[发明专利]一种在web应用中进行身份认证的方法

说明书

本发明公开了一种在web应用中进行身份认证的方法，通过计算出需要在header中的Authorization字段填写signature值，从而实现鉴权，每次请求时就在header中添加，从而避免每一个请求都需要携带token所带来的弊端，这样不仅提高了验证效率，也增强了安全性。

技术领域

本发明涉及web应用技术领域，尤其涉及一种在web应用中进行身份认证的方法。

背景技术

互联网诞生之初，Web基本上就是文档的浏览而已。既然是浏览，作为服务器，不需要记录用户在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议，就是请求加响应。

但是随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，就面临一个问题，那就是要管理会话，必须记住哪些用户登录系统，哪些用户往自己的购物车中放商品，也就是说必须把每个用户区分开，这是一个不小的挑战，因为HTTP请求是无状态的，所以想出的办法就是给大家发一个会话标识(session id),即一个随机的字串，每个用户收到的都不一样，每次发起HTTP请求的时候，把这个字符串一起发送给服务器，服务器就能区分是哪个用户发起的请求了。

这种方式虽然能进行对用户的识别，但是增加了服务器的压力。虽然每个用户只需要保存自己的session id，而服务器要保存所有用户的session id。如果访问服务器多了，就得有成千上万，甚至几十万个session id。因此，随着web技术的发展，为了验证请求的合法性，一般是通过cookie、session、token这三种方式进行校验。

cookie由服务器生成，发送给浏览器，浏览器把cookie以key,value的形式保存到某个目录下的文本文件内，下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的，所以浏览器加入了一些限制确保cookie不会被恶意使用，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全，可是session有一个缺陷：如果web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候session会丢失；验证信息如果存在session中，则增大了服务器端存储的压力。

在大多数使用Web API的互联网公司中，tokens是多用户下处理认证的最佳方式，使用token进行身份验证有以下几大特性：1.无状态、可扩展2.支持移动设备3.跨程序调用；但也有弊端，验证信息如果存在数据库中，每次都要根据token查用户id，增加了数据库的开销；token一旦被截取，就很容易进行跨站请求伪造。

发明内容

本发明的目的就在于为了解决上述问题而提供一种在web应用中进行身份认证的方法，本发明解决该问题的方法本质是如何计算出需要在header中的Authorization字段填写signature值，从而实现鉴权。每次请求时就在header中添加，从而避免每一个请求都需要携带token所带来的弊端。这样不仅提高了验证效率，也增强了安全性。本发明的核心是如何计算这个signature的值，一旦计算完成，赋值给Authorization即可使用。

本发明通过以下技术方案来实现上述目的：

一种在web应用中进行身份认证的方法，包括以下步骤：

步骤一：生成请求行参数：

步骤二：引入app_secret：

使用Store将app_secret存储在本地；

在该文件中引入Store，并使用Store的getStr函数将app_secret引入；

步骤三：引入CryptoJS：