傳統身份驗證的方法

HTTP Basic Auth

HTTP Basic Auth簡單點說明就是每次請求API時都提供使用者的username和password，簡言之，Basic Auth是配合RESTful API 使用的最簡單的認證方式，只需提供使用者名稱密碼即可，但由於有把使用者名稱密碼暴露給第三方客戶端的風險，在生產環境下被使用的越來越少。因此，在開發對外開放的RESTful API時，儘量避免採用HTTP Basic Auth。

OAuth

OAuth（開放授權）是一個開放的授權標準，允許使用者讓第三方應用訪問該使用者在某一web服務上儲存的私密的資源（如照片，視訊，聯絡人列表），而無需將使用者名稱和密碼提供給第三方應用。

OAuth允許使用者提供一個令牌，而不是使用者名稱和密碼來訪問他們存放在特定服務提供者的資料。每一個令牌授權一個特定的第三方系統（例如，視訊編輯網站)在特定的時段（例如，接下來的2小時內）內訪問特定的資源（例如僅僅是某一相簿中的視訊）。這樣，OAuth讓使用者可以授權第三方網站訪問他們儲存在另外服務提供者的某些特定資訊，而非所有內容
下面是OAuth2.0的流程：

這種基於OAuth的認證機制適用於個人消費者類的網際網路產品，如社交類APP等應用，但是不太適合擁有自有認證許可權管理的企業應用。

Cookie Auth

Cookie認證機制就是為一次請求認證在服務端建立一個Session物件，同時在客戶端的瀏覽器端建立了一個Cookie物件；通過客戶端帶上來Cookie物件來與伺服器端的session物件匹配來實現狀態管理的。預設的，當我們關閉瀏覽器的時候，cookie會被刪除。但可以通過修改cookie 的expire time使cookie在一定時間內有效。

基於 Token 的身份驗證方法

使用基於 Token 的身份驗證方法，大概的流程是這樣的：

1. 客戶端使用使用者名稱跟密碼請求登入
2. 服務端收到請求，去驗證使用者名稱與密碼
3. 驗證成功後，服務端會簽發一個 Token然後儲存（快取或者資料庫），再把這個 Token 傳送給客戶端
4. 客戶端收到 Token 以後可以把它儲存起來，比如放在 Cookie 裡或者 Local Storage 裡
5. 客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token
6. 服務端收到請求，然後去驗證客戶端請求裡面帶著的 Token，如果驗證成功，就向客戶端返回請求的資料

Token機制相對於Cookie機制又有什麼好處呢？

• 支援跨域訪問: Cookie是不允許垮域訪問的，這一點對Token機制是不存在的，前提是傳輸的使用者認證資訊通過HTTP頭傳輸.
• 無狀態(也稱：服務端可擴充套件行):Token機制在服務端不需要儲存session資訊，因為Token 自身包含了所有登入使用者的資訊，只需要在客戶端的cookie或本地介質儲存狀態資訊.
• 更適用CDN: 可以通過內容分發網路請求你服務端的所有資料（如：javascript，HTML,圖片等），而你的服務端只要提供API即可.
• 去耦: 不需要繫結到一個特定的身份驗證方案。Token可以在任何地方生成，只要在你的API被呼叫的時候，你可以進行Token生成呼叫即可.
• 更適用於移動應用: 當你的客戶端是一個原生平臺（iOS, Android，Windows 8等）時，Cookie是不被支援的（你需要通過Cookie容器進行處理），這時採用Token認證機制就會簡單得多。
• CSRF:因為不再依賴於Cookie，所以你就不需要考慮對CSRF（跨站請求偽造）的防範。
• 效能: 一次網路往返時間（通過資料庫查詢session資訊）總比做一次HMACSHA256計算 的Token驗證和解析要費時得多.
• 不需要為登入頁面做特殊處理: 如果你使用Protractor 做功能測試的時候，不再需要為登入頁面做特殊處理.
• 基於標準化:你的API可以採用標準化的 JSON Web Token (JWT). 這個標準已經存在多個後端庫（.NET, Ruby, Java,Python, PHP）和多家公司的支援（如：Firebase,Google, Microsoft）.

基於JWT的Token認證機制實現

實施 Token 驗證的方法挺多的，還有一些標準規範，其中JSON Web Token（JWT）是一個非常輕巧的規範 。JWT 標準的 Token 有三個部分：

• header（頭部）
• payload（資料）
• signature（簽名）

中間用點分隔開，並且都會使用 Base64 編碼，所以真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

每個 JWT token 裡面都有一個 header，也就是頭部資料。裡面包含了使用的演算法，這個 JWT 是不是帶簽名的或者加密的。主要就是說明一下怎麼處理這個 JWT token 。

頭部裡包含的東西可能會根據 JWT 的型別有所變化，比如一個加密的 JWT 裡面要包含使用的加密的演算法。唯一在頭部裡面要包含的是 alg 這個屬性，如果是加密的 JWT，這個屬性的值就是使用的簽名或者解密用的演算法。如果是未加密的 JWT，這個屬性的值要設定成 none。

示例：

{
  "alg": "HS256"
}

意思是這個 JWT 用的演算法是 HS256。上面的內容得用 base64url 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiJ9

Payload

Payload 裡面是 Token 的具體內容，這些內容裡面有一些是標準欄位，你也可以新增其它需要的內容。下面是標準欄位：

• iss：Issuer，發行者
• sub：Subject，主題
• aud：Audience，觀眾
• exp：Expiration time，過期時間
• nbf：Not before
• iat：Issued at，發行時間
• jti：JWT ID

比如下面這個 Payload ，用到了 iss 發行人，還有 exp 過期時間這兩個標準欄位。另外還有兩個自定義的欄位，一個是 name ，還有一個是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 base64url 編碼以後就變成了這個樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最後一部分是 Signature ，這部分內容有三個部分，先是用 Base64 編碼的 header.payload ，再用加密演算法加密一下，加密的時候要放進去一個 Secret ，這個相當於是一個密碼，這個密碼祕密地儲存在服務端。

• header
• payload
• secret

const encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

處理完成以後看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最後這個在服務端生成並且要傳送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個 Token 以後把它儲存下來，下回向服務端傳送請求的時候就帶著這個 Token 。服務端收到這個 Token ，然後進行驗證，通過以後就會返回給客戶端想要的資源。

JWT的JAVA實現

Java中對JWT的支援可以考慮使用JJWT開源庫；JJWT實現了JWT, JWS, JWE 和 JWA RFC規範；下面將簡單舉例說明其使用：

maven匯入

<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.6.0</version>
</dependency>

建立和解析token

/**
     * 解析JWT
     * @param jsonWebToken
     * @param base64Security
     * @return
     */
    public static Claims parseJWT(String jsonWebToken, String base64Security) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(DatatypeConverter.parseBase64Binary(base64Security))
                    .parseClaimsJws(jsonWebToken).getBody();
            return claims;
        } catch (Exception ex) {
            return null;
        }
    }

    /**
     * 建立JWT
     * @param no
     * @param userId
     * @param issuer
     * @param TTLMillis
     * @param base64Security
     * @return
     */
    public static String createJWT(String no, String userId,
                                   String issuer, long TTLMillis, String base64Security) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        //生成簽名金鑰
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Security);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        //新增構成JWT的引數
        JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
                .claim("no", no)
                .setSubject(userId)
                .setIssuer(issuer)
                .signWith(signatureAlgorithm, signingKey);
        //新增Token過期時間
        if (TTLMillis >= 0) {
            long expMillis = nowMillis + TTLMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp).setNotBefore(now);
        }
        //生成JWT
        return builder.compact();
    }

參考：

基於 Token 的身份驗證：JSON Web Token（附：Node.js 專案）

基於Token的WEB後臺認證機制

WEB後臺--基於Token的WEB後臺登入認證機制（並講解其他認證機制以及cookie和session機制）