Basic Auth
开放平台的两种认证方式,简单点说明就是每次请求API时都提供用户的username和password。
认证,一种是Basic Auth,一种是OAuth。
Basic Auth(HTTP Auth)
优点:
- 使用非常简单
- 开发和调试工作简单
- 没有复杂的页面跳转逻辑和交互过程
- 更利于发起方控制
缺点:
- 安全性低,每次都需要传递用户名和密码,用户名和密码很大程度上存在被监听盗取的可能
- 同时应用本地还需要保存用户名和密码,在应用本身的安全性来说,也存在很大问题
- 开放平台服务商出于自身安全性的考虑(第三方可以得到该服务商用户的账号密码,对于服务商来说是一种安全隐患),未来也会限制此认证方式(Twitter就计划在6月份停止Basic Auth的支持)
- 用户如果更改了用户名和密码,还需要重新进行密码校验的过程。
OAuth
OAuth为用户资源的授权提供了一个安全、开放的标准,将会是以后开发平台普遍遵守的,目前Twitter、Sina微博、豆瓣、Google等都提供对它的支持。它分为几个交互过程:
- 应用用APP KEY和APP SECRET换取OAuth_token;
- 应用将用户引导到服务商的页面对该OAuth_token进行授权(可能需要输入用户名和密码)
- 服务商的页面跳转回应用,应用再根据参数去服务商获得Access Token
- 使用这个Access Token就可以访问API了
优点:
- 安全性高,用户的账户和密码只需要提供一次,而且是在服务商的页面上提供,防止了Basic Auth反复传输密码带来的安全隐患;
- Access Token访问权限仅限于应用,被窃取不会影响用户在该服务商的其他服务
- Access Token即使被监听丢失了随时可以撤销,不像密码丢失可能就被别人篡改了
- 用户修改了密码也不会影响该应用的正常使用
Basic Auth的实现
var http=require('http');
http.createServer(function(req,res){
var author=req.headers['authorization'];
if(author){
var area=author.slice(6);
var parts= new Buffer(area,'base64').toString().split(':');
console.log(parts[0],parts[1]);
if(parts[0]==parts[1]){
res.write("welcome");
res.end();
}else{
res.setHeader('WWW-Authenticate','Basic realm="Secure Area"');
res.writeHead(401);
return res.end();
}
}else{
res.setHeader('WWW-Authenticate','Basic realm="Secure Area"');
res.writeHead(401);
return res.end();
}
if(req.url!='/favicon.ico'){
var filename=req.url.slice(1);
res.end();
}
}).listen(8999);