细说RESTful API安全之认证授权

认证授权包含2个方面： （1）访问某个资源时必须携带用户身份信息，如：用户登录时返回用户access_token，访问资源时携带该参数。 （2）检查用户是否具备访问当前资源（url或数据）的权限：访问资源时检查用户权限。

在REST架构中，access_token被定义为用户身份标识，用于对资源访问授权，只允许系统合法用户访问资源。具体来说： - 必须在每次访问时都携带access_token参数，参数位置可以位于HTTP消息头（HTTP Basic Authentication），也可放在请求参数列表中。 - 如果在访问请求中不存在access_token参数，或者验证access_token不合法（不存在或者不正确），拒绝访问，必须强制用户登录。

如何生成安全有效的用户access_token？ acces_token作为用户身份标识，必然与数据库中的用户一一对应，即：<access_token : user_id>。 在网络通信中，一切数据都是透明的，都能被抓包截获，所以必须保证access_token具备如下特性： 1. access_token需要满足分布式环境下的全局唯一性。 2. access_token中不应该包含用户信息，如果将用户id编码到access_token中很容易泄露系统用户信息（通常用户id都是自增长的，很容易曝露系统当前用户规模等信息）。 3. access_token应该是动态变化的，即：用户每次登录时得到的access_token值都与上一次登录不同。这样保证参数没有规律性，避免被用于网络攻击。 4. access_token应该具备一定特征，用于参数合法性验证，如：长度必须满足30个字符。

参照如上需求，可以按照如下方式设计access_token： （1）用户登录时，动态生成UUID作为该用户的access_token，同时以access_token为key，用户id为value存入redis。 （2）用户访问资源时携带access_token，解析验证请求参数。 （3）如果access_token在redis中不存在，则说明用户还未登录，强制用户登录；转到（1）。 （4）如果access_token不合法（如字符长度不满足），强制用户重新登录；转到（1）。 （5）验证access_token通过，继续其他权限验证或者资源访问。

此外，根据业务场景可以作如下约定以增强access_token安全性： 1. 设置access_token超时时间，即：超过一定时间之后就必须让access_token失效，强制用户重新登录。 2. 使用HTTP Basic Authentication，将access_token放在http消息头中而不是直接放在请求参数里，这样做更加规范。 3. 由于UUID会使用时间戳，所以需要对集群内服务器进行时钟同步。

注意： JDK提供的默认UUID实现是基于名字空间的UUID（UUID Version 3）和基于伪随机数的UUID（UUID Version 4），很难保证在分布式环境下是全局唯一的。一个可选的开源Java UUID实现组件： https://github.com/cowtowncoder/java-uuid-generator Java Uuid Generator (JUG)，提供基于时间和MAC地址的UUID Version 1实现

当然，如果在实际的业务系统中能保证名称唯一，比如用户手机或者邮箱，那么可以直接使用JDK基于名称空间的UUID V3实现。

之所以选择UUID作为access_token实现，基于如下考虑： （1）性能：UUID生成在本地完成，高效。 （2）简单有效：只要保证access_token全局唯一即可，且可以动态变化。

实际上，实现认证最优雅的方式应该是使用JWT，这是一个Token标准。

【参考】 https://zh.wikipedia.org/wiki/%E9%80%9A%E7%94%A8%E5%94%AF%E4%B8%80%E8%AF%86%E5%88%AB%E7%A0%81 UUID https://www.zhihu.com/question/34876910 UUID是如何保证唯一性的？ http://blog.csdn.net/fengshizty/article/details/48754609 App开放接口api安全性—Token签名sign的设计与实现 http://www.cnblogs.com/QLeelulu/archive/2009/11/22/1607898.html 访问需要HTTP Basic Authentication认证的资源的各种语言的实现 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Authorization https://zxc0328.github.io/2015/11/04/http-basic-auth/ Http Basic Authorization的使用