miller
发布于

HMAC 认证方式

HMAC(Hash-based Message Authentic Code),即基于hash的消息认证码,它使用哈希算法,以一个密钥和一个消息作为输入,生成一个消息摘要作为输出,服务端通过对比发送的摘要和自己生成的摘要是否相同完成认证。

HMAC(AK/SK)

HMAC预先生成一个access key(AK)和secure key(SK),然后客户端通过使用AK和SK以及可能存在的偏移量iv对一段消息文本进行签名,客户端发送AK和签名,服务端使用AK和SK以及偏移量iv重新签名,通过对比两个签名是否一致的方式完成认证请求。这种方式避免传输secure key,且大多数情况下只允许使用一次,避免了重放攻击。

类比 云信API. 云信IM链接
申请APPID, 然后每次请求 header 携带 timestap + signature


在API的研发中心有3个概念,认证,授权,凭证。 知乎 说话好巢

  • 1:HMAC(AK/SK) 是一种认证方式,相较于传统的传输账户密码,它避免了密码的传输,并且因为有加密,时间等因素存在。避免了数据串改,重放攻击等问题。AK其实就是用户名,用来标识调用API者的身份。SK是秘钥,用来加密,通过对比加密结果,来判断SK是否对的上。

  • 2:JWT是凭证的一种,相较于简单的TOKEN,可以理解其是一种复杂的TOKEN,TOKEN本身通过解密可以获取用户信息。比如 用户张三,29岁。我编码后是 ASDASDASDA,这个TOKEN解密后能还原张三,29岁这样的信息。

  • 3:OAuth 2.0 是授权

在实际应用中,比如我们去调用腾讯的接口,我们先要通过AK/SK完成认证,也就是告诉腾讯,我们是XXX!如果腾讯在数据库里找到了你的信息,你就认证通过了。这个时候我们可以访问一些公共的资源,或者属于开发者的资源!

但是如果你要访问腾讯其他用户的资料,则需要获取用户的授权。比如老王要授权你去读取它QQ空间的照片。这里通过OAUTH2.0完成授权获取token。 这个TOKEN就是你获取授权的一个凭证,你可以拿来读取老王的照片!

认证解决的是身份辨识的问题,知道谁在调用接口!

授权解决的是权限的问题,知道你能调哪些接口。(对于默认开放的借口,也可以不要授权)

token是凭证,JWT又是生成token的一种具体方法。

浏览 (195)
点赞
收藏
评论