客了三天两头都有相关博文但毕竟本片不是jwt专题我就不长篇阔论了简单聊聊首先jwt是啥Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)传递信息的标准的说白了就是一种数据格式它分成三个部分组成中间用.隔开 图来自龙哥的博客//上图三部分一般这样组成所以整个jwt都是base64的除了那两个分割的.
base64Url(Header).base64Url(Payload).base64Url(Signature)具体的一个jwteyJhbGciOiJSUzI1NiIsImtpZCI6IjY1OTMxODE4QjYxQkIzQTVEMUIxN0Y0MEVCRTlEQkY2IiwidHlwIjoiYXQrand0In0.eyJuYmYiOjE1OTcxNDIxNzgsImV4cCI6MTU5NzE0OTM3OCwiaXNzIjoiaHR0cDovLzE3Mi4xNi4zLjExNzo1MTAwIiwiYXVkIjpbIm9jZWxvdCIsImh0dHA6Ly8xNzIuMTYuMy4xMTc6NTEwMC9yZXNvdXJjZXMiXSwiY2xpZW50X2lkIjoib2NlbG90LmNsaWVudCIsImp0aSI6IkQxRkExNkE3MkM1RDY4RDEyMTMzM0RGRjRDRDBCM0Q4IiwiaWF0IjoxNTk3MTQyMTc4LCJzY29wZSI6WyJvY2Vsb3QuYWRtaW4iXX0.PCN_Q77r0IyaesLy-Q0lTV12EYD9GkywrDMfxrCBj3ac9YltW8RzczAqdn2f92iysf_5Iu6hvTm16z9MJay6-eGWBiuIgJRXaCDlTqWWKcI8rWmW17ncyJT5oIgwip54Tfder9AfJOUJ-K0U2zT0fsrnBf7CZDLmkAAFHoxky1dzmPnh7JM4EkjtC-ybLOu_Aav7GgIOyYfodovxNgMvGHdhmheJLjxpjGblfI6o3rH8fRedwoV8zCY8MxJRGVcqg8slo0E9wfsebNx8hCV1mLHJbuDbJ1DCnDQ_1I1pFEFZCVNE2g0R-LRMC7opfFcveorNvZcJ8zEPWcACqoGXZg我们 复制到https://jwt.io/ 解析看看可以很清楚的看到 header部分是说明Token的类型和所使用的算法payload部分就是授权信息比如用户名啊、哪个服务器什么时候发的、什么时候失效等等。signature部分是签名信息防止篡改。一般是怎么用jwt的我借龙哥个图来说明下一般我们先定义一个颁发token服务Auth Service —Api服务调用方携带授权信息申请token;Auth Service验证授权信息后返回jwt;服务调用方携带jwt请求受保护接口受保护接口验证jwt 的有效性验证有没有权限、是否在有效期、有没有被篡改等这里不用到Auth Service验也就是去中心化的方式这是jwt的一大有点。这里写着是网关其实也可以写在接口的过滤器那里不过这样每个项目都要实现一遍验证逻辑了。这里已经解析完jwt打扰可以携带jwt的信息去调用接口啦响应流程完其实大家都差不多这么用的不管是自定义实现还是用第三方的中间件形式具体看需求Postman支持总结优点因为json的通用性所以JWT是可以进行跨语言支持;因为有了payload部分所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。便于传输jwt的构成非常简单传输字节不大高性能。去中心化高性能缺点安全性如果是完全去中心化的方式如果jwt给黑客截取了是没有办法吊销的开发的时候可以考虑下如何解决这个问题携带的信息是完全开放的不能携带安全性高的加密信息只能说有限安全性依然看场景使用不过我的经验日常开发绝大部分时候够用了。Oauth2—client_credentials客户端凭证模式Oauth2.0 有多种模式比如Authorization Code、Implicit Flow、Password Grant等、我们今天只来看client_credentials—客户端配置模式吧。我们先看官方的流程图可以看到非常简单他其实只要:A、Client携带授权信息client_id,client_scretscopes,grant_type等去Authorization Server 申领AccessTokenB、Authorization Server 颁发AccessToken然后你就可以用这个AccessToken 调用 受保护的接口了我们来看看实例1、先请求AccessToken2、携带AccessToken 调用受保护接口Postman支持其实这里的header是这样的Authorization: Bearer ZJg0rak2ZYKyZeBTH7zJzDl94AjkfwiE那可以看到我们的AccessToken 很明显很简短看情况是不携带任何信息的。那意味着它每次调用都需要去Authorization Server验证AccessToken 才行这样接口调用量瞬间翻倍了性能肯定受影响。我们能不能像上面提到的jwt一样用jwt 做token去中心化呢答案是可以的Oauth2.0-client_credentials模式本身是对流程的标准化并没有限制token类型所以我们是可以用jwt做token但是又涉及到一个问题授权是OAth2.0的活,如果你加入jwt做身份区分那其实已经是OpenId Connect的活了那又是另一个话题了。但那其实是一个非常好的设计我们.net core里面就用这么个方案实现的框架IdentityServer4总结identityserver4真香Hmac AuthHmac的全称是Hash-based Message Authentication Code基于哈希的消息认证码 看起来有点蒙我们先来看个例子比如我们有如下的接口地址http://api.hei.com?userid23233age18typenormal我们经常会这样给我们接口加签名先把query参数全小写后按a-z排序为用隔开age18typenormaluserid23233对参数32位小写md5, md5_32(“age18typenormaluserid23233”) 得到signa8b8a635cc34b95a8788abfa6f6b9ff2把sign加在请求参数后面http://api.hei.com?userid23233age18typenormalsigna8b8a635cc34b95a8788abfa6f6b9ff2服务端按同样的方法验证参数如果我们把以上的 md5_32(“排序参数”加“盐”改为md5_32(my_secret_key“排序参数” 这就是Hmac-Md5 算法同理还有Hmac-SHA1Hmac-SHA384Hmac-SHA256Hmac-SHA512等等算法主要的区别在于哈希算法的不同。因为安全性有一定的保障各种语言里面都会有对应的语言无关的实现比如.net core 里面就有:HMACMD5、HMACSHA1、HMACSHA256、HMACSHA384、HMACSHA512 这五个内置类都是调用里面的ComputeHash()。当然生产中的例子可能不像上面的那么简单比如接口调用方要求一定附加一个时间戳参数在请求里5分钟内本请求有效my_secret_key 非常复杂动态 my_secret_key 等等方式。这个Postman当然支持这是我用网关kong内置的Hmac Auth 插件实现的。总结大总结我觉得接口认证授权这块挺多东西我现在用IdentityServer4Hmac比较多大家平时怎么处理的也可以聊一聊~参考https://www.cnblogs.com/edisonchou/p/talk_about_what_is_jwt.html文章博客园地址请点击“阅读原文”
