权限认证 cookie VS token

最新推荐文章于 2023-01-03 15:55:26 发布
最新推荐文章于 2023-01-03 15:55:26 发布
阅读量204 收藏
点赞数
分类专栏: HTTP 分布式

权限认证 cookie VS token

我前公司的应用都是 token 授权的,现公司都是维护一个 session 确认登录状态的。那么我在这掰扯掰扯这两种权限认证的方方面面。

 

工作流程

先说 cookie

cookie 登录是有状态的,服务端维护一个 session 客户端维护一个 cookie,cookie 只保留 sessionID 服务端要保存并跟踪所有活动的 session 如下:

  1. 输入用户名密码登陆。
  2. 服务器拿到身份并验证后生成一个 session 存到数据库。
  3. 把 sessionID 返回给客户端存成一个 cookie 保存 sessionID。
  4. 随后的请求会携带这个包含 sessionID 的 cookie。
  5. 服务器拿着 sessionID 找到对应的 session 认证用户是否有对应权限啊。

  6. 登出后,服务端销毁 session 客户端销毁 cookie。

 

session是一个具有会话状态的。

token

token 的认证方式是无状态的,服务端不保存登陆状态,也不关心哪些客户端签发了 token ,每个请求都会携带 token 通常在 header 中,也可以出现在 body 和 query 如下:

  1. 输入用户名密码登陆。
  2. 服务器拿到身份并验证后签发一个 token。
  3. 客户端拿到 token 并存起来,好多地方都可以存。
  4. 客户端发送的每一个请求都要携带 token,好多方式可以携带。
  5. 服务器接收请求后拿到 token 并解析,拿解析的结果进行权限认证(token中可能已经携带权限信息,能被正常解析的 token 被认为是合法机构签发的)。

  6. 登出后,在客户端销毁 token 即可。
    无图无真相,两种方式对比
    链接

    token 的优势(这里都是采用了JWT)

    新的东西如果没有原来的好用是不会有人用的。那 token 哪里好呢。
  • 无状态,token 是无状态的,服务器端不需要保留任何信息,每个 token 都会包含所有需要的用户信息。服务器端可以只负责签发和解析 token 解放了部分服务器资源,让服务器更单纯的提供接口。
  • 跨服务器,无状态优势在此。服务器如果做了负载均衡之类的,你两条请求不一定去同一个服务器,着如果用服务器维护一个 session 的话就显得有些棘手了,一个服务器和一个客户端对应,另一个服务器不一定认得你啊,不对是一定不认得你啊,当然这个问题也不难解决。(解决这个方法的有多种 一般来说是使用tomcat或者是Jetty等服务器提供的Session共享功能,将Session的内容统一存储在一个数据库(如MySQL)或缓存(如Redis)中)
  • 可以携带其他信息,比如携带具体权限信息之类的,省的还要去查库。
  • 性能,解 token 可比查库要省事儿的多。因为token携带的信息可以减少查找数据库的次数。
  • 跨域,请求需要跨域的接口的时候 cookie 就力不从心了,不同域就不会携带 cookie ,不携带 cookie 服务器也不知道是哪个 session 啊,token 在此优势明显。
  • 配合移动端,cookie 是浏览器端的玩意儿,移动端应用想使用 cookie 还得折腾一下,token 就方便得多。token 让服务器端单纯提供 API 服务,适用性更广。
  • CSRF,如果 token 不存放在 cookie 中,防止了跨站请求伪造带来的安全性风险。

发送前可以将JWT放置在cookie中 或者是 localstroage

如果token使用JWT模式的话,可以不用在服务端存储token数据了,服务端只需要解析JWT数据。

从JWT官方文档中我们了解到,JSON WEB TOKEN 由三部分组成:

  • Header
  • Payload
  • Signature

这里我们只说 Payload 中的保存内容,引自JWT官方:

The second part of the token is the payload, which contains the claims. Claims are statements about an entity (typically, the user) and additional metadata. There are three types of claims: registered, public, and private claims.

从这里我们可以看出,token 的 Payload 部分是具备存储用户ID,角色的能力的。也就是充分体现了 TOKEN 自解释的特点。

既然这样,我们为什么要在类似 Redis 这种缓存数据库中对 Token 进行持久化呢?完全可以由客户端对 Token 持久化呀?

咨询过朋友,大多数给我的回答是,访问速度快,方便过期

那么我们假设如果不在后端存储 TokenPayload 中的信息为:

{
  "id": "1234567890",
  "name": "John Doe",
  "admin": true
  "expire": 1527833009000
}

那么当客户端携带这个 token 访问服务端的时候,服务端进行两步处理:

  1. 对 Signature 部分进行解密验证,保证 token 没有被篡改过。
  2. 解析 Payload 数据,根据属性 expire 来判断是否过期。

 

h_lizeming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot2.0企业中台实战之权限统一管理与应用统一授权 (dubbo分布式系统实战)
12-07
本课程是一门具有很强实践性质的“项目实战”课程,即“企业中台系统实战”,其中主要包含三大块核心内容,如下图所示(右键可以在新标签页中打开图片放大查看): 即主要包含以下三大块内容: ① 企业内部应用系统菜单资源和操作权限的统一管理; ② 分布式应用系统通信时的统一授权,即基于AccessToken的授权与认证; ③ 分布式服务/系统通信时的两大方式(基于dubbo rpc协议和基于http协议的restful api实战)。   值得一提的是,这套中台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”,故而本门课程的“代码实战”是建立在之前debug录制的“企业权限管理平台”这套课程的基础之上的,故而在这里debug建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程,之后再来学习我的这套中台系统的实战才不会很吃力(课程链接:)   本课程的课程大纲如下图所示(右键可以在新标签页中打开图片放大查看):   除此之外,这套“中台系统”由于统一管理了企业内部各大应用系统的“菜单资源和操作权限”以及“应用系统之间通信时的统一授权”,故而难免需要涉及到“中台系统”与“中台子系统”、“中台子系统”与“中台子系统”之间的通信(即分布式服务之间的通信),在这里我们是采用“dubbo + zookeeper”的方式加以落地实现的,详情如下图所示(右键可以在新标签页中打开图片放大查看):   而众所周知,作为一款知名以及相当流行的分布式服务调度中间件,dubbo现如今已经晋升为Apache顶级的开源项目,未来也仍将成为“分布式系统”开发实战的一大利器,如下图所示为dubbo底层核心系统架构图(右键可以在新标签页中打开图片放大查看): 而在这门“中台系统实战”的课程中,我们也将始终贯彻、落地dubbo的这一核心系统架构图,即如何将中台系统开发的服务注册/发布到注册中心zookeeper,中台子系统如何订阅/消费/调度中台系统发布在zookeeper的接口服务,中台子系统在走http协议调度通信时dubbo如何进行拦截、基于token认证接口的调用者等等,这些内容我们在课程中将一一得到代码层面的实战落地!   下图为本课程中涉及到的分布式系统/服务之间 采用“http协议restfulapi”方式通信时的Token授权、认证的流程图(右键可以在新标签页中打开图片放大查看): 而不夸张地说,基于AccessToken的授权、认证方式在现如今微服务、分布式时代系统与系统在通信期间最为常用的“授权方式”了,可想而知,掌握其中的流程思想是多么的重要!   以下为本门课程的部分截图(右键可以在新标签页中打开图片放大查看):     核心技术列表: 值得一提的是,由于本门课程是一门真正介绍“中台思想”以及将“中台思想”和“分布式系统开发实战”相结合落地的课程,故而在学完本门课程之后,可以掌握到的核心技术自然是相当多的。主要由SpringBoot2.0、SpringMVC、Mybatis、Dubbo、ZooKeeper、Redis、OkHttp3、Guava-Retrying重试机制、JWT(Json Web Token)、Shiro、分布式集群session共享、Lombok、StreamAPI、Dubbo-Filter以及ServiceBean等等。如下图所示(右键可以在新标签页中打开图片放大查看):
登录验证两种方案:tokencookie以及对比
EmotionComputer
08-13 305
HTTP无状态,每次请求都要携带cookie,以帮助识别用户身份;服务端也可以向客户端set-cookiecookie大小限制为4kb;
了解认证、授权、凭证、Cookie、Session、Token、JWT
suifeng0614的博客
01-03 1414
了解认证、授权、凭证、Cookie、Session、Token、JWT
cookietoken区别
u012963112的博客
04-29 5781
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
基于SpringBoot整合oauth2实现token认证
08-25
基于SpringBoot整合oauth2实现token认证 本文主要介绍了基于SpringBoot整合oauth2实现token认证的技术,通过示例代码对该技术进行了详细的介绍,对读者学习或工作具有重要参考价值。 SpringBoot和oauth2的整合 在...
浅谈基于Token的WEB后台认证机制
08-26
但是,它不太适合拥有自有认证权限管理的企业应用。 Cookie Auth是一个传统的认证机制,通过在服务端创建一个Session对象,并在客户端的浏览器端创建一个Cookie对象来实现状态管理的。但是,它存在一些缺陷,例如,...
Sa-Token权限认证框架 v1.35.0.zip
最新发布
10-03
**Sa-Token权限认证框架 v1.35.0** Sa-Token是一个轻量级的Java权限认证框架,专注于权限控制的基本功能,如登录认证权限校验、会话管理等。其设计目标是简化传统权限认证的复杂度,适用于微服务、单页应用等多种...
Django+JWT实现Token认证的实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
前端知识Token知识点笔记.pdf
05-31
Token不仅用于身份验证,还可以用于权限管理、API调用认证等场景。 7.7 Token的层级 Token的使用可能涉及多个层级,如应用层Token、API层Token等,用于不同范围的身份验证和授权。 本笔记是关于Cookie、Session、...
详细学习Java Cookie技术(用户登录、浏览、访问权限)
09-01
主要为大家详细介绍了Java Cookie技术,显示用户上次登录的时间、显示用户最近浏览的若干个图片(按比例缩放)等,感兴趣的小伙伴们可以参考一下
JAVA调用restful接口,通过Cookie跳过权限验证
chen875351636的博客
03-02 5106
这两天项目上用到restful,自己写了restful接口,然后在java中调用,项目中配有登录验证的过滤器。在网上搜了很多方式都是无状态的调用方式。最后综合了网上很多资料总结出一下两种方式:1.通过HttpClient方式:    HttpClient httpclient = new DefaultHttpClient();    String url = "http://10.0.102.1...
基础的JAVA Token权限认证
weixin_41678132的博客
11-28 1958
public class JwtUtil { private static final long EXPIER_TIME = 15 * 60 * 1000; private static final String TOKEN_SECRET = "123456"; public static String sign(String userName, String user...
【JavaWeb】了解认证、授权、凭证、Cookie、Session、Token、JWT
墩墩分墩
06-24 1818
文章目录一.什么是认证(Authentication)二.什么是授权(Authorization)三.什么是凭证(Credentials)四.Cookie1.什么是Cookie2.Cookie产生的过程3.Cookie存放的位置4.cookie 重要的属性4.1.**Path属性使用**4.2.Domain属性使用5.SessionStorage,LocalStorage五.Session1.什么是Session2.Session产生的过程六.Cookie 和 Session 的区别七.什么是 Token
CookieToken区别
a2986467829的博客
06-27 6782
说到 cookietoken 应该没有人不知道的吧,而如果说让大家说出 cookietoken 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关的基础知识,给自己充充电吧!!!!Cookie ...
token 验证详解实例
热门推荐
hi_pengbo的博客
09-08 1万+
基于 Token 的身份验证                                              <span property="sioc:num_replies" content="7" datatype="xsd:integer" class="rdf-meta element-hidden">                             最近了
《干货系列》_相关基础_用户认证Cookie、Session、Token、JWT)
weixin_40283296的博客
07-10 222
1.认证 通俗地讲就是验证当前用户的身份 2.授权 用户授予第三方应用访问该用户某些资源的权限 3.凭证 实现认证和授权的前提是需要一种媒介(证书) 来标记访问者的身份 4.Cookie cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。 cookie 是不可跨域的: 每个 cookie都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。
java cookie安全_cookie的安全性问题
weixin_36278346的博客
02-12 356
HTTP协议:(1)请求组成部分:请求行:(get或者post请求;请求路径(不包括主机) ;http1.1)请求头:请求头是浏览器交给服务器的一些信息(比较cookie啥的)请求体:只有post请求有请求体,get请求没有。(2)响应组成部分:响应状态行:响应码200,404,500响应头:响应体:浏览器解析现实的数据1、cookie加密2、http-onlyhttp://blog.csdn.n...
cookie session token区别
08-18
Cookie和Session不同,Token不需要在服务器端保存任何用户信息,服务器只需通过解密Token来验证用户的身份和权限,从而实现跨越多个服务的认证和授权。 总的来说,Cookie是在客户端中保存状态的机制,Session是在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值