15 【登录鉴权】

最新推荐文章于 2024-03-17 09:45:05 发布
最新推荐文章于 2024-03-17 09:45:05 发布
阅读量904 收藏 2
点赞数 1
分类专栏: nodejs学习笔记 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DSelegent/article/details/128130127
版权

15 【登录鉴权-Cookie】

1.什么是认证(Authentication)

  • 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)
  • 互联网中的认证:
    • 用户名密码登录
    • 邮箱发送登录链接
    • 手机号接收验证码
    • 只要你能收到邮箱/验证码,就默认你是账号的主人

2.什么是授权(Authorization)

  • 用户授予第三方应用访问该用户某些资源的权限
    • 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)
    • 你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
  • 实现授权的方式有:cookiesessiontokenOAuth

3.什么是凭证(Credentials)

实现认证和授权的前提是需要一种媒介(证书) 来标记访问者的身份

在互联网应用中,一般网站(如掘金)会有两种模式,游客模式和登录模式。游客模式下,可以正常浏览网站上面的文章,一旦想要点赞/收藏/分享文章,就需要登录或者注册账号。当用户登录成功后,服务器会给该用户使用的浏览器颁发一个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌,就可以使用游客模式下无法使用的功能。

4.什么是 Cookie

  • HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现
  • cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
  • cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。
属性 说明
name=value 键值对,设置 Cookie 的名称及相对应的值,都必须是字符串类型。如果值为 Unicode 字符,需要为字符编码。如果值为二进制数据,则需要使用 BASE64 编码。
domain 指定 cookie 所属域名,默认是当前域名
path 指定 cookie 在哪个路径(路由)下生效,默认是 ‘/’。
如果设置为 /abc,则只有 /abc 下的路由可以访问到该 cookie,如:/abc/read。
maxAge cookie 失效的时间,单位秒。如果为整数,则该 cookie 在 maxAge 秒后失效。如果为负数,该 cookie 为临时 cookie ,关闭浏览器即失效,浏览器也不会以任何形式保存该 cookie 。如果为 0,表示删除该 cookie 。默认为 -1。- 比 expires 好用。
expires 过期时间,在设置的某个时间点后该 cookie 就会失效。
一般浏览器的 cookie 都是默认储存的,当关闭浏览器结束这个会话的时候,这个 cookie 也就会被删除
secure 该 cookie 是否仅被使用安全协议传输。安全协议有 HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。
当 secure 值为 true 时,cookie 在 HTTP 中是无效,在 HTTPS 中才有效
httpOnly 如果给某个 cookie 设置了 httpOnly 属性,则无法通过 JS 脚本 读取到该 cookie 的信息,但还是能通过 Application 中手动修改 cookie,所以只是在一定程度上可以防止 XSS 攻击,不是绝对的安全

Cookie的特点

  1. cookie保存在浏览器本地,只要不过期关闭浏览器也会存在。
  2. 正常情况下cookie不加密,用户可轻松看到
  3. 用户可以删除或者禁用cookie
  4. cookie可以被篡改
  5. cookie可用于攻击
  6. cookie存储量很小,大小一般是4k
  7. 发送请求自动带上登录信息

5.Cookie的使用

  1. 安装
pnpm install cookie-parser --save
  1. 引入
const cookieParser=require("cookie-parser");
  1. 设置中间件
app.use(cookieParser());
  1. 设置cookie
res.cookie("name",'zhangsan',{
   maxAge: 1000*60*60, httpOnly: true});
//res.cookie(名称,值,{配置信息})
  1. 获取cookie
req.cookies.name;

下面是一个基础实例:

const express=require("express");
const cookieParser=require("cookie-parser");

var app=express();

//设置中间件
app.use(cookieParser());

app.get("/",function(req,res){
   
	res.send("首页");
});

//设置cookie
app.get("/set",function(req,res){
   
    //如果不进行任何设置,有效期默认为1个会话,浏览器关闭即失效
   // res.cookie('isLogin','true');
	res.cookie("userName",'张三',{
   maxAge: 1000*60*60, httpOnly: true});
	res.send("设置cookie成功");
});

//获取cookie
app.get("/get",function(req,res){
   
	console.log(req.cookies.userName);
	res.send("获取cookie成功,cookie为:"+ req.cookies.userName);
});

app.listen(8080);

当访问set路由后会设置cookie,当访问get路由后会获取到设置的cookie值。当然你也可以在其他页面继续获取当前cookie,以实现cookie共享。cookie和session都可以在网页的响应头看到set-cookie

6.关于cookie加密

cookie加密是让客户端用户无法的获取cookie明文信息,是数据安全的重要部分;一般的我们可以在保存cookie时对cookie信息进行加密,或者在res.cookie中对option对象的signed属性设置设置成true即可。

const express = require("express");
const cookieParser = require("cookie-parser");

var app = express();
app.use(cookieParser('secret'));//签名 (加密) 要指定miyao ,什么名字都星行,列如:"xiaoxuesheng"

app.get("/",function(req,res){
   
	res.send("主页");
});

//获取cookie
app.use(function(req,res,next){
   
	console.log(req.signedCookies.name);
	next();
});

//设置cookie
app.use(function(req,res,next){
   
	console.log(res.cookie("name","zhangsan",{
   httpOnly: true,maxAge: 200000,signed:
最低0.47元/天 解锁文章
DSelegent
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
一文读懂mysql数据库
05-24
非关系型数据库:(NO SQL数据库):mongodb、 redis(只要涉及接口的都要去鉴权,最基本的例子--已经登录的账号有没有权利去操作查看的权利(等于每次操作都要鉴权)等,特点:因为存储时效大多只有一小时(时效过...
软通动力itr多选题部分答案.docx
04-25
鉴权结果为“无鉴权数据”,默认提供无 SLA 承诺的服务,同时通知代表处服务数据管理人及时把服务标准刷新到系统中;鉴权结果为“按标准服务”,选择合同服务条目,告知服务请求反馈人此次的服务标准等。 6. 服务...
渗透测试——安全漏洞扫描工具APPScan的安装与基本使用步骤
最新发布
qq_53058639的博客
03-17 1619
Standard是安全专家和渗透测试者设计的动态应用程序安全测试工具,AppScan使用强大的扫描引擎,会自动检索目标应用程序并测试漏洞。测试结果按优先级排列,允许操作员快速分类问题、发现最关键的漏洞。每个检测到的问题都可以根据清晰且可操作的修复建议来轻松进行修复。
【Vue基础】什么是跨域?如何解决跨域问题?浅浅了解一下什么是登录鉴权
一个普通人的博客
10-04 722
登录鉴权即验证用户是否拥有访问系统的权利。有这么几种方式:什么是token?Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。
登录鉴权流程
weixin_45463061的博客
07-15 391
登录鉴权流程图
自研用户登录鉴权机制流程与实现过程
deft_的博客
05-13 998
笔记:自研用户登录鉴权机制流程与实现过程(Node.js) 背景: 现在所在公司有一套自研的工程设计IDE,可以根据项目需求自主配置相关参数并应用于各个项目 该项目已经正式上线,且配置都已正常使用 但由于之前开发时并没有设计用户管理相关的机制,也就是说只要知道了项目地址任何人都可以进入项目修改配置,这明显具有很大的风险,需要设计开发一个用户管理的流程与机制 流程构想: 传统的登录鉴权与token管理主要依赖应用已有的 JWT 相关机制 但因为我比较喜欢发明创造,我想自己设计一套自有的用户鉴权机制,现初步工作
安卓鉴权方式的总结
leidashuaige的专栏
03-24 861
利用服务器端的session(会话)和浏览器端的cookie来实现前后端的认证,由于http请求时是无状态的,服务器正常情况下是不知道当前请求之前有没有来过, 这个时候我们如果要记录状态,就需要在服务器端创建一个会话(session),将同一个客户端的请求都维护在各自的会话中,每当请求到达服务器端的时候, 先去查一下该客户端有没有在服务器端创建session,如果有则已经认证成功了,否则就没有认证。收集生物识别数据:在进行生物识别鉴权之前,需要先收集用户的生物识别数据,例如指纹、面部、虹膜等。
AppScan(4)安装证书和绕过登录深入扫描
qq_51550750的博客
05-22 2858
AppScna绕过登录验证码深入扫描 我们工作中最长碰到的工作场景是网站采用https协议,这时我们要用appScan进行扫描时,就需要先安装证书 安装证书 1.在AppScan中,新建一个文件。点击【文件】,点击【新建】 2.选择【扫描web应用程序】 3.弹出扫描配置向导的窗口,点击【取消】 4.点击【手动扫描】,选择【外部设备】 5.记录代理端口 代理端口是:50491 6.点击右上角的【记录代理配置】 7.点击【记录代理】,在下方有AppScan SSL证书,点击【导出】 这一步,我需要
基于 Java Web 项目的 SpringBoot 框架初始化模板,可基于此快速开发毕设等中小型项目
03-13
2、SaToken 可配置分布式登录 & 认证 & 鉴权 3、AOP 逻辑处理示例 4、自定义注解处理示例 5、验证码分布式校验 6、全局请求拦截器 & 过滤器 7、全局异常处理器 8、封装统一响应对象 9、自定义响应码 10、可配置式...
PhoneLoginDemo
05-30
此过程可能涉及到与第三方服务商的集成,需要处理鉴权和异常处理。验证登录接口则需要接收手机号和验证码,核对数据库中存储的手机号和对应的验证码是否匹配。 手机号验证是安全性的重要环节,一般通过正则表达式来...
在线论坛小程序源码分享
02-21
9. **权限控制**:实施权限管理,比如普通用户、管理员不同的操作权限,通过JWT(JSON Web Token)进行鉴权。 10. **缓存策略**:为了提高用户体验,可以对热门帖子、用户信息等使用缓存,如Redis,减少数据库访问...
AppScan ——证书安装和登入绕过
m0_61506558的博客
09-08 2088
我们以DVWA靶场为例,如果现在直接输入admit password是扫描不出来什么漏洞,我们可以通过定制cookie头进行登入,方法如下。当我们在扫描过程会遇到网址存在手机验证码、图形验证码、滑动验证etc,这个时候想要深度扫描时,就需要登入绕过。渗透测试中大多数的网址采用https协议,这时我们要用AppScan进行扫描时,就需要先安装证书。在Scan找到other,选择Recording Proxy Configuration。这样我们就可以正常的访问https的请求。(二) 手工探测绕过登录
AppScan基本操作-最新教程;作者:624875451
qq_29778363的博客
08-08 368
记录:选择此项后,会出现一个新的浏览器,并尝试链接到指定的网站作为本扫描的起始URL.你需要输入账号和密码登陆到应用程序.这样设置之后你可以关闭浏览器,但是不要点击注销按钮。工具-->Options -->Advanced,设置OpenIEBrower的值0--Appscan浏览器,1--IE,2--Firefox,3--Chrome.如果该网站的行为在不同的浏览器下有所不同,这个设置将是非常有用的.生产站点:此策略“排除”可能损坏站点的侵入式测试,或测试可能导致“拒绝服务”的其他用户。
小程序实现鉴权
TZJ999919的博客
06-13 1291
当我们点击登录按钮并且拿到token之后 跳转到鉴权页面时,我们需要在鉴权组件中去获取token 通过判断是否携带token,如果没有携带token则会被打回到登录页。携带token跳转到我们需要访问的页面时 , 获得访问权限,这个权限其实就是我们在鉴权组件中设置的一个页面的可见性;创建并注册一个组件,在组件中创建一个插槽,用于放置登录之后才能访问的页面。当我们点击登录跳转到鉴权页面的时候,我们就已经将token存到本地了。当我们被打回到登录页面时,我们需要接收鉴权页面传回来的路径值。
登录验证的那些事儿
空空说技术的博客
06-28 2485
Cookie、Session、Token、JWT 看一篇就够了 近些年来,关于身份验证的安全越来越受到重视,基本上现在开发的系统,都要做一些身份验证。在以前的项目我们一般使用session或者cookie来存储已登录的用户信息,这样到达一个免除重复登录的问题。 总而言之,后端实际上就是在做一个事情,验证你是谁?在这个验证的过程中,就涉及到一些认证,授权,凭证等过程。 字多你就挑有颜色的看啊!!!\color{#376956}{字多你就挑有颜色的看啊!!!}字多你就挑有颜色的看啊!!! 什么是认证(Auth
appscan 2023使用教程 看完本文全知道
tubage2023的博客
11-21 585
在使用AppScan的时候,通过配置网站的URL网址,AppScan会利用“探索”技术去发现这个网站存在多少个目录,多少个页面,页面中有哪些参数等,即探索出网站的整体结构。1)若登录方法选择“记录”,则可通过界面右侧的“记录(R)”按钮打开APPScan浏览器并输入登录信息,关闭浏览器后,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;注意:扫描过程中,若扫描时间较长,可自动让其扫描,或者点击“暂停”-保存本次扫描,然后下次继续未扫描的过程;
[推荐]一口气说出前后端 10 种鉴权方案~
李小文的博客
09-15 1390
在介绍鉴权方法之前,我们先要了解的是:什么是认证、授权、鉴权、权限控制以及他们之间的关系,有了他们做铺垫,那么我们才能做到从始至终的了解透彻 ~
鉴权与身份认证
ZXT02的博客
05-08 1379
鉴权与身份认证、常用的鉴权方式和原理
关于AppScan安全检测会话标识未更新
y562363753的博客
08-20 3969
会话标识未更新 严重性: 中 CVSS 分数: 6.4 URL: http://119.60.12.114:18079/NXZDWRYZXJC/action/user/login 实体: login (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务 原因: Web 应用程序编程或配置不...
登录鉴权微服务java代码
07-12
当涉及到登录鉴权微服务的Java代码时,可以使用一些常见的框架和技术来实现。下面是一个示例代码,展示了一个基本的登录鉴权微服务的实现: ```java import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.bind.annotation.RequestBody; import org.springframework.web.bind.annotation.RestController; @RestController @SpringBootApplication public class AuthMicroserviceApplication { public static void main(String[] args) { SpringApplication.run(AuthMicroserviceApplication.class, args); } @PostMapping("/login") public String login(@RequestBody LoginRequest request) { // 在此处执行登录鉴权逻辑,比如验证用户名和密码等 // 如果鉴权成功,可以返回一个生成的访问令牌(access token) // 如果鉴权失败,可以返回相应的错误信息 return "Access token"; } // 定义一个登录请求的数据模型 static class LoginRequest { private String username; private String password; // 省略构造函数、getter和setter方法 @Override public String toString() { return "LoginRequest{" + "username='" + username + '\'' + ", password='" + password + '\'' + '}'; } } } ``` 在这个示例中,我们使用了Spring Boot框架来构建微服务,并使用了Spring Web模块来处理HTTP请求。`@RestController`注解表示这是一个REST控制器,用于处理登录请求。`@PostMapping`注解指定了处理POST请求的方法,即`login()`方法。 `LoginRequest`类用于表示登录请求的数据模型,其中包含了用户名和密码。在`login()`方法中,我们可以执行实际的登录鉴权逻辑,并根据鉴权结果返回相应的访问令牌或错误信息。 请注意,这只是一个简单的示例,实际的登录鉴权逻辑可能更加复杂,比如使用密码加密、与用户数据库交互等。此外,还可能需要使用一些安全框架或库来增加登录鉴权的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

DSelegent

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值