儿童白癜风公益活动 http://nb.ifeng.com/a/20190521/7468809_0.shtml接下来的几篇文章,我们将看看如何对API服务的请求进行认证,以便我们准确地知道一个请求来自于哪个用户。记住:认证是关于确认用户是谁,而授权是检查用户是否有权做某些事情。我们将:介绍可用的API身份验证方法,并讨论它们的优缺点。实现一种基于token的有状态认证模式,允许客户端交换他们的用户凭证,以获得一个有时间限制的身份验证token来识别用户。认证机制在开始编写代码之前,我们先来讨论一下如何对API的请求进行身份验证,并找出请求来自于哪个用户。选择一种高级的API身份验证方法可能很困难——有许多不同的选项,而且并不能立即清楚哪种方法适合您的项目。因此,在本节中,我们将从宏观层面讨论一些最常见的方法,讨论它们的优缺点,并在结束时介绍哪些情况适合使用哪种方法。具体来说,我们将对比以下5种认证方式:HTTP基本认证有状态的token认证无状态的token认证APIkey认证OAuth2.0/OpenID连接提示:关于我们在本节中描述的所有身份验证方法,前提是你的API只通过HTTPS与客户端通信。HTTP基本认证确定谁向API服务发出请求的最简单方法可能是使用HTTP基本身份验证。使用此方法,客户端包含一个Authorization请求头,每个请求都包含它们的凭证。凭证采用用户名:密码和base-64编码的格式。因此,例如,要验证aliceexample.
