登录与授权

登录和授权

Cookie

服务器希望客户端存储在客户端本地的数据

XSS：HttpOnly 只允许网站访问cookie，禁止其它网站的JS获取cookie内容

XSRF：Referer 标志Cookie来源，防止被其他来源的cookie攻击

Authorization

• Basic

  格式：Authorization: Basic <username:password(Base64ed)> 就是Basic + 空格+ 用户名：密码的base64转码

• Bearer：

  格式：Authorization: Bearer

  OAuth2：第三方授权与登录，已掘金用github账号为例，去github申请client_id，掘金前端进行第三方登录时传入，github返回Authorization code，然后掘金前端传给自家服务器，服务器向github发送Authorization code与client_secret（也是与client_id一同申请下来），然后github返回access_token，掘金后端使用此token从github获取用户信息并登录，发送格式为上方bearer格式

• Refresh Token