认证登录历史演化

1. 认证的核心是验证身份真实性，确认操作者是本人，防止冒充、伪造、越权使用。
2. 常见传统认证方式包括：账号密码、短信验证码、邮箱验证、U盾、人脸识别、指纹识别、动态口令等。
3. 传统认证大多依赖中心化平台验证，由平台或机构判断身份是否合法。
1. 加密分为对称加密和非对称加密，是现代认证的底层技术。
2. 对称加密：加密和解密使用同一个密钥，速度快，但密钥传输不安全。
3. 非对称加密：使用公钥和私钥一对密钥，公钥可以公开，私钥必须自己保密、不能泄露。
1. 公钥：公开给所有人，用于加密数据、验证签名。
2. 私钥：自己绝密保管，用于解密数据、数字签名。
3. 公钥和私钥一一对应，公钥加密的内容只有私钥能解开，私钥签名的内容只有公钥能验证成功。
4. 私钥是身份的核心凭证，谁持有私钥，谁就是身份的拥有者。
5. 公钥不能反推私钥，保证了密码学安全。
1. 数字签名使用私钥签名 + 公钥验证，实现身份认证、防篡改、不可抵赖。
2. 签名验证通过，即可证明操作由私钥持有者发起，是本人行为。
3. 数字签名是网络安全、支付、证书、区块链的基础认证逻辑。
1. 区块链认证不需要中心化机构，不依赖平台、银行、服务器。
2. 区块链账户地址由公钥哈希生成，不直接绑定个人信息。
3. 区块链上的身份认证 = 私钥签名，签名成功即完成身份确认。
4. 区块链认证特点：去中心化、不可篡改、可追溯、自主掌控身份。
5. 区块链认证与传统认证最大区别：传统靠平台信任，区块链靠密码学和分布式账本信任。
1. 传统认证：中心机构判断你是谁。
2. 密码认证：用密码证明你是谁。
3. 公钥私钥认证：用密钥对证明你是谁。
4. 区块链认证：用私钥签名证明你是谁，且记录永久存证、不可篡改。

• 每次请求都要输密码
• 极麻烦、极不安全
• 登录一次，后端给你一个会话号
• 存在 Cookie，浏览器自动带
• 后端存状态、能踢人、改密码就失效
• 缺点：跨域难、APP 不友好
• 无状态、不查库、跨域爽
• 改密码不能自动失效，要靠黑名单
• 适合：绝大多数网站、APP、小程序
• 无密码、无注册
• 私钥 = 身份，公钥 = 账号
• 不可伪造、不可篡改
• 适合：支付、HTTPS、区块链、金融系统

你就记一对钥匙 + 两个功能：

1. 私钥
   • 只有你自己有
   • 可以给数据签名
   • 全世界都能看
   • 只能用来验证签名
   • 用私钥签名
   • 所有人都能用公钥验证
   • 但任何人都无法通过公钥反推私钥

   这就是数学上的非对称加密。

   • 用户不会保管私钥，丢了号就没了
   • 登录流程复杂
   • 普通系统JWT 已经够用