认证(Authentication)与授权(Authorization),以及Authorization中的Auth Type

已于 2023-12-25 23:32:57 修改
阅读量2.2k 收藏 25
点赞数 17
CC 4.0 BY-SA版权
文章标签: 网络安全
于 2023-12-13 00:24:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chrisgin/article/details/134959597
本文详细解释了认证、授权的概念,介绍了API调用中的不同授权类型,包括Noauth、APIKey、BearerToken和OAuth1.0、OAuth2.0的工作原理,重点讨论了OAuth2.0的授权码和客户端模式实例。

认证(Authentication)

对某人身份信息的确认,通过某一凭证确认得知 “某人是谁!”
例:用户名/用户ID和密码

授权(Authorization)

当对某人完成身份确认后,获取某人能够访问资源的权限
例:信息、文件、数据等

API调用过程中有那些授权类型

  1. No auth
    请求不需要授权,无身份验证

  2. API key
    使用 API 密钥身份验证,即在请求标头或查询参数中将键值对发送到 API。
    API Key是API的密钥,是访问API或网站的必要条件之一,它通常用于防止未经授权的访问。
    Key ID:这是API Key的唯一标识符,用于在请求中识别特定的API Key。
    Key Value:这是实际的API Key值,通常是一个长字符串,用于验证请求的来源。

  3. Bearer Token
    Bearer token允许使用例如JSON Web Token (JWT)的访问秘钥。
    Bearer token常用于API的身份验证和授权,其中可能会包含用户的登录信息(如用户名、有效时间)。
    服务器接收到请求后,验证用户的登录信息是否有效。如果登录信息有效,用户无需客户端多次登录才能访问不同的API资源。Bearer token的主要优点是简单易用、轻量级且易于集成到各种应用程序中。

  4. JWT bearer
    可以在Postman的编辑器中输入有效的payload,生成的JWT可以被添加到请求的header或query parameter中。

    • 其中用于JWT Token的算法:
      • HS - HMAC with SHA
      • RS - RSA (RSASSA-PKCS1-v1_5) with SHA
      • ES - ECDSA with SHA
      • PS - RSA (RSASSA-PSS) with SHA
    • Secret - 与 HMAC-SHA 算法一起使用的Secret
    • Base64 编码
    • Payload - 以 JSON 格式输入 JWT 令牌的有效负载数据

  5. Basic auth
    在用户名和密码字段中输入您的 API 用户名和密码
    在headers中向 API 传递一个表示用户名和密码值的 Base64 编码字符串,形式是:

Basic <Base64 encoded username and password>
  1. OAuth 1.0
    OAuth1.0定义了三种角色:User、Service Provider、Consumer
 +----------+                                           +----------+
 |          |--(A)- Obtaining a Request Token --------->|          |
 |          |                                           |          |
 |          |<-(B
最低0.47元/天 解锁文章

新学期VIP享超值加赠
Mr Nobody鞥
关注
K8S访问控制------认证authentication )、授权authorization )体系
qq_41768644的博客
08-29 939
在K8S体系中有两种账号类型:User accounts(用户账号),即针对human user的;Service accounts(服务账号),即针对pod的。
Authentication认证方式) Authorization授权
Pursuit_li的博客
03-15 1473
认证 认证是关于验证凭据,如用户名/用户ID和密码,以验证身份。系统确定凭据是否正确。在公共和专用网络中,系统通过登录密码验证用户身份。认证通常通过用户名和密码完成,有时认证因素结合使用,后者指的是认证的多种方式。 授权 授权发生在系统成功认证身份后,最终会授予访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。简单来说,授权决定了访问系统的能力以及达到的程度。
认证 (authentication)授权 (authorization) 的区别
weixin_30852367的博客
08-08 2704
以前一直分不清 authenticationauthorization,其实很简单,举个例子来说: 你要登机,你需要出示你的 passport 和 ticket,passport 是为了证明你张三确实是你张三,这就是 authentication;而机票是为了证明你张三确实买了票可以上飞机,这就是 authorization。 在 computer science 领域再举个例子:...
AuthenticationTypes 类
极客神殿
02-04 936
定义 AuthenticationType 属性的身份验证类型。 public static class AuthenticationTypes 继承 Object ⟶\longrightarrow⟶ AuthenticationTypes 字段 字段 说明 Basic 基本认证。 Federation 联合身份验证。 Kerberos Kerberos 身份验证。 Negotiate 已协商的身份验证。 Password 用户名和密码身份验证。 Signature 使
认证 (Authentication)授权 (Authorization)的区别是什么?
weixin_71812382的博客
03-15 1961
认证 (Authentication)授权 (Authorization)的区别是什么?
phpmyadmin中的auth_type参数详解
g200407331的专栏
05-19 3772
phpmyadmin中的'auth_type'参数详解 $cfg['Servers'][$i]['auth_type'] string['HTTP'|'http'|'cookie'|'config'|'signon'] Whether config or cookie orHTTPor signon authentication should be used for this server. #注释:auth_type可选的参数有:http,cookie,config,signon 'c...
egg-auths:egg 认证(authentication)授权(authorization)插件
05-09
Auths是eggjs的插件,主要用于完成用户身份验证和授权。 相关的API和模块主要是参考设计的。 它支持基于粗粒度的基于角色的资源访问控制和细粒度的基于资源的权限访问控制。 在当前设计中,角色和权限的数据源...
net Framework OAuth2.0 认证 Authentication 身份认证 VS Authorization 授权 refresh_code Authorize 特性
u013400314的博客
06-25 640
用户将用户名和密码发送给第三方应用程序,第三方应用程序直接向授权服务器请求访问令牌。
Java-SpringBoot:用户认证Authentication)和用户授权Authorization
embelfe_segge的博客
05-14 7837
Java-SpringBoot-2 学习视频:B站 狂神说Java – https://www.bilibili.com/video/BV1PE411i7CV 学习文档: 微信公众号 狂神说 –https://mp.weixin.qq.com/mp/homepage?__biz=Mzg2NTAzMTExNg==&hid=1&sn=3247dca1433a891523d9e4176c90c499&scene=18&uin=&key=&devicetype=Win
Authorization授权
12-14
Laravel官方文档讲解,该资料是一整套视频,需要逐个下载,Authorization授权
authentication vs authorization 验证授权的区别
diaoju3333的博客
12-26 224
在看ldap的时候发现了两个关键词, authentication验证 和 authorization授权 http://www.cyberciti.biz/faq/authentication-vs-authorization/#comment-724439 这篇文章讲得很好, authentification验证 -是指验证who you are(你是谁), 所以需要用到us...
Authorization(API测试)HTTP请求头Authorization几种类型分析使用
最新发布
A-Itfuture的博客
12-19 6575
Digest认证方案是在 RFC 7616 中规定的,它是一种用于HTTP的认证方案,也被称为摘要认证,是基本认证(Basic Authentication)的一个改进版本,它提供了比基本认证更好的安全性。在"Digest Auth"流程中,客户端向服务器发送请求,服务器返回客户端的nonce和realm值;客户端对用户名、密码、nonce值、HTTP请求方法、被请求资源URI等组合后进行MD5运算,把计算得到的摘要信息发送给服务端。服务器然后发回客户端请求的数据。
Web APi之认证(Authentication)授权(Authorization)【一】
极客神殿
02-03 9028
前言无论是ASP.NET MVC还是Web API框架,在从请求到响应这一过程中对于请求信息的认证以及认证成功过后对于访问页面的授权是极其重要的,用两节来重点来讲述这二者,这一节首先讲述一下关于这二者的一些基本信息,下一节将通过实战以及不同的实现方式来加深对这二者深刻的认识,希望此文对你有所收获。IdentityIdentity代表认证用户的身份,下面我们来看看此接口的定义public interf
authentication authorization
weixin_44895142的博客
09-18 483
认证 /鉴权(authentication)授权 (authorization) 举一个简单的例子: 你需要登陆一台电脑并且求改一些配置的时候就需要这个账户密码登陆,这电脑就要对你这个账户密码信息进行鉴权处理,就是你这个账户信息是否是正确的账户且这账户有什么样的操作电脑的权限。而操作电脑的权限在注册账号的时候就被授权相应的操作权限。 被授权的事务需要一个实体(比如是账户和密码)来体现,而这个账户密码又成为了操作的前提条件(即需要鉴权认证才可以实施有关的操作)。 ...
C#身份验证那些事儿之注册服务AddAuthorization和AddAuthentication
hua_chi的专栏
09-20 864
身份验证和授权是两个互补的过程。先通过AddAuthentication设置身份验证,确保你知道用户是谁;然后通过AddAuthorization定义可用的授权策略,基于用户的身份来控制访问。
安全-认证授权、数据脱敏
Xue_99的博客
08-03 1051
一、认证授权 JWT :JWT(JSON Web Token)是一种身份认证的方式,JWT 本质上就一段签名的 JSON 格式的数据。由于它是带有签名的,因此接收者便可以验证它的真实性。 SSO(单点登录) :SSO(Single Sign On) 即单点登录说的是用户登陆多个子系统的其中一个就有权访问其相关的其他系统。举个例子我们在登陆了京东金融之后,我们同时也成功登陆京东的京东超市、京东家电等子系统。 认证 (Authentication)授权 (Authorization)的区别是什
认证 - Authentication
weixin_41957017的博客
11-17 300
分析 认证失败会有两种可能的返回值: 401 Unauthorized 未认证 403 Permission Denied 权限被禁止 开发借鉴例子 JWT认证机制:https://blog.csdn.net/python_nice/article/details/81474794 设置 第一种: settings.py中配置全局默认的认证方案: REST_FRAMEWORK =...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值