文章目录One Time Password一次性密码平台认证Basic Authentication 基本认证Digest Auth 摘要认证NTLM认证协议Kerberos 网络身份验证协议Token Authentication 令牌认证OAuth Authentication 第三方授权登录API Key AuthenticationSession-Cookie 会话认证ip白名单/白名单认证指纹/设备唯一标识认证无密码认证(Magic Link / 免密登录)HMAC 签名认证哈希消息认证码mTls 双向证书认证SSO(CAS/SAML) 单点登录MFA 多因素认证2FA双因素认证RBAC 基于角色的访问控制权限管理的两种类型菜单管理的实现逻辑后台管理系统权限设计One Time Password一次性密码平台认证Basic Authentication 基本认证是http协议内置的最简单的身份认证方式常用与内网接口、测试环境、简单后台鉴权。公网必须用HTTPS客户端将用户名和密码拼接成字符串admin:123456 base64编码: YWRtaW46MTIzNDU2放在请求头Authorization中格式:Basic 编码后的字符串如: Authorization: Basic YWRtaW46MTIzNDU2服务端拿到后解码校验用户名和密码是否正确校验通过则正常相应失败返回401 Unauthorized服务器验证返回相应的资源和处理结果Digest Auth 摘要认证核心原理Basic Auth的升级版密码不直接Base64传输而是通过哈希摘要校验。特点兼容HTTP基础协议、比Basic安全、无需额外Header。适用场景老旧系统、简单内网后台、替代不安全的Basic Auth。安全评级⭐⭐⭐客户端如何使用 Digest Auth1.发送初步请求获取 challenge 参数importaxiosfromaxios// 初始请求资源URLconsturlhttp://example.com/protected// 第一次请求预期会失败并获得 401 和 WWW-Authenticate 头axios.get(url).catch((error){if(error.responseerror.response.status401){constwwwAuthenticateerror.response.headers[www-authenticate]constauthDetailsparseWWWAuthenticate(wwwAuthenticate)performDigestAuth(authDetails,url)}})// 解析认证头信息的函数functionparseWWWAuthenticate(header){constpartsheader.split(,)constdetails{}parts.forEach((part){const[key,value]part.split()details[key.trim()]value.replace(//g,)})returndetails}2.使用认证参数和用户信息计算响应发起认证请求functionperformDigestAuth(authDetails,url){// 认证参数 authDetails 中包含realm, nonce等constusernameyour_usernameconstpasswordyour_passwordconstcnoncegenerateCNonce()constnc00000001// Nonce count, 多次请求时递增constresponsecalculateDigestResponse(authDetails,username,password,cnonce,nc,)// 构造 Authorization 头constauthHeaderDigest username${username}, realm${authDetails.realm}, nonce${authDetails.nonce}, uri${url}, response${response}, opaque${authDetails.opaque}, qop${authDetails.qop}, nc${nc}, cnonce${cnonce}// 使用摘要认证信息再次发起请求axios.get(url,{headers:{Authorization:authHeader}}).then((response){console.log(Authenticated Request Successful,response.data)}).catch((error){console.log(Authenticated Request Failed,error)})}functiongenerateCNonce(){returnMath.random().toString(36).substring(7)}functioncalculateDigestResponse(authDetails,username,password,cnonce,nc){// 需要根据RFC 7616实现摘要计算// 示例仅为演示目的// 通常会涉及到MD5或其他散列函数生成responsereturnCalculated response hash here}NTLM认证协议一、核心定义NTLMNT LAN Manager 是微软开发的质询-响应Challenge-Response 认证协议是 Windows 传统默认认证不传输明文密码仅通过密码哈希完成验证用于本地登录、工作组、域内降级认证、SMB共享、IIS网站等场景。现状Win2000后域环境默认KerberosNTLM仅作降级兜底客户端/服务端不支持Kerberos、非域环境、跨网段 。二、核心原理客户端仅发送用户名明文不发密码服务端生成随机Challenge16字节随机数 下发客户端用NTLM Hash加密Challenge生成Response回传服务端域环境则转发域控DC比对Response一致则认证通过 。三、认证流程极简3步握手协商Negotiate客户端发 NTLM_NEGOTIATE 声明支持版本与能力质询Challenge服务端返回随机Challenge响应Authenticate客户端用NTLM Hash加密Challenge生成Response服务端/DC验证通过即认证成功 。域环境完整流程客户端→服务端→DC客户端发用户名给服务端服务端生成Challenge并返回客户端用NTLM Hash加密Challenge生成Response服务端将「用户名ChallengeResponse」转发DCDC从SAM库取用户NTLM Hash本地计算Response并比对DC返回结果服务端通知客户端认证结果。四、两个版本安全差异极大NTLMv1弱加密算法弱易彩虹表、中继攻击哈希长度24字节可快速爆破建议生产环境禁用。NTLMv2强推荐引入随机盐时间戳防重放哈希算法升级抗破解Windows默认推荐组策略可强制启用v2。五、核心特点优点兼容性极强适配所有Windows版本无需第三方组件配置简单非域/工作组环境唯一可用Windows认证不传输明文密码基础安全性有保障。缺点单向认证客户端无法验证服务端真伪易钓鱼无票据机制每次访问需重复认证效率低存在哈希传递PtH、中继攻击高危漏洞无凭据委派不支持跨域深度信任依赖NetBIOS跨网段/防火墙体验差Kerberos 网络身份验证协议Token Authentication 令牌认证方案1JWT(无状态Token)方案2: 随机TokenRedis有状态小型项目、简单系统用JWT大型项目、需要注销、踢人Redis随机Token用户提交账号密码登录成功返回令牌如JWT前端把Token存在LocalStorage/SessionStorage/Cookie中前端端每次请求请求头带上Token放在请求头Authorization中格式:Bearer token如果令牌是有效的就认为客户已经登录过了从令牌中提取客户的非敏感关键信息如用户编号根据用户信息查询用户所拥有的资源返回结果OAuth Authentication 第三方授权登录OAuth不是登录是授权微信登录、QQ登录、Github登录、Google登录OAuth不传递账号密码只传递授权凭证OAuth里常见的三个令牌code授权码一次性换token用access_token短期用来访问用户资源refresh_token: 长期access_token过期后刷新用用户点击微信登录跳转到微信授权页用户同意授权微信返回授权码code给客户端客户端拿着code去微信换取access_token拉取用户信息登录成功客户端自己生成JWT/Session给用户API Key AuthenticationSession-Cookie 会话认证核心原理服务端生成Session ID写入Cookie客户端每次请求自动携带Cookie。特点传统Web最常用、简单、有状态、依赖Cookie。适用场景单体Web项目、管理后台、PC网站登录。安全评级⭐⭐⭐配合HttpOnly、Secure后可到⭐⭐⭐⭐ip白名单/白名单认证核心原理服务端配置允许访问的IP列表仅指定IP可调用接口。特点最简单、无侵入、防外部访问。适用场景内网接口、服务间调用、内部管理接口。安全评级⭐⭐仅防外部无法防内部泄露指纹/设备唯一标识认证核心原理客户端采集设备ID、指纹、系统信息生成唯一标识服务端绑定校验。特点防多设备登录、防账号共享、防批量注册。适用场景APP登录、移动端接口、防刷接口。安全评级⭐⭐⭐无密码认证(Magic Link / 免密登录)核心原理通过邮箱/短信发送一次性链接或验证码点击即可登录无需密码。特点用户体验好、无需记忆密码。适用场景个人网站、SaaS产品、移动端免密登录。安全评级⭐⭐⭐⭐HMAC 签名认证哈希消息认证码核心原理客户端用「请求参数 时间戳 随机串 密钥」做哈希签名服务端用相同规则校验签名。特点密钥不传输、防篡改、防重放、防参数伪造。适用场景对外公开API、高安全接口、支付回调、数据同步接口。安全评级⭐⭐⭐⭐⭐比API Key安全很多mTls 双向证书认证核心原理客户端和服务端都持有SSL证书双向校验身份基于TLS层认证。特点底层加密、防中间人攻击、高安全、无Token泄露风险。适用场景微服务内部通信、金融、政务、物联网设备、内网核心服务。安全评级⭐⭐⭐⭐⭐最高级别SSO(CAS/SAML) 单点登录核心原理基于标准协议的跨系统单点登录一次认证多系统通行。特点企业级、标准化、跨域、跨系统。适用场景企业内部系统、高校平台、政府门户、多产品统一登录。安全评级⭐⭐⭐⭐MFA 多因素认证核心原理组合两种以上认证方式如密码OTP设备指纹。特点叠加安全、防止单一方式泄露。适用场景后台管理、支付、敏感操作、企业账号。安全评级⭐⭐⭐⭐⭐2FA双因素认证一、核心定义双因素认证2FA 是一种双重验证的安全机制。登录时用户必须同时提供两种不同类型的身份凭证才能完成认证。核心逻辑「你知道的」「你拥有的」即使密码泄露黑客没有你的手机也无法登录。二、认证三要素2FA 从这里来安全认证的依据分为三类2FA 就是任意两种的组合知识因素Something you know你知道的密码、PIN码、密保问题。持有因素Something you have你拥有的手机、硬件令牌、U盾、验证码器。生物因素Something you are你本身指纹、人脸、虹膜。最常见组合密码知道 手机验证码拥有三、常见 2FA 实现方式按安全等级排序短信验证码SMS 2FA原理输完密码手机收 6 位数字短信。优点最简单、无需安装软件、普及率最高。缺点安全性最弱易被SIM卡劫持补卡攻击、短信嗅探。软件令牌TOTP主流推荐工具Google Authenticator、Microsoft Authenticator、阿里云/腾讯云令牌。原理基于时间同步每30秒生成一个动态6位密码断网也能用。优点安全性极高不依赖运营商无法被短信劫持。缺点手机丢了需要备份密钥。推送确认Push 2FA原理登录时手机APP弹窗「是否允许登录」点确认即可。优点体验最好不用输数字。缺点需要联网。硬件令牌Hardware Key / U盾工具YubiKey、银行U盾。原理物理插入设备通过硬件加密芯片验证。优点绝对安全无法远程劫持。缺点成本高、携带不便。四、2FA 完整认证流程第一层知识用户输入账号 密码第一道门槛。触发验证密码正确后系统不直接放行要求二次验证。第二层持有用户输入手机收到的动态验证码或APP动态码。认证通过双重校验全部正确才允许登录系统。RBAC 基于角色的访问控制RBAC Role-Based Access Control基于角色的访问控制。一、核心一句话RBAC 不是认证协议而是权限模型。用户登录Form/OAuth2/NTLM/Kerberos只是认证认证成功后根据角色决定你能访问哪些接口/页面这就是 RBAC 授权。二、核心概念四要素用户 User账号、人角色 Role身份标签如 admin 、 teacher 、 student 、 guest权限 Permission具体操作如 user:add 、 order:delete 、 system:config资源 Resource接口、页面、按钮、菜单关系用户 → 角色 → 权限 → 资源三、流程最简版用户登录认证账号密码、2FA、Kerberos 都行认证通过后系统查出该用户的角色角色绑定了权限列表访问接口时拦截器检查当前角色是否拥有该接口权限有权放行无权限拒绝403一句话前面所有方式只负责“你是谁”RBAC 负责“你能干嘛”。四、RBAC 的四种经典模型RBAC0基础用户–角色–权限最常用RBAC1分层角色角色可继承RBAC2约束互斥角色、会话限制RBAC3统一分层约束企业级最复杂后端开发 99% 用 RBAC0 就够。五、数据库表设计通用user 用户表role 角色表user_role 用户角色关联表多对多permission 权限表role_permission 角色权限关联表多对多六、代码层面SpringBoot Security 为例登录成功返回用户角色 ROLE_ADMIN 、 ROLE_USER接口注解控制权限PreAuthorize(hasRole(ADMIN))GetMapping(/admin)publicStringadmin(){return管理员页面;}拦截器自动校验无角色直接 403。权限管理的两种类型菜单权限控制用户能够访问的菜单项通常以目录或菜单的形式展示。操作权限控制用户能够执行的具体操作通常以按钮或接口的形式实现。菜单管理的实现逻辑菜单管理的核心功能是展示系统中的菜单项与权限集合。在实际项目中菜单管理通常通过以下步骤实现查询权限集合在用户登录时系统会根据用户的角色查询其拥有的权限集合。生成菜单树根据权限集合生成菜单树展示用户能够访问的菜单项。展示菜单将菜单树以树形结构展示在前端界面中。后台管理系统权限设计一句话模型给用户分配角色→ 角色绑定权限→ 权限控制能访问哪些菜单项而这些菜单项通常组织成目录树