本文最后更新于 2024年1月27日。
Token-based认证方式相较于HTTP Basic Auth具有以下几个优势:
-
安全性:在HTTP Basic Auth中,客户端需要在每次请求时都发送其凭据(通常为用户名和密码)。这些凭证在每次传输时都可能被截获。而使用Token-based认证,用户的凭据只在首次获取token时传输,之后只需传输token即可,增加了安全性。
-
无状态性:Token-based认证是无状态的,这意味着你的服务器不需要保存用户的验证信息来处理请求。事实上,你的应用不需要知道用户是谁,只需要知道他们的请求是否已获授权。这可以降低服务器负担,提高性能。
-
可扩展性:Token-based认证在一个分布式系统中更为便捷,它可以让你的应用轻松扩展到多个服务器而不需要共享Session状态。
-
移动应用友好:Token-based认证对于移动应用开发者来说,能更好地处理基于用户名/密码的认证方式的挑战。
-
跨程序调用:基于Token的认证使跨程序调用变得简单。这是因为你只需在请求的Authorization header中插入token,而无需考虑请求是来自哪个服务器/哪个域。
-
基于声明的权限:一旦登录,后续的所有请求将会包含JWT,允许用户访问路由、服务和资源,同时将用户身份和角色嵌入到JWT中,以实现基于声明的权限。
这些优势使Token-based认证成为现代应用开发中一种非常流行的认证方式。