HTTP协议中的常见认证机制有:
- Basic认证:使用Base64编码的用户名和密码,安全性低。
- Digest认证:使用MD5散列的用户名,密码和请求信息,安全性中。
- OAuth认证:通过授权令牌的方式认证,安全性较高。
- OpenID Connect认证:基于OAuth2.0的认证层协议,安全性高。
它们的主要区别是:
- 安全性:从低到高分别是Basic、Digest、OAuth、OIDC。
- 标准化:OAuth和OIDC是标准协议,Basic和Digest是非标准方式。
- 授权方式:OAuth和OIDC是通过授权码/令牌认证;Basic和Digest是通过用户名密码认证。
- 验证内容:Digest认证验证用户名、密码和请求信息;OIDC除了用户名密码,还会验证其他内容如设备指纹等。
其他:OAuth和OIDC可以实现单点登录,提高用户体验。
代码示例:
Basic认证:
// 客户端请求
GET /protected/resource HTTP/1.1
Authorization: Basic YWRtaW46YWRtaW4=
// 服务器响应
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Basic realm="User Visible Realm"OAuth认证:
// 授权请求
https://server.example.com/authorize?response_type=code&client_id=...&redirect_uri=...
// 授权码重定向
https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA
// 访问令牌请求
POST /token HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded
code=SplxlOBeZQQYbYS6WxSbIA&grant_type=authorization_code&client_id=...&client_secret=...
// 访问令牌响应
{
"access_token": "2YotnFZFEjr1zCsicMWpAA",
"token_type": "Bearer",
"expires_in": 3600
}