面试必问：常见的登录鉴权方式有哪些？各自优缺点是什么？（全网最详总结）

一、前言

在 Web 开发、前后端分离、微服务架构中，登录鉴权是系统安全的第一道大门。

面试官高频问题：

• 你们项目用什么登录方式？
• Session、Token、OAuth 有什么区别？
• 为什么现在都用 JWT？

本文一次性把所有主流登录鉴权方式讲清楚：原理、流程图、优缺点、适用场景，让你面试直接通关。

二、什么是登录鉴权？

登录鉴权 = 识别用户身份 + 判断是否有权限访问
因为 HTTP 是无状态的，必须通过某种方式让服务器记住你。

三、常见 6 种登录鉴权方式（全）

1. Cookie + Session 认证
2. Token 认证（JWT）
3. Session 共享（Redis）
4. OAuth 2.0（第三方登录：微信/QQ/支付宝）
5. SSO 单点登录
6. API Key / 密钥认证

下面逐一带流程图 + 优缺点讲解。

一、Cookie + Session 认证（传统经典方式）

流程图

优点

• 实现简单，原生支持
• 安全性较高（信息存在服务器）
• 支持主动踢人、注销

缺点

• 占用服务器内存
• 分布式环境需要 Session 共享
• 依赖 Cookie，容易 CSRF 攻击
• 跨域困难
• 不支持 APP、小程序

适用场景

• 后台管理系统
• 单服务、非分布式项目

二、Token 认证（JWT，目前最主流）

流程图

优点

• 无状态，服务端不存储
• 天然支持分布式、微服务
• 跨域、跨平台极强（APP/小程序/Web）
• 不依赖 Cookie，防 CSRF
• 适合 RESTful API

缺点

• Token 无法作废（除非黑名单）
• Payload 可解码，不能存密码
• 体积比 SessionID 大
• 过期时间不好控制

适用场景

• 前后端分离
• 微服务、分布式
• APP、小程序、第三方接口

三、Session 共享（Redis 存储）

流程图

优点

• 解决分布式 Session 问题
• 保持 Session 开发习惯
• 支持踢人、下线

缺点

• 依赖 Redis
• 架构变重
• 跨域一般
• 不适合跨平台

适用场景

• 传统项目微服务改造
• 不想改用 Token 的老系统

四、OAuth 2.0（第三方登录：微信、QQ、支付宝）

流程图

优点

• 方便快捷，用户体验好
• 安全，不暴露密码
• 标准化，支持多平台

缺点

• 依赖第三方平台
• 流程复杂
• 无法控制用户信息

适用场景

• C端产品（电商、社区、APP）
• 需要快速获客的项目

五、SSO 单点登录（多系统统一登录）

流程图

优点

• 一次登录，全系统通行
• 统一用户管理
• 企业级标准

缺点

• 架构复杂
• 成本高
• 依赖 SSO 中心

适用场景

• 企业内部多系统
• 中大型平台

六、API Key / AppSecret（开放接口鉴权）

流程

• 平台分配API Key + Secret
• 请求时携带签名
• 服务端验签

优点

• 简单、高效
• 适合服务器间通信
• 安全可控

缺点

• 不适合前端
• 密钥不能泄露

适用场景

• 开放平台
• 第三方接口调用

七、六种鉴权方式对比表（面试背这张）

八、最经典面试题（满分答案）

1. Session 和 Token 区别？

• Session 存在服务端，有状态；Token 服务端不存储，无状态
• Session 分布式麻烦；Token 天然支持
• Session 依赖 Cookie；Token 不依赖
• Token 更适合跨平台、微服务

2. 项目中如何选择鉴权方式？

• 后台管理系统：Session/Redis
• 前后端分离/APP：JWT Token
• C端产品：OAuth2.0
• 企业多系统：SSO
• 开放接口：API Key

3. JWT 优点是什么？

无状态、易扩展、跨平台、自包含、适合分布式。

九、总结（最强记忆版）

1. Session：存在服务器，简单但不分布式
2. Token：无状态，分布式首选，主流方案
3. OAuth：第三方登录，提升体验
4. SSO：企业统一登录
5. API Key：接口鉴权

一句话：小项目用 Session，大项目用 Token，C端用 OAuth，企业用 SSO。