用户和验权

ooowl

Web系统设计
通用模块

用户鉴权

About 3 min

用户和验权

基础的概念

session

token验权

JWT验权

OAuth2权限验证

RFC 6749 - The OAuth 2.0 Authorization Frameworkopen in new window

SSO单点登录

实际上已经写过一遍单体的了，没时间整理 DRF访问控制(RBAC)、JWT认证 - 爱learn - 博客园open in new window
万字长文：深入浅出RBAC权限设计 | 人人都是产品经理open in new window
RBAC权限设计open in new window
手机验证码登录原理、风险和应对策略 - 萤火架构 - 博客园open in new window
单点登录SSO、OAuth、LDAP、CAS的流程与应用_ldap oauth-CSDN博客open in new window
Fetching Title#8oecopen in new window 【Cookie、Session、Token、JWT一次性讲完-哔哩哔哩】 https://b23.tv/MOwQGTKopen in new window Casbinopen in new window
权限系统设计模型分析（DAC，MAC，RBAC，ABAC） - 简书open in new window

无密码登录 Passkeys（通行密钥）/ FIDO2 (WebAuthn)

理论上登录应该走oauth，客户端生成ed25519公钥私钥，然后把公钥+用户信息+设备信息注册到服务器上每次登陆的时候服务器下发一个challenge，客户端用私钥对challenge签名发给服务器服务器公钥验签+比对设备信息是否一致通过后下发短token用于后续请求流程我要比对三个，客户端传来的challenge、签名还有设备信息
win有credential manager
安卓我记得叫keystore
iOS叫keychain

给我一个好的登录方案

验权通用模板基础设施

#todo 验证码注册和限流

Last Edit: 2026-01-23 18:06:45

用户和验权

用户和验权

# 基础的概念

# cookie

# session

# token验权

# JWT验权

# OAuth2权限验证

# SSO单点登录

基础的概念

cookie

session

token验权

JWT验权

OAuth2权限验证

SSO单点登录