文／陈计节

　　朋友就职于某大型互联网公司。前不久，在闲聊间我问他日常工作的内容，他说他所在部门只负责一件事，即用户与登录。

　　而他的具体工作则是为各个业务子网站提供友好的登录部件（Widget），从而统一整个网站群的登录体验，同时也能令业务开发者不用花费额外的精力去关注用户鉴权。这很有趣。

　　可以看出，在一个现代Web应用中，围绕“登录”这一需求，俨然已经衍生出了一个新的工程。不管是我们面临的需求，还是解决这些需求所运用的方法与工具，都已经超出了传统Web应用身份验证技术的范畴。

　　在文章中，我聊到传统Web应用中的身份验证技术，文章中列出的一些方法将在未来很长一段时间内，为满足大量的Web应用中身份验证的需求提供了思路。在这篇文章里，atv，我将简要介绍现代Web应用中几种典型的身份验证需求。

　　形式多样的鉴权

　　考虑这样一个场景：我们在电脑上登录了微软账号，就可以使用Outlook邮件服务了，同时电脑里的“邮件”应用能够自动同步邮件；我们登录Web版本的Outlook邮件服务，如果在邮件里发现了重要的工作安排，将其添加到日历中，很快电脑里的“日历”应用便能够将这些日程显示到Windows桌面上。

　　这个场景包含了多个鉴权过程。至少涉及了对Web版本Outlook服务的鉴权，也涉及了对离线版本的邮件应用的鉴权。要能够支持同一批用户既能够在浏览器中登录，又能够在移动端或本地应用登录（例如 Windows UWP 应用程序），就需要开发出能够为两种应用程序服务的鉴权体系。

　　在浏览器里，开奖，我们通常假设用户不信任浏览器，用户通过与服务器建立的临时浏览器会话完成操作。会话开始时，用户被重定向到特定页面进行登录。登录完成后，用户通过持续与服务器交互来延续临时会话的时长；一旦用户一段时间不与服务器交互，则他的会话很快就会过期（被服务器强制登出）。

　　在移动应用中，情况有所不同。相对来说，安装在移动设备中的应用程序更受用户信任，移动设备本身的安全性也比浏览器更好。另一方面，将用户重定向到一个网页去登录的做法，并不能提供很好的用户体验——更重要的是，用户在使用移动设备时，时间是碎片化的。我们无法要求用户必须在特定时间内完成操作，也就基本没有会话的概念：我们需要找到一种能够安全地在设备中相对持久地存储用户凭据的方法，并且Web应用服务器可能需要配合这种方式来完成鉴权。此外，移动设备也不是绝对安全的，一旦设备丢失，将给用户带来安全风险。所以需要在服务器端提供一种机制来取消已登录设备的访问权限。

　　（图片来自：

　　方便用户的多种登录方式

　　“输入用户名和密码”作为标准的登录凭据被广泛用于各种登录场景。不过，在Web应用、尤其是互联网应用中，网站运营方越来越发现使用用户名作为用户标识确实给网站提供了便利，但对用户来说却并不是那么有帮助：用户很可能会忘记自己的用户名。

　　用户在使用不同网站的过程中，为了不忘记用户名，只好使用相同的用户名。如果恰好在某个网站遇到了该用户名被占用的情况，他就不得不临时为这个网站拟一个新的用户名，于是这个新用户名很快就被忘记了。

　　在注册时，越来越多的网站要求用户提供电子邮箱地址或者手机号码，有的网站还支持让用户以多种方式登录。比如，提供一种让用户在使用了一种方式注册之后，还能绑定其他登录方式的功能。绑定完成之后，用户可以选用他喜欢的登录方式。它隐含了一个网站与用户共同的认知：联系方式的拥有者即为用户本人，这种“从属”关系能够用于证实用户的身份。当用户下次在注册新网站时遇到“邮件地址已被注册”，或者“手机号已被注册”的时候，基本可以确定自己曾经注册过这个网站了。

　　（图片来自：