什么叫做鉴权

1. 什么叫做鉴权

用户鉴权
  用于用户登陆到DSMP或使用数据业务的时候，业务网关或Portal发送此消息到DSMP，对该用户使用数据业务的合法性和有效性（状态是否为激活）进行检查。根据业务网关和Portal中用户进入方式的不同，提供四种方式的用户鉴权：
   1、 根据用户的MSISDN号码进行鉴权
  2、 根据用户的伪码进行鉴权
   3、 根据用户的MSISDN号码和密码进行鉴权
   4、 根据用户的伪码和密码进行鉴权
   不同的鉴权模式，AuthType(鉴权方式)填写不同的值，具体采用哪种方式，请参看各网元设备对应的接口规范分册的参考流程。
   一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法，所述方法包括：为用户分配用于访问各个服务的多个服务专用标识；从所述用户发出请求，该请求标识出将要访问的服务并且包含该用户的公开密钥；在认证机构处，对所述请求进行鉴权，发出用于将所述服务专用标识与所述请求中的公开密钥绑定的公开密钥证书，并且将所述公开密钥证书返回给所述用户。

2. 鉴权这个词是什么意思

鉴权 [ jiàn quán ]：是指验证用户是否拥有访问系统的权利。
英文翻译：authentication
鉴权主要用来验证用户是否拥有访问系统的权利，涉及的领域主要是信息科学。以前人们都通过密码验证进行鉴权，但是由于密码经常会被忘记或者遗失，所以这种方式并不可靠。
为了克服这种鉴权方式的缺点，需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。

扩展资料：
（一）鉴权的作用：
使用鉴权可以用来识别出非法用户。用户鉴权，是对试图接入网络的用户进行鉴权，审核其是否有权访问网络。通过用户鉴权可以保护网络，防止非法盗用；同时通过拒绝假冒合法客户的“入侵”而保护该网络中的客户。
（二）生活中常用的鉴权方式：
1、HTTP Basic Authentication：
它是 Authentication( 认证 ) 中最简单的方法。长期以来，这种认证方法被广泛的使用。当你通过 HTTP 协议去访问一个使用 Basic Authentication 保护的资源时，服务器通常会在 HTTP 请求的 Response 中加入一个"401 需要身份验证"的 Header，来通知客户提供用户凭证，以使用资源。
2、session-cookie：
在网络上，临时cookie为用户浏览器关闭时消失的含有用户有关信息的小文件，有时也称通话cookie。跟永久cookie不一样，临时cookie不保存在硬盘驱动器而是存在临时存储器中，当浏览器关闭时，将被删除。
3、Token 验证：
Token是一个用户自定义的任意字符串。在成功提交了开发者自定义的这个字符串之后，Token的值会保存到微信后台。只有服务器和微信后台知道这个字符串，于是Token就成了这两台服务器之间的密钥，它可以让公众账号服务器确认请求是来自微信后台还是恶意的第三方。
4、OAuth(开放授权)：
OAuth（开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。
参考资料来源：百度百科-鉴权

3. 鉴权过期是什么意思

鉴权是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是，每个获得密码的用户都已经被授权。在建立用户时，就为此用户分配一个密码，用户的密码可以由管理员指定，也可以由用户自行申请。法律依据：《中华人民共和国民事诉讼法》第七十六条当事人可以就查明事实的专门性问题向人民法院申请鉴定。当事人申请鉴定的，由双方当事人协商确定具备资格的鉴定人;协商不成的，由人民法院指定。当事人未申请鉴定，人民法院对专门性问题认为需要鉴定的，应当委托具备资格的鉴定人进行鉴定。第七十七条鉴定人有权了解进行鉴定所需要的案件材料，必要时可以询问当事人、证人。鉴定人应当提出书面鉴定意见，在鉴定书上签名或者盖章。第七十八条当事人对鉴定意见有异议或者人民法院认为鉴定人有必要出庭的，鉴定人应当出庭作证。经人民法院通知，鉴定人拒不出庭作证的，鉴定意见不得作为认定事实的根据;支付鉴定费用的当事人可以要求返还鉴定费用。第七十九条当事人可以申请人民法院通知有专门知识的人出庭，就鉴定人作出的鉴定意见或者专业问题提出意见。第八十条勘验物证或者现场，勘验人必须出示人民法院的证件，并邀请当地基层组织或者当事人所在单位派人参加。当事人或者当事人的成年家属应当到场，拒不到场的，不影响勘验的进行。有关单位和个人根据人民法院的通知，有义务保护现场，协助勘验工作。勘验人应当将勘验情况和结果制作笔录，由勘验人、当事人和被邀参加人签名或者盖章

4. 常见的鉴权方式，你真的不想知道吗

鉴权是指验证用户是否有权利访问系统的行为。
  
 常见的鉴权方式有以下4种方式：
  
 这是HTTP协议实现的基本认证方式，我们在浏览网页时，从浏览器正上方弹出的对话框要求我们输入账号密码，正是使用了这种认证方式。
                                          
 认证成功后，客户端每次发送请求都会带上Authorization头部参数，除了使session过期外，客户端如何主动注销登录呢？下面是一种解决方案：
   首先需要服务端专门设置一个专门用于注销的账号，客户端主动去修改请求头Authorization信息，当服务端读取到是这个专用于注销的账户，就执行注销流程。
  
 这种认证方式存在缺陷，首先它把加密后的账密直接放在请求头，加上base64加密的方式是可逆的，这样账密就容易泄露。所有这种认证方式一般用于对安全要求性不高的系统上。
  
 token验证比较灵活，适用于大部分场景。
   常用的token鉴权方式的解决方案是JWT，JWT是通过对带有相关用户信息的json进行加密，加密的方式比较灵活，可以根据需求具体设计，这里就不做过多介绍。
  
 请看--》 java web cookie和session 
  
 session一般是存在内存里的，随着用户的增多，服务器的开销也明显变大了。
  
 以上问题可以通过适当增加服务器来满足需求，但这样session的认证方式就会出现问题，比如已登录的用户session存在服务器A上，可是由于负载均衡，下次请求到了另一台服务器B上，服务器B没有保存session，则又要求用户再次登录，这明显是不合理的。
  
 Tomcat服务器提供了集群之间session共享的解决方案，不同服务器之间通过复制更新session的方式来共享session，但如果集群的数量很多，检查和复制的行为会占去一定资源，因此这种方式在服务器比较多的情况下是不理想的。
  
 如果通过哈希的方式某个用户请求路由到某一台服务器上，那么这个用户只需在这台服务器上保存session，可以解决上述问题，但同时这也限制了集群负载均衡的能力，可能会出现某一时刻，大量的请求到达某一台服务器，但是其他服务器又相对空闲的情况。
  
 最后一点，由于sessionid是基于cookie存储的方式保存，如果cookie被截获，用户就容易受到跨站请求伪造的攻击，这是不安全的。
  
 请看--》 身份认证系统OAuth2的四种模式

5. 鉴权的鉴权时机

移动网络对鉴权时机的要求为：  2G、3G网络中，鉴权发生在开机、呼叫、位置更新以及在补充业务的激活、去活、登记或删除操作之前。  2G网络中，运营商都是启用的“按比例鉴权”方案。  3G网络中，用户首次接入网络必须鉴权，此后启用“按比例鉴权”方案。  IMS网络中，网络可以通过注册或重注册过程，在任何时候对用户进行鉴权。

6. 鉴权的鉴权过程

我们以3G UMTS网络鉴权为例，看看网络和用户分别是怎么鉴权的。   当用户购机入网时，运营商将IMSI（International Mobile Subscriber Identity，国际移动用户标识）和用户鉴权键Ki一起分配给用户，同时将该用户的IMSI和Ki存入AUC（Authentication Center，鉴权中心），这样鉴权参数信息存储在手机的USIM（UMTS Subscriber Identity Module，UMTS用户身份模块）卡和AUC中。  VLR（Visitor Location Register，拜访位置寄存器）从AUC获得用户的鉴权数据，MSC（Mobile Switching Center，移动交换中心）/VLR从鉴权数据中选取一组未使用过的鉴权参数。MSC/VLR向手机发起鉴权请求。请求消息中携带所选取的鉴权参数中的RAND、AUTN和CKSN参数。  手机中的USIM根据收到的RAND和自己保存的IMSI、Ki一起计算出XMAC，与从网络侧收到的AUTN中的MAC值进行比较。如果相同，继续验证接收到的AUTN中序列号SQN是否在有效的范围内。序列号SQN的设置是为了防止他人冒充网络，利用截获的、旧的鉴权参数AUTN欺骗用户。如果SQN有效，则认为这是个合法网络，网络鉴权成功。手机计算出RES，并将RES发送给MSC/VLR/SGSN。否则若发现SQN值无效时，手机会向网络报错并且触发网络与手机间的SQN重新同步过程。如果SQN同步失败或者MAC值不同，则网络鉴权失败。  MSC/VLR将自己用RAND、IMSI和Ki算出的XRES与手机返回的RES进行比较。如果相同，则认为用户合法，用户鉴权成功，网络允许手机接入；否则认为用户不合法，用户鉴权失败，拒绝为其服务。

7. 鉴权模式的区别

区别在于认证过程.1.PAP是简单认证,明文传送,客户端直接发送包含用户名/口令的认证请求,服务器端处理并回应.2.CHAP是加密认证,先由服务器端给客户端发送一个随机码challenge,客户端根据challenge对口令进行加密,算法是md5(password,challenge,ppp_id).然后把这个结果发送给服务器端.服务器端从数据库中取出口令password2,同样进行加密处理md5(password2,challenge,ppp_id),最后比较加密的结果是否相同.如相同,则认证通过,向客户端发送认可消息

8. 四种常用鉴权方式

 由于http 协议是一种无状态的协议，服务器端并不知道客户端的那一头是谁在请求服务器。而且服务器上的资源不一定是对所有人开放，所以需要进行用户对登录鉴权。目前，我们在开发中主要使用过4 种鉴权方式。
   这种授权方式是浏览器遵守http协议实现的基本授权方式。
    优点 　基本上所有流行的网页浏览器都支持基本认证。基本认证很少在可公开访问的互联网网站上使用，有时候会在小的私有系统中使用（如路由器网页管理接口）。后来的机制HTTP摘要认证是为替代基本认证而开发的，允许密钥以相对安全的方式在不安全的通道上传输。　程序员和系统管理员有时会在可信网络环境中使用基本认证，使用Telnet或其他明文网络协议工具手动地测试Web服务器。这是一个麻烦的过程，但是网络上传输的内容是人可读的，以便进行诊断。
    缺点 　虽然基本认证非常容易实现，但该方案创建在以下的假设的基础上，即：客户端和服务器主机之间的连接是安全可信的。特别是，如果没有使用SSL/TLS这样的传输层安全的协议，那么以明文传输的密钥和口令很容易被拦截。该方案也同样没有对服务器返回的信息提供保护。　现存的浏览器保存认证信息直到标签页或浏览器被关闭，或者用户清除历史记录。HTTP没有为服务器提供一种方法指示客户端丢弃这些被缓存的密钥。这意味着服务器端在用户不关闭浏览器的情况下，并没有一种有效的方法来让用户注销。
   优缺点
    session-cookie的缺点    （1）认证方式局限于在浏览器中使用， cookie  是浏览器端的机制，如果在app端就无法使用  cookie 。   （2）为了满足全局一致性，我们最好把  session  存储在  redis  中做持久化，而在分布式环境下，我们可能需要在每个服务器上都备份，占用了大量的存储空间。   （3）在不是  Https  协议下使用  cookie  ，容易受到 CSRF 跨站点请求伪造攻击。
   token 是一个令牌，当浏览器第一次访问服务端时会签发一张令牌，之后浏览器每次携带这张令牌访问服务端就会认证该令牌是否有效，只要服务端可以解密该令牌，就说明请求是合法的。一般 token 由用户信息、时间戳和由 hash 算法加密的签名构成。
    优点 ：   （1） token  认证不局限于  cookie  ，这样就使得这种认证方式可以支持多种客户端，而不仅是浏览器。且不受同源策略的影响。   （2）不使用  cookie  就可以规避CSRF攻击。   （3） token  不需要存储， token  中已包含了用户信息，服务器端变成无状态，服务器端只需要根据定义的规则校验这个  token  是否合法就行。这也使得  token  的可扩展性更强。
    缺点 ：   （1）加密解密消耗使得  token  认证比  session-cookie  更消耗性能。   （2） token  比  sessionId  大，更占带宽。
   由于app没有浏览器无法存储cookie，故出现了OAuth，且允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息，与以往的授权方式不同之处是OAuth的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAuth是安全的。