W

Web 身份验证终极指南:2024 年 Session、JWT、SSO 和 OAuth 2.0 对比

2025-06-07

Web 身份验证终极指南:2024 年 Session、JWT、SSO 和 OAuth 2.0 对比

您是否正在为 Web 应用程序选择合适的身份验证方法而苦恼?您并不孤单!在当今快速发展的数字环境中,了解各种身份验证机制对于开发人员和企业都至关重要。本指南将揭开五种关键身份验证方法的神秘面纱:基于会话、JWT、基于令牌、单点登录 (SSO) 和 OAuth 2.0。我们将探讨每种方法如何满足不同的安全需求,并帮助您为下一个项目做出明智的决策。

授权

1.基于会话的身份验证:经典方法

什么是基于会话的身份验证?

基于会话的身份验证就像在活动中领取腕带一样。一旦进入,您无需再次出示身份证件即可访问所有内容。

工作原理

  1. 您使用用户名和密码登录。
  2. 服务器创建一个唯一的会话 ID 并将其存储在 cookie 中。
  3. 您的浏览器会在每次请求时发送此 cookie,以证明您仍然是您。

优点和缺点

✅优点:

  • 易于实现
  • 服务器对会话有完全控制权

❌缺点:

  • 不适合移动应用程序
  • 可能占用大量服务器资源

真实示例

让我们看看如何使用 Express.js 实现基于会话的身份验证:




const express = require('express');

const session = require('express-session');

const app = express();



app.use(session({

  secret: 'your-secret-key',

  resave: false,

  saveUninitialized: true,

  cookie: { secure: true, maxAge: 24  60  60 * 1000 } // 24 hours

}));



app.post('/login', (req, res) => {

  // Authenticate user

  req.session.userId = user.id;

  res.send('Welcome back!');

});



app.get('/dashboard', (req, res) => {

  if (req.session.userId) {

    res.send('Here's your personalized dashboard');

  } else {

    res.send('Please log in to view your dashboard');

  }

});



app.listen(3000);
Enter fullscreen mode Exit fullscreen mode



  1. JWT(JSON Web Token):现代无状态解决方案

什么是 JWT?

可以将 JWT 视为数字护照。它包含您的所有重要信息,您可以在不同的“国家/地区”(服务)使用它,而无需每次都返回您的祖国进行登录。

工作原理

  1. 您登录后,服务器会使用您的信息创建 JWT。
  2. 您存储此 JWT(通常在 localStorage 或 cookie 中)。
  3. 您在每个请求中发送 JWT,然后服务器对其进行验证。

JWT 的结构

  • 标头:令牌的类型和使用的哈希算法
  • 有效载荷:您的用户数据(声明)
  • 签名:确保令牌未被篡改

优点和缺点

✅优点:

  • 无状态且可扩展
  • 非常适合移动和单页应用程序
  • 可以包含用户信息,减少数据库查询

❌缺点:

  • 需要小心处理以防止令牌被盗

JWT 实际应用

以下是使用 Express.js 和库的简单示例jsonwebtoken




const jwt = require('jsonwebtoken');



app.post('/login', (req, res) => {

  // Authenticate user

  const token = jwt.sign(

    { userId: user.id, email: user.email },

    'your-secret-key',

    { expiresIn: '1h' }

  );

  res.json({ token });

});



app.get('/dashboard', (req, res) => {

  const token = req.headers['authorization']?.split(' ')[1];

  if (!token) return res.status(401).send('Access denied');



try {

    const verified = jwt.verify(token, 'your-secret-key');

    res.send('Welcome to your dashboard, ' + verified.email);

  } catch (err) {

    res.status(400).send('Invalid token');

  }

});
Enter fullscreen mode Exit fullscreen mode



  1. 单点登录 (SSO):一把钥匙开启多扇门

什么是 SSO?

想象一下,你拥有一把万能钥匙,可以打开办公楼里的所有门。这就是数字世界中的单点登录 (SSO)!

工作原理

  1. 您登录到中央 SSO 服务器。
  2. SSO 服务器生成一个令牌。
  3. 此令牌可让您访问多个相关站点而无需再次登录。

优点和缺点

✅优点:

  • 极其用户友好
  • 集中用户管理

❌缺点:

  • 设置复杂
  • 如果 SSO 服务器出现故障,则会影响所有连接的服务

SSO 工作流程示例




    

  1. You visit app1.com
    2. 

  2. App1.com redirects you to sso.company.com
    3. 

  3. You log in at sso.company.com
    4. 

  4. SSO server creates a token and sends you back to app1.com
    5. 

  5. App1.com checks your token with the SSO server
    6. 

  6. You're in! And now you can also access app2.com and app3.com without logging in again
    7.
Enter fullscreen mode Exit fullscreen mode



  1. OAuth 2.0:授权框架

什么是 OAuth 2.0?

OAuth 2.0 就像您汽车的代客泊车钥匙。它允许您在不交出主密钥的情况下访问您的资源。

工作原理

OAuth 2.0 允许第三方服务在不暴露密码的情况下访问用户数据。它不仅用于身份验证,还用于授权。

OAuth 2.0 授权类型

  1. 授权码:最适合具有后端的 Web 应用程序
  2. 隐式:适用于移动和单页应用程序(安全性较低,正在逐步淘汰)
  3. 客户端凭证:用于机器对机器通信
  4. 密码:当用户真正信任该应用程序时(不建议用于公共应用程序)
  5. 刷新令牌:无需重新认证即可获取新的访问令牌

优点和缺点

✅优点:

  • 高度灵活且安全
  • 允许细粒度的权限
  • 被各大科技公司广泛采用

❌缺点:

  • 正确实施起来可能很复杂
  • 需要仔细考虑安全问题

OAuth 2.0 实际应用

以下是使用 Express.js 的授权码流程的简化示例:




const express = require('express');

const axios = require('axios');

const app = express();



app.get('/login', (req, res) => {

  const authUrl = https://oauth.example.com/authorize?client_id=your-client-id&redirect_uri=http://localhost:3000/callback&response_type=code&scope=read_user;

  res.redirect(authUrl);

});



app.get('/callback', async (req, res) => {

  const { code } = req.query;

  try {

    const tokenResponse = await axios.post('https://oauth.example.com/token', {

      code,

      client_id: 'your-client-id',

      client_secret: 'your-client-secret',

      redirect_uri: 'http://localhost:3000/callback',

      grant_type: 'authorization_code'

    });

    const { access_token } = tokenResponse.data;

    // Use the access_token to make API requests

    res.send('Authentication successful!');

  } catch (error) {

    res.status(500).send('Authentication failed');

  }

});



app.listen(3000, () => console.log('Server running on port 3000'));
Enter fullscreen mode Exit fullscreen mode




结论:2024年如何选择正确的身份验证方法

正如我们所见,每种身份验证方法都有其优点和用例:

  • 基于会话:非常适合简单的服务器渲染应用程序
  • JWT:适用于现代无状态架构和移动应用
  • SSO:非常适合具有多种相关服务的企业环境
  • OAuth 2.0:第三方集成和 API 访问的首选

选择身份验证方法时,请考虑应用程序的架构、用户群、安全要求和可扩展性需求。请记住,最佳选择通常取决于您的具体用例,甚至可能涉及这些方法的组合。

保持安全,快乐编码!

文章来源:https://dev.to/vyan/the-ultimate-guide-to-web-authentication-comparing-session-jwt-sso-and-oauth-20-in-2024-2og0
Devto 翻译
PREV
React 19 的新功能:深入了解最新功能
NEXT
2024 年 API 架构终极指南:为您的项目选择正确的方法