Session认证,token认证和JWT

最新推荐文章于 2024-07-10 09:21:32 发布
最新推荐文章于 2024-07-10 09:21:32 发布
阅读量639 收藏
点赞数
文章标签: java 后端 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/B_xuna/article/details/121344132
版权
本文探讨了HTTP认证中的三种常见方式:Session认证、Token认证以及JWT(Json Web Token)认证。Session认证通过在服务器存储用户信息并利用Cookie保持会话,但存在内存占用和CSRF风险。Token认证通过服务端生成的令牌标识用户,适用于分布式系统。JWT是一种紧凑且安全的认证机制,由Header、Payload和Signature三部分组成,常用于SSO场景。
摘要由CSDN通过智能技术生成

session认证

 HTTP协议是一种无状态协议,用户每访问一次应用,就需要重新进行一次认证,这显示很不方便。为了让后台应用能识别出是哪个用户发出的请求,就有了传统的session认证:

在后台服务器存储一份用户登陆信息,这份信息也会在响应前端请求时返回给浏览器(前端),前端将其保存为cookie,下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户了。

session认证过程:

  1. 浏览器第一次访问服务器

  2. 服务器生成一个session,为该session生成一个唯一的会话key,也就是sessionId

  3. 服务器将sessionid及对应的session分别作为key和value保存到缓存中,也可以持久化到数据库中

  4. 服务器再把sessionid,以cookie的形式发送给客户端(即浏览器)

  5. 浏览器下次再访问时,会直接带着cookie中的sessionid

  6. 服务器根据sessionid找到对应的session进行匹配,匹配成功,则不用进行验证

缺点:

session一般保存在服务器的内存中,占用内存空间;

用户认证之后,服务端做认证记录,如果认证的记录被保存在内存的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,响应的限制了负载均衡器的能力ÿ

最低0.47元/天 解锁文章
栖寒枝_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
搞测试,Cookie、SessionTokenJWT
自动化测试馆长
03-05 164
今天的内容,主要是围绕Cookie、SessionTokenJWT 来介绍的,相信大家平常也会有傻傻分不清的时候,今天我们就来好好理一理。
快速理解 session/token/cookie 认证方式
weixin_33806300的博客
02-19 284
目录 目录 cookie session token cookie Web Application 一般以 HTTP 协议作为传输协议, 但 HTTP 协议是无状态的. 也就是说 server-side 与 client-side 一旦数据交换完毕后,两者之间的连接就会被关闭. client-side 再次发送...
一文搞懂Cookie、SessionTokenJwt以及实战
最新发布
weixin_61478518的博客
07-10 1070
汇总:Cookie 和 Session 是传统的基于服务器的会话管理机制,而 TokenJWT 则是更为灵活和安全的身份验证和授权机制,适用于分布式系统和前后端分离的应用场景。浏览器存储此Cookie,并在随后的请求中将其发送回服务器,允许服务器识别用户并在多个页面加载中保持他们的登录状态。跨站请求伪造(CSRF)是一种攻击,攻击者可以利用用户已经认证的身份在用户不知情的情况下执行非预期的操作。JWT可用于认证和授权用户,它们是自包含的,意味着验证它们所需的所有信息都包含在令牌本身中。
傻傻分不清之 Cookie、SessionTokenJWT
多喝i热水的博客
03-02 584
史上最清晰的关于Cookie、SessionTokenJWT的介绍
jwt 详解、sessiontoken
阿莹yes的博客
11-07 876
json web tokenjwt)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC7519),该 token设计为紧凑且安全的,特别适合于分布式站点的单店登录(SSO)场景。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证用户身份信息,以便于资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 起源 说起JWT,我们应该谈一谈基于token认证和传统的Session认证的区别。 传统的sessi.
sessiontokenJWT的一文详细介绍
weixin_45709829的博客
04-06 1615
一、认证Authentication 认证就是验证当前用户的身份,证明身份 认证的应用 用户密码登录 邮箱发送登录链接 手机号接收验证码 二、授权Authorization 授权就是用户授予第三方应用访问用户某些资源的权限 授权的应用 手机第三方app询问是否授权(访问相册、地理位置等权限) 访问微信小程序,登录的时候会询问是否允许授权(获取昵称、头像、地区、性别等个人信息) 实现方式 cookie session token 三、凭证Credentials 实现认证和授权的前提是
jwt-token认证
leigang
05-19 300
jwt-token认证基于jwttoken认证web服务http请求的无状态性jwt的原理jwt的数据结构JWT的用法JWT问题和趋势 基于jwttoken认证 web服务http请求的无状态性 问题: 由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识具体的用户。比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,而服务器需要根据某些信息标识出这个用户,这样才知道购物车里面有几本书。 方案: 1)服务器临时存储用户标识(session
Cookie、SessionTokenJWT.xmind
01-30
Cookie、SessionTokenJWT.xmind
JWT相关知识及Cookie, Session,TokenJWT的区别总结.pdf
05-31
JSON Web Token (JWT) 是一种身份验证和授权的开放...Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异有助于选择合适的认证策略。
Cookie、SessionToken三者的区别及使用
11-13
- **Token**特别适合API认证和跨域访问的场景,具有更高的安全性和灵活性。 根据不同的应用场景和技术需求,选择合适的方案是关键。例如,在安全性要求较高的场景下,使用Token结合适当的加密算法是一种常见做法;...
理解 cookie、sessiontokenjwt
weixin_42413966的博客
06-03 160
发展史 1、很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的 HTTP 协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了 HTTP 请求, 每个请求对我来说都是全新的。 2、但是随着交互式 Web 应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开,这就是一个不小的挑战,因为 HTTP 请求是无
token认证session认证
小欢的博客
01-08 844
什么是session认证http协议是一无状态协议,所以如果用户向后台应用提供了用户名和密码来进行认证,下一次请求时,用户还是要带上用户名和密码进行用户认证。为了使后台应用能识别是哪个用户发出的请求,只能在后台服务器存储一份用户登陆信息,这份信息也会在响应前端请求时返回给浏览器(前端),前端将其保存为cookie,下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户了,这就是...
JWT或者session,两者有啥区别?
weixin_45575405的博客
04-06 444
WT或者session,两者有啥区别?
SessionJWT(实现JWT刷新与后端限制授权)
泠青的博客
10-21 6953
后端项目地址就不剥离开了,自己解读(中间件那) 前端项目地址(可能是空的,为还没上传O(∩_∩)O哈哈~)前言Hello World!怕是大多数程序员写的第一句代码了吧。我就是用C语言写的第一个代码就是它了。虽然现在没有从事有关C语言的工作,不过还是受益于学习它所经历的每一行代码。 登录注册怕是写web应用里的Hello World!级存在了。第一份工作做的是j2ee和app,做的第一个模块就算
session认证机制和JWT token认证机制
qq_42349528的博客
02-21 1023
session认证机制和jwt token认证机制 web开发模式 身份认证
jwt认证机制优势和原理_三分钟带你了解JWT认证
weixin_39653733的博客
11-23 681
目录一、JWT简介二、JWT认证session认证的区别三、JWT认证流程四、JWT组成五、JWT使用场景一、JWT简介JSON Web TokenJWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。更多信息可以查看官网:https://jwt.io/introductio...
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3947
用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
详细介绍一下session cookie token jwt
08-09
### 回答1: Session、Cookie、TokenJWT都是在Web开发中用于管理用户身份认证和会话管理的工具。 1. SessionSession指的是服务器端保存的用户信息。当用户登录成功后,服务器会创建一个session,为该用户分配一个session ID,并将该ID保存到cookie中,发送给客户端。客户端浏览器保存了这个cookie,以后每次请求都会带上这个cookie,服务器通过这个cookie就可以识别出用户身份,从而进行相应的操作。Session机制存在一定的风险,比如会话劫持、会话固定等问题,需要注意安全性。 2. Cookie:Cookie是一种客户端保存用户信息的机制,它是由服务器在响应HTTP请求时通过Set-Cookie头部字段发给客户端浏览器的一小段文本信息。浏览器将这些信息保存在客户端,以后每次向服务器发送请求时都会自动带上这些cookie,从而实现身份认证和会话管理。但是Cookie也存在一些安全问题,比如会话劫持、跨站脚本攻击等问题。 3. TokenToken是一种用户身份认证和授权的机制,通常由服务器生成,以便在客户端和服务端之间进行身份认证和授权。客户端在登录成功后,服务器会为该用户生成一个Token,并将Token发送给客户端浏览器。客户端在之后的请求中需要携带该Token,服务器验证Token的有效性后,就可以识别出用户身份,并进行相应的操作。Token相比Session和Cookie,具有更高的安全性和可扩展性。 4. JWTJWT是一种基于Token的身份认证和授权机制。JWT包含三部分,分别是头部、载荷和签名。头部包含加密算法和类型等信息;载荷包含用户的身份信息和相关的元数据等信息;签名则是对头部和载荷进行签名生成的一段密文,用于验证Token的有效性。JWT具有无状态、可扩展、跨域等特点,被广泛用于Web开发中的用户身份认证和授权。 ### 回答2: Session、Cookie、TokenJWT都是常见的身份验证和会话管理方法。下面我会分别介绍它们。 SessionSession是服务器端记录用户状态的一种机制。当用户通过用户名和密码登录后,服务器会为该用户创建一个唯一的Session。之后,用户再发送请求时,服务器会根据Session来识别用户并获取用户的状态信息。 Cookie:Cookie是一种在客户端存储的小型文本文件。在用户通过用户名和密码登录成功后,服务器可以将一个包含Session信息的Cookie发送给客户端,客户端会将该Cookie保存下来。之后,客户端发送请求时,会自动附带上该Cookie,用于向服务器证明用户的身份。 TokenToken是一种代表用户身份的令牌。与Cookie不同,Token是在客户端保存的,并且不需要服务器端存储用户状态。当用户登录成功后,服务器会生成一个Token并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将Token作为请求头信息的一部分发送给服务器,服务器根据Token验证用户身份。 JWTJWT(JSON Web Token)是一种基于JSON的开放标准,用于在各方之间安全传输信息。它由三部分组成:Header、Payload和Signature。其中,Header用于描述JWT的元数据,Payload用于存储实际传输的数据,Signature用于验证JWT的合法性。在使用JWT进行身份验证时,服务器会生成一个JWT并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将JWT作为请求头信息的一部分发送给服务器,服务器根据JWT验证用户身份的合法性。 总结:Session、Cookie、TokenJWT都是常用于身份验证和会话管理的方法,它们各有优劣和适用场景。Session和Cookie依赖于服务器端存储用户状态,而TokenJWT则可以减轻服务器的负担,并且适用于分布式系统。其中,JWT由于其自包含性和可扩展性,在分布式系统和前后端分离的架构中得到了广泛应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值