“token auth”与“cookie auth”有何不同?

【问题标题】:How is "token auth" any different than "cookie auth"?“token auth”与“cookie auth”有何不同?
【发布时间】:2016-02-05 23:53:09
【问题描述】:

从表面上看,“token auth”似乎与传统的“cookie auth”基本相同。

令牌认证:

  1. 用户向 API 提交用户名/密码
  2. API 以访问令牌响应
  3. 客户端存储访问令牌以在将来的请求中识别用户

Cookie 身份验证:

  1. 用户向 API 提交用户名/密码
  2. API 使用 cookie 响应
  3. 客户端存储 cookie 用于在未来的请求中识别用户

token auth 好像和 cookie auth 基本一样,只是大部分 HTTP 客户端已经知道如何自动管理 cookie,而你必须手动管理 API 令牌。

我错过了什么?使用令牌认证有什么好处?真的值得付出额外的努力吗?

【问题讨论】:

    标签: api authentication cookies token


    【解决方案1】:

    额外的努力是否值得,取决于您要保护什么以及谁在使用 API。

    当您的客户端不基于浏览器时,基于令牌的身份验证会容易得多。因此,如果您的目标是移动应用程序,则值得考虑基于令牌的身份验证。

    但在浏览器场景中它也有一些优势。由于浏览器不会自动发送Authorization 标头,因此安全令牌不易受到CSRF 攻击。

    如果您的 Web 应用程序位于您的 API 之外的另一个域中,则不会发送 cookie,因为 same-origin policy。安全令牌不受此影响。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2021-02-28
      • 2021-05-14
      • 1970-01-01
      • 1970-01-01
      • 2018-01-27
      • 2019-06-26
      • 2022-11-03
      • 2016-06-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode