先说说前后端有哪些认证方式来保证:
-
基于 session 的认证方式:前端在用户登录成功后,后端会在服务器端生成一个唯一的 session ID,并将该 session ID 返回给前端,在后续的请求中,前端需要带上该 session ID。后端通过验证 session ID 的有效性来判断用户的身份和权限。这种方式需要服务器端维护 session 状态,适用于传统的 web 应用。
-
基于 token 的认证方式:前端在用户登录成功后,后端会生成一个包含用户信息和权限的 token,并将该 token 返回给前端。前端将 token 保存在客户端,每次请求时都需要带上该 token。后端通过验证 token 的有效性来判断用户的身份和权限。这种方式相比于基于 session 的认证方式更加适用于前后端分离的架构。
-
OAuth 认证方式:OAuth 是一种开放标准的认证和授权协议,允许用户通过第三方应用访问受保护的资源,而无需将用户名和密码提供给第三方应用。用户在第三方应用中授权后,该应用会获得一个访问令牌(access token),以此来访问受保护的资源。
-
JWT 认证方式:JWT(JSON Web Token)是一种基于 token 的身份验证方式,它将用户信息和权限信息编码在一个 JSON 对象中,并使用密钥进行签名。后端生成 JWT 并返回给前端,前端存储在客户端,并在每次请求时携带该 JWT。后端通过验证 JWT 的签名和有效期来判断用户的身份和权限。
下面接着写一些通常我们是如何设计信息不被篡改的方式:
-
使用HTTPS协议:HTTPS使用SSL/TLS协议对数据进行加密传输,包括了加密传输、数据完整性校验和身份验证的功能。通过在前端和后端之间建立安全的通道,可以有效地防止第三方窃取或篡改数据。
-
数字签名:数字签名使用非对称密钥加密算法,如RSA,前端使用私钥对数据进行签名,生成签名值。后端接收到数据后,使用相应的公钥对签名进行验证,如果验证通过,表示数据未被篡改。数字签名可以保证数据的完整性和身份认证。
-
数据校验:数据校验是对数据进行检查和验证的过程,确保数据的完整性和正确性。可以使用哈希算法如MD5、SHA等,将数据生成摘要(或散列值),在接收数据的一方再进行相同的操作,将结果与发送方提供的摘要进行比较,如果一致,则表明数据未被篡改。
-
使用Token验证:Token是一种用于身份验证和授权的令牌,可以防止篡改和伪造。前端在用户登录成功后,后端会生成一个Token,并返回给前端。前端将Token保存在客户端(如浏览器的local storage或cookie),每次请求后端时,都需要携带Token。后端在接收到请求后,通过验证Token的有效性来验证用户身份和权限。
-
输入验证:输入验证是确保用户输入数据的合法性和安全性的过程。前端应使用合适的验证机制,如正则表达式、限制输入字符的长度、过滤特殊字符等,以防止恶意输入。后端在接收到数据后,也要进行验证和过滤,避免恶意代码注入、SQL注入、XSS攻击等安全问题。
