FrontEnd Interview

Appearance

前端身份认证常用方式与授权最佳实践

一、前端身份认证常用方式

身份认证是验证用户身份的过程,前端作为用户交互入口,需要与后端配合实现安全可靠的认证机制。以下是几种主流的认证方式:

1. Cookie + Session 认证

这是传统Web应用最常用的认证方式,基于服务器端会话管理。

原理

  • 用户提交账号密码后,服务器验证通过,生成唯一Session ID(会话标识),并在服务器内存或数据库中创建对应的Session(存储用户信息)。
  • 服务器通过Set-Cookie响应头将Session ID发送给客户端,客户端(浏览器)自动将其存储在Cookie中。
  • 后续请求时,浏览器自动在请求头中携带该Cookie(包含Session ID),服务器通过Session ID查找对应的Session,确认用户身份。

代码示例(流程)

http
// 1. 客户端提交登录请求
POST /api/login
Content-Type: application/json
{ "username": "user1", "password": "pass123" }

// 2. 服务器验证通过,返回Session ID(通过Cookie)
HTTP/1.1 200 OK
Set-Cookie: sessionId=abc123; HttpOnly; Secure; SameSite=Lax; Path=/
{ "success": true, "message": "登录成功" }

// 3. 后续请求自动携带Cookie
GET /api/user-info
Cookie: sessionId=abc123

优缺点

  • 优点:实现简单,浏览器自动处理Cookie,无需前端额外逻辑;Session存储在服务器,易于控制和销毁。
  • 缺点:服务器需存储Session,扩展性差(分布式系统需共享Session);受同源策略限制,跨域场景不便;Cookie可能被CSRF攻击利用(需配合SameSite等属性防御)。

适用场景:同源Web应用、中小型系统、对扩展性要求不高的场景。

2. Token 认证(以JWT为例)

Token认证是无状态认证机制,服务器不存储会话信息,而是通过加密Token传递用户身份。

原理

  • 用户登录后,服务器验证通过,生成包含用户信息(如用户ID、角色)的Token(通常用JWT格式),通过签名确保不被篡改。
  • 服务器将Token返回给客户端,客户端存储在localStoragesessionStorage或Cookie中。
  • 后续请求时,客户端在请求头(如Authorization: Bearer <token>)中携带Token,服务器验证Token的有效性(签名、过期时间)后确认身份。

JWT结构:由三部分组成(Base64编码+签名)

  • Header(头部):指定算法(如HS256)
  • Payload(载荷):用户信息和过期时间(如{ "userId": 123, "role": "user", "exp": 1690000000 }
  • Signature(签名):服务器用密钥对前两部分加密生成,用于验证Token完整性

代码示例(前端实现)

javascript
// 1. 登录成功后存储Token
async function login(username, password) {
    const res = await fetch('/api/login', {
        method: 'POST',
        body: JSON.stringify({username, password})
    });
    const data = await res.json();
    if (data.token) {
        // 存储Token(优先用HttpOnly Cookie,其次sessionStorage)
        sessionStorage.setItem('token', data.token);
    }
}

// 2. 请求时携带Token(通过axios拦截器)
import axios from 'axios';

axios.interceptors.request.use(config => {
    const token = sessionStorage.getItem('token');
    if (token) {
        config.headers.Authorization = `Bearer ${token}`;
    }
    return config;
});

// 3. 处理Token过期
axios.interceptors.response.use(
    response => response,
    error => {
        if (error.response?.status === 401) {
            // Token过期,跳转到登录页
            sessionStorage.removeItem('token');
            window.location.href = '/login';
        }
        return Promise.reject(error);
    }
);

优缺点

  • 优点:无状态,服务器无需存储会话,适合分布式系统;支持跨域(不受Cookie同源限制);可在Token中携带基础权限信息,减少数据库查询。
  • 缺点:Token一旦生成无法主动撤销(需配合黑名单机制);Payload可解码(不能存敏感信息);过长的Token会增加请求体积。

适用场景:前后端分离应用、跨域系统、移动端与Web端统一认证。

3. OAuth 2.0 认证

OAuth 2.0是授权框架,允许用户通过第三方平台(如微信、GitHub)登录应用,无需向应用暴露第三方账号密码。

核心角色

  • 资源所有者(用户):授权第三方应用访问自己的信息。
  • 客户端(应用):需要获取用户信息的应用。
  • 授权服务器:第三方平台的认证服务器(如微信开放平台)。
  • 资源服务器:第三方平台存储用户信息的服务器。

授权流程(以最常用的"授权码模式"为例)

  1. 应用引导用户跳转到第三方授权页面(如https://github.com/login/oauth/authorize?client_id=xxx&redirect_uri=xxx)。
  2. 用户在第三方平台确认授权,授权服务器生成授权码并跳回应用的回调地址(如https://myapp.com/callback?code=xxx)。
  3. 应用使用授权码向授权服务器请求访问令牌(Access Token)。
  4. 应用使用访问令牌向资源服务器请求用户信息(如用户名、头像)。
  5. 应用根据用户信息创建本地账号或直接登录。

代码示例(前端跳转逻辑)

javascript
// 引导用户到GitHub授权页面
function loginWithGithub() {
    const clientId = 'your_client_id';
    const redirectUri = encodeURIComponent('https://myapp.com/github-callback');
    const scope = 'user:email'; // 请求的权限范围
    window.location.href = `https://github.com/login/oauth/authorize?client_id=${clientId}&redirect_uri=${redirectUri}&scope=${scope}`;
}

// 回调页面处理授权码
async function handleGithubCallback() {
    const urlParams = new URLSearchParams(window.location.search);
    const code = urlParams.get('code');
    if (code) {
        // 前端将授权码发送给后端,由后端换取Access Token
        const res = await fetch('/api/github-auth', {
            method: 'POST',
            body: JSON.stringify({code})
        });
        const data = await res.json();
        if (data.token) {
            // 存储本地Token,完成登录
            sessionStorage.setItem('token', data.token);
            window.location.href = '/home';
        }
    }
}

优缺点

  • 优点:用户无需注册新账号,提升体验;应用无需存储用户密码,降低安全风险;支持精细的权限控制(通过scope)。
  • 缺点:流程较复杂;依赖第三方平台的稳定性;可能受第三方平台政策限制。

适用场景:需要第三方登录功能的应用(如社交类、工具类应用)。

4. 其他认证方式

  • 生物认证:通过指纹、人脸等生物特征认证(前端调用设备API如navigator.credentials,需配合后端验证)。
  • 多因素认证(MFA):结合密码+验证码(短信/邮箱)、密码+硬件Key等,前端需提供多因素输入界面。

二、授权的最佳实践

授权是在认证通过后,确定用户能访问哪些资源、执行哪些操作的过程。合理的授权机制可防止权限滥用。

1. 最小权限原则

核心思想:只授予用户完成其工作所必需的最小权限,避免过度授权。

实践方式

  • 按用户角色划分权限(如普通用户只能查看自己的数据,管理员可管理所有用户)。
  • 动态调整权限(如临时授权某个用户审批权限,任务完成后回收)。
  • 限制操作范围(如"修改资料"权限仅允许修改自己的资料,而非所有用户)。

代码示例(前端权限控制)

javascript
// 权限列表(由后端返回,基于用户角色)
const userPermissions = {
    canViewOwnData: true,
    canEditOwnData: true,
    canViewAllData: false, // 普通用户无此权限
    canDeleteData: false
};

// 按钮权限控制组件(Vue示例)
const PermissionButton = {
    props: ['permission', 'children'],
    render() {
        // 无权限时不渲染按钮
        if (!userPermissions[this.permission]) {
            return null;
        }
        return <button>{this.children}</button>;
    }
};

// 使用:仅管理员显示"删除"按钮
// <PermissionButton permission="canDeleteData">删除</PermissionButton>

2. RBAC模型应用

RBAC(Role-Based Access Control,基于角色的访问控制)是目前最广泛的授权模型,通过"用户-角色-权限"三层映射实现灵活授权。

模型结构

  • 用户(User):系统使用者(如"张三")。
  • 角色(Role):一组权限的集合(如"管理员"、"编辑")。
  • 权限(Permission):具体操作或资源访问权(如"删除文章"、"查看报表")。

前端实现要点

  • 登录后获取用户角色及对应的权限列表(如{ roles: ['editor'], permissions: ['editArticle', 'viewArticle'] })。
  • 基于权限列表控制UI元素显示(如无权限则隐藏按钮/菜单)。
  • 基于角色拦截路由(如非管理员访问/admin页面时跳转403)。

代码示例(React路由权限控制)

javascript
import {Navigate, Outlet} from 'react-router-dom';

// 权限路由组件
const ProtectedRoute = ({requiredRole}) => {
    const {userRoles} = useAuth(); // 从全局状态获取用户角色

    // 检查用户是否拥有所需角色
    const hasPermission = userRoles.includes(requiredRole);

    if (!hasPermission) {
        // 无权限时跳转到403页面
        return <Navigate to="/403" replace/>;
    }

    // 有权限时渲染子路由
    return <Outlet/>;
};

// 路由配置
const routes = [
    {
        path: '/admin',
        element: <ProtectedRoute requiredRole="admin"/>,
        children: [/* 管理员页面 */]
    },
    {
        path: '/editor',
        element: <ProtectedRoute requiredRole="editor"/>,
        children: [/* 编辑页面 */]
    }
];

3. 权限校验时机

权限校验需在前端和后端同时进行,前端校验提升体验,后端校验确保安全(核心)。

前端校验(体验优化)

  • UI层:隐藏无权限的按钮、菜单(避免用户看到不可用功能)。
  • 路由层:拦截无权限的路由跳转(如直接输入URL访问时)。
  • 请求层:在发送请求前检查权限,避免无效请求。

后端校验(安全核心)

  • 所有敏感接口必须验证用户权限(即使前端已隐藏入口,仍可能被恶意调用)。
  • 验证逻辑放在服务器端,不依赖前端传递的权限标识(防止篡改)。

代码示例(后端接口权限校验,Node.js)

javascript
// 权限校验中间件
const checkPermission = (requiredPermission) => {
    return (req, res, next) => {
        const {userPermissions} = req.user; // 从认证信息中获取用户权限
        if (userPermissions.includes(requiredPermission)) {
            next(); // 有权限,继续处理请求
        } else {
            res.status(403).json({error: '无权限执行此操作'}); // 无权限,返回403
        }
    };
};

// 敏感接口应用中间件
app.delete('/api/articles/:id',
    authenticate, // 先认证
    checkPermission('deleteArticle'), // 再校验权限
    (req, res) => {
        // 处理删除逻辑
    }
);

总结

前端身份认证需根据场景选择合适方式:传统同源应用可用Cookie+Session,前后端分离或跨域场景推荐Token(JWT),第三方登录首选OAuth 2.0。

授权的核心是"最小权限+RBAC模型+双重校验" :通过角色划分权限,仅授予必要权限,同时在前端优化体验、后端保障安全。记住:前端权限控制是"障眼法",后端校验才是真正的安全防线,二者缺一不可。