令牌认证和使用cookie的认证有什么区别?
我正在尝试实现Ember Auth Rails演示,但我不理解使用Ember Auth FAQ中关于“为什么token身份验证?”的问题所描述的令牌身份验证背后的原因。
当前回答
一个主要的区别是cookie服从同源策略,而令牌则不是。这就产生了各种各样的下游效应。
由于cookie只发送给特定的主机,该主机必须承担验证用户身份的责任,用户必须在该主机上创建一个具有安全数据的帐户,以便进行验证。
Tokens on the other hand are issued and are not subject to same origin policy. The issuer can be literally anybody and it is up to the host to decide which issuers to trust. An issuer like Google and Facebook is typically well trusted so a host can shift the burden of authenticating the user (including storing all user security data) to another party and the user can consolidate their personal data under a specific issuer and not have to remember a bunch of different passwords for each host they interact with.
这允许单点登录场景,从而减少用户体验中的整体摩擦。从理论上讲,网络也变得更加安全,因为专门的身份提供者出现了,提供认证服务,而不是每个ma和pa网站都有自己的,可能不成熟的认证系统。随着这些提供商的出现,为非常基本的资源提供安全网络资源的成本也趋向于零。
因此,总的来说,令牌减少了与提供身份验证相关的摩擦和成本,并将安全web各个方面的负担转移到能够更好地实现和维护安全系统的中心化方。
其他回答
基于令牌的认证是无状态的,服务器不需要在会话中存储用户信息。这样就可以扩展应用程序,而不用担心用户已经登录到哪里。有web服务器框架的亲缘性基于cookie,而这不是一个问题,基于令牌。因此,可以使用相同的令牌从我们登录的域以外的域获取安全资源,从而避免了另一个uid/pwd身份验证。
非常好的文章:
http://www.toptal.com/web/cookie-free-authentication-with-json-web-tokens-an-example-in-laravel-and-angularjs
简而言之:
JWT vs Cookie Auth
| | Cookie | JWT |
| Stateless | No | Yes |
| Cross domain usage | No | Yes |
| Mobile ready | No | Yes |
| Performance | Low | High (no need in request to DB) |
| Add to request | Automatically | Manually (if not in cookie) |
cookie依赖于您与另一端存储您已登录事实的数据库共享的个人秘密。这里没有什么特别的东西,只是一个密码短语来识别您的会话,尽管细节可能有所不同。
认证令牌使用奇特的加密技术来消除对存储登录状态的数据库的需求,方法是通过给定提供者的签名发布一个文档,其中包含允许您在哪个日期之前做什么。
打个比方,cookie就像一张会员卡,检查它的前台必须打电话或查询数据库来检查你是否是会员。而认证令牌就像一张有签名和到期日期的支票。然后,安全性来自于基于难以伪造的假设的签名,而无需直接询问发行者。
在这两种情况下,它们都处理授权,而不是身份验证。任何持有会员卡或支票的人都可以获得访问权,它们不能证明你是谁,只是证明你有权使用你要求的资源。正因为如此,它们必须小心防范盗窃,这对于更难撤销的认证令牌来说尤其如此。
我认为这里有些混乱。基于cookie的身份验证与HTML5 Web Storage之间的显著区别在于,浏览器被构建为每当从设置它们的域请求资源时都发送cookie数据。如果不关掉cookie,你无法阻止这种情况。除非页面中的代码发送数据,否则浏览器不会从Web存储发送数据。页面只能访问自己存储的数据,而不能访问其他页面存储的数据。
因此,如果用户担心自己的cookie数据可能被谷歌或Facebook使用,可能会关闭cookie。但是,他们没有理由关闭网络存储(直到广告商也找到一种方法来使用它)。
所以,这就是基于cookie和基于令牌的区别,后者使用Web存储。
一个主要的区别是cookie服从同源策略,而令牌则不是。这就产生了各种各样的下游效应。
由于cookie只发送给特定的主机,该主机必须承担验证用户身份的责任,用户必须在该主机上创建一个具有安全数据的帐户,以便进行验证。
Tokens on the other hand are issued and are not subject to same origin policy. The issuer can be literally anybody and it is up to the host to decide which issuers to trust. An issuer like Google and Facebook is typically well trusted so a host can shift the burden of authenticating the user (including storing all user security data) to another party and the user can consolidate their personal data under a specific issuer and not have to remember a bunch of different passwords for each host they interact with.
这允许单点登录场景,从而减少用户体验中的整体摩擦。从理论上讲,网络也变得更加安全,因为专门的身份提供者出现了,提供认证服务,而不是每个ma和pa网站都有自己的,可能不成熟的认证系统。随着这些提供商的出现,为非常基本的资源提供安全网络资源的成本也趋向于零。
因此,总的来说,令牌减少了与提供身份验证相关的摩擦和成本,并将安全web各个方面的负担转移到能够更好地实现和维护安全系统的中心化方。
