前幾年，web開發(fā)領(lǐng)域中「前后端分離」比較火，現(xiàn)如今已逐漸成為事實標準。但是究竟什么是前后端分離？又為什么要前后端分離呢？

什么是前后端分離？為什么要前后端分離？

前后端分離，說的更多的是一種架構(gòu)上的概念。在傳統(tǒng)的web架構(gòu)中，比如經(jīng)典的MVC，會分數(shù)據(jù)層、邏輯層、視圖層。這個視圖層即我們所說的前端了，映射到代碼層面，就是html、js、css等代碼文件。數(shù)據(jù)層和邏輯層更多的是后端部分，例如我們的 .java 、.go、.py等文件。這些文件會在一個工程中，并不會單獨的開發(fā)、測試、部署。

在前后端分離的架構(gòu)中，前端和后端是分開的，分別在不同的工程中。前端有專門的前端開發(fā)人員來進行開發(fā)、測試，后端則有后端開發(fā)人員來進行開發(fā)、測試，他們之間通過API來交互。

前后端分離有這么幾個好處：

1/ 解耦了前后端的工作人員 讓前端和后端分別交給更擅長的人來做，細化了工種，可以更加的專精。前端人員來關(guān)心用戶體驗、UI設(shè)計、交互渲染；后端人員更關(guān)注業(yè)務邏輯、性能保障、安全等方面。在項目進度方面，前后端可以并行開發(fā)，而互不影響，加快了整體的項目進度。

2/ 解耦了前后端的代碼 后端只需提供API服務，不再與靜態(tài)文件交互。后端可以使用更復雜的分布式、微服務架構(gòu)，提供更好的性能和穩(wěn)定性保障。同時前端除了PC端之外，移動端也可以使用相同的一套后端服務。

看到這里，前后端分離被廣泛應用也可以理解了。

大家需要注意，并不是所有的項目都需要前后端分離，像是大型的項目，開發(fā)人員很多，人員分工明確，這種團隊配置下，使用前后端分離可增加工作效率提高系統(tǒng)質(zhì)量。但是團隊人員少，分工不那么明確的情況下，再采用前后端分離的架構(gòu)，只會增加開發(fā)成本和系統(tǒng)復雜度。前后端分離是一個好的架構(gòu)思路，但是需要看具體的業(yè)務和人員情況，切勿盲目的跟從。

前后端分離常用的認證方式

前后端分離中前后端的交互是通過API進行的，那么其中的認證是少不了的。前后端分離中常用的認證方式有下面幾種：

•  Session-Cookie
•  Token 驗證
•  OAuth(開放授權(quán))

Session-Cookie 方式

Session-Cookie 方式是我們開發(fā)web應用時最常用的認證方式。它的認證過程一般是這樣的：

•  1/ 用戶瀏覽器向服務器發(fā)起認證請求，將用戶名和密碼發(fā)送給服務器。
•  2/ 服務器認證用戶名和密碼，若通過則創(chuàng)建一個session對話，并將用戶信息保存到session中。session的信息可以是保存到服務器文件、共享外部存儲、數(shù)據(jù)庫等存儲中，等下次請求時查詢驗證使用。
•  3/ 服務器會將該session的唯一標識ID，返回給用戶瀏覽器，并保存在cookie中。
•  4/ 用戶請求其他頁面時，瀏覽器會自動將用戶的cookie攜帶上，并發(fā)起接口請求，服務端收到請求后，從cookie解析出sessionID， 根據(jù)這個sessionID 查詢登錄后并保存好的session，若有則說明用戶已登錄，放行。

該方式是MVC架構(gòu)中最常用的認證方案，在前后端分離中也是可以用的。幾乎所有的Web框架都默認集成了Session-Cookie的認證方式，而且對Session-Cookie方式的安全性和穩(wěn)定性方面都有很成熟的處理方案。

當前端代碼使用后端web框架當做web容器驅(qū)動時，Session-Cookie 方案可作為首選的認證方案。

Token 方式

Token 方式是不同系統(tǒng)交互、前后端架構(gòu)常用的認證方式。Token 方式的認證流程如下：

•  1/ 用戶使用用戶名和密碼登錄，將用戶名和密碼發(fā)送給服務器。
•  2/ 服務器驗證用戶名和密碼，若正確，則簽發(fā)token，返回給用戶。
•  3/ 用戶收到token后，將其存儲起來，web服務一般為localStrage 或cookie。
•  4/ 用戶請求其他資源頁面時，會攜帶token，一般放到header 或參數(shù)中，發(fā)送給服務端。
•  5/ 服務器收到后，驗證token，判斷用戶的正確性。

JWT(JSON Web Token)是最常用的一種Token認證方式，已成為Token認證的標準事實。JWT 方式將Token 分段，使其可以保持少量數(shù)據(jù)，還增加了簽名驗證，確保了token的安全性。JWT 網(wǎng)上介紹的資料很多，這里不再贅述。不了解的，可參考下邊這些資料：

•  JSON Web Token 入門教程
•  JWT官網(wǎng)

OAuth 方式

OAuth（Open Authorization）是一個開放標準，允許用戶授權(quán)第三方網(wǎng)站訪問他們存儲在服務端的用戶信息。我們常見的的QQ、微信等第三方登錄便是Auth認證方式。OAuth協(xié)議有1.0和2.0兩個版本。相比較1.0版，2.0版整個授權(quán)驗證流程更簡單更安全，也是目前最主要的用戶身份驗證和授權(quán)方式。

OAuth更像是一種授權(quán)機制。數(shù)據(jù)的所有者告訴系統(tǒng)，同意授權(quán)第三方應用進入系統(tǒng)，獲取這些數(shù)據(jù)。系統(tǒng)從而產(chǎn)生一個短期的進入令牌（token），用來代替密碼，供第三方應用使用。

在單純的前后端分離系統(tǒng)中，OAuth并不是常用的方式，它更多的應用在不同系統(tǒng)之間的授權(quán)交互。

對比思考

刨去不常用的OAuth，這里對比兩種前兩種常用的認證方式 JWT Auth 和 Session-Cookie Auth ，到底誰才是前后端分離認證的最佳實踐呢。從下面幾個方向分析比對。

可擴展性

Session-Cookie 是有狀態(tài)的服務，在服務端保存了session的信息。當服務端擴容的時候，需要考慮到session的共享問題，這個問題已有成熟的解決放方案，可使用session復制、共享、持久化等方式解決，大多數(shù)的分布式Web框架已經(jīng)集成了處理方案。JWT 驗證方式是無狀態(tài)的服務，服務端可隨意擴縮容。

Session-Cookie 方式基于Cookie，也就是必須是瀏覽器或支持Cookie的瀏覽器封裝的框架，純移動端無法使用。JWT 不同，不依賴Cookie, 只要在本地可存儲即可。

安全性

Web開發(fā)中常見的兩個安全問題 XSS（跨站點腳本攻擊） 和 CRSF （跨站點請求偽造）。前者利用注入腳本到用戶認證網(wǎng)站上，執(zhí)行惡意腳本代碼。后者則利用瀏覽器訪問后端自動攜帶cookie的機制，來跨站偽造請求。XSS 只要我們對注入端，進行過濾、轉(zhuǎn)義就能解決，CRSF 是我們重點關(guān)注的。

在Session-Cookie認證方式中，因為把SessionID保存在了Cookie中，很容易引起CRSF攻擊。在大多數(shù)的WEB框架中有集成解決方案，如Django 的csrftoken 、Beego的xsrfToken 等。在使用Session-Cookie方案時建議開啟web框架的csrf功能。

JWT 認證，可以把Token存放在Cookie或localstorage。建議存在localstorage，這樣就徹底避免了 CRSF 攻擊。

另外JWT有幾個安全性的問題，需要注意：

•  1/ JWT是明文編碼 JWT 的編碼是明文Base64的一個編碼，是可以反編譯的。在使用JWT傳輸信息的時候，不要放置重要敏感信息，最好使用https。
•  2/ JWT 泄露問題 解決JWT的泄露問題是一個平衡的問題。有三種處理方式由輕到重，看你業(yè)務重要性酌情選擇：
  •   將JWT 的過期時間設(shè)置的很短，即使泄露也無關(guān)緊要。
  •   在服務端設(shè)計JWT的黑名單機制，將泄露的Token 加黑名單即可。
  •   保存簽發(fā)的JWT，當JWT泄露時，直接設(shè)置失效。

性能

Session-Cookie方案，因為后端服務存儲了Session信息，在認證的時候需要查詢，當有大量認證的時候是非常耗費資源的。JWT 可以把信息放到token中，只需要驗證解碼，使用簽名驗證token即可，相對來說效率會有提升。

從上面三個方面，我們分析了Session-Cookie和JWT 方式各自的優(yōu)缺點，和面對問題的一些應對方案。相信大家會有自己的心里選擇。

拋開業(yè)務場景談技術(shù)都是耍流氓。不同的業(yè)務場景，不同的架構(gòu)設(shè)計，適用的認證方式也是不同的。這里按我自己的經(jīng)驗總結(jié)了下，什么情況下該使用那種認證方式，大家可參考。

適用Session-Cookie認證方案的情況：

•  項目只有web端的情況；
•  項目人員配置少，且前后端開發(fā)都會參與；
•  項目前后端分離不徹底，前端使用后端web框架作為服務容器啟動；

使用 JWT 認證方案的情況：

•  項目人員配置充足，分工明確；
•  項目除web端外還有移動端；
•  臨時的授權(quán)需求；
•  純后端系統(tǒng)之間的交互。

本文圍繞前后端分離這個話題總結(jié)分享了前后端分離時的認證方案。這些僅僅是通用的一般方案，在具體的業(yè)務場景中，還有很多不典型的擴展的驗證方案也是極好的。