基于session认证

最新推荐文章于 2024-03-19 15:32:36 发布
最新推荐文章于 2024-03-19 15:32:36 发布
阅读量203 收藏
点赞数
文章标签: 认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/122008597
版权

目前大多数web应用的用户认证机制都是基于session的。用户认证成功后,在服务端生成用户相关的数据保存在session中(当前会话),而发给客户端的sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户登出或过期时把服务端session销毁,客户端的session_id也就无效了。

 

而在分布式的环境下,基于session的认证会出现一个问题。当我们第一次访问网站的时候,负载均衡将本地的请求分配到Web服务器A,那么session创建在Web服务器A,第二次访问的时候如果我们不做处理就不能保证还是会落到Web服务器A了。

​ 这个时候,通常的做法有下面几种:

Session复制:多台应用服务器之间同步session,使session保持一致,对外透明。

Session粘滞:当用户访问集群中某台服务器后,强制指定后续所有请求均落到此机器上。

Session数据集中存储:将Session存入分布式缓存集群中,所有服务器应用实例统一从分布式缓存集群中存取Session。

​ 总体来讲,基于session认证的认证方式,可以更好的在服务端对会话进行控制,且安全性较高。但是,session机制方式基于cookie,在移动应用上无法有效使用,并且无法跨域,保持住会话的做法非常麻烦。

Leon_Jinhai_Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【微服务|Spring Security②】基于Session认证方式|认证流程|工程搭建
梵高
07-08 1059
基于Session认证方式|认证流程|工程搭建
基于Spring Security的认证方式_编程UserDetailService_Spring Security OAuth2.0认证授权---springcloud工作笔记124
添柴程序猿的专栏
01-08 680
技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 以前都用过springsecurity了,但是没有系统的去看过,这次就系统的看一次. 根据上面的过程我们知道 authenticationProvider这个中有个supports这个方法可以看到. 对应的抽象类中有这个方法,而这个方法中指定了不同的认证方式,比如这里这个就是用户名密码认证返回token的方式. 然后我们去看这个方式 可以看到他封装了一个认证实体类对吧.
基于Session认证与授权实践
Java_zhujia的博客
12-11 568
基于 session认证方式如下图:​基于 Session认证机制由 Servlet 规范定制,Servlet 容器已实现,用户通过 HttpSession 的操作方法即可实现,如下是 HttpSession 相关的操作API。本项目使用 maven 搭建,使用 SpringMVC、Servlet3.0 实现。创建maven工程导入依赖 Servlet Context配置本案例采用 Servlet3.0 无 web.xml 方式,在 config 包下定义 WebConfig.java,它对应于
跟着燕青学Spring Security认证授权04--Servlet3.0 SpringMVC实现Session认证方式
传智燕青
10-09 605
1 认证流程 基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。下图是...
基于Session的安全认证方式
天天向上
07-14 513
1. 基于Session的安全认证方式 描述:当我们没有进行安全认证的时候,直接在浏览器地址栏输入http://127.0.0.1:8080/Security_Session/index.jsp会直接访问页面,这是我们不希望看到的。我们希望index.jsp页面是我们管理员角色才能访问的,因此需要进行一个安全认证。 原理:借助session机制,我们将用户的角色信息记录在session中,在页面对session中的角色进行认证,如果是admin角色则允许访问index.jsp页面,否则重定向到login.
基于Session、Token的身份验证小结
NewWent的博客
11-02 700
名词: Cookie 存储在client Session 会话,存储在server,server需要对session进行定期清理 Token 服务端验证成功后根据一定规则签发的一个‘令牌’,server端每次收到请求都用相同的规则再次生成'令牌'与其对比,而无需存储 验证流程: login =>发送http请求,账号密码验证成功 => server端通过r...
《SpringSecurity in Action》一: 基于Session实现登陆认证
shangcunshanfu的博客
04-10 1496
SpringSecurity - 基于Session实现登陆认证1 依赖2 代码示例2.1 代码说明 1 依赖 <dependencies> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>
(一)基于Session认证方式
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 739
创建工程 本案例工程使用maven进行构建,使用SpringMVC、Servlet3.0实现。 创建maven工程 security-springmvc,工程结构如下: 引入如下依赖如下,注意: 1、由于是web工程,packaging设置为war 2、使用tomcat7-maven-plugin插件来运行工程 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"
阐述Spring security实现用户认证授权的原理----基于session实现认证的方式
weixin_45856470的博客
05-18 533
fa
分布式认证方案
一个人的江湖
08-24 807
1 选型分析 1.1 基于session认证方式 在分布式的环境下,基于session认证会出现一个问题,每个应用服务都需要在session中存储用户身份信息,通过负载均衡将本地的请求分配到另一个应用服务需要将session信息带过去,否则会重新认证。 这个时候,通常的做法有下面几种: Session复制:多台应用服务器之间同步session,使session保持一致,对外透明。 Session黏贴:当用户访问集群中某台服务器后,强制指定后续所有请求均落到此机器上。 Session集中存储:将Sessi
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
Session 认证和Token 认证
abc_138的博客
01-02 1190
概念:JWT 全称 JSON Web Token,是一种基于 Token 的认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
基于session认证原理是怎样的?
fly_zhaohy的博客
01-14 1838
  用户登录认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。 ...
①实现基于session的登录流程:发送验证码、登录注册、校验登陆状态
ebb29bbe的博客
11-28 2246
- `发送验证码`: - - 用户输入手机号,点击发送按钮进行手机号提交,程序会校验手机号是否合法,不合法时要求用户重新输入手机号,合法则在后台生成对应的验证码并保存至`session`,之后通过短信方式将验证码发送给用户。 - `注册、登录`: - - 用户将手机号、验证码输入,后台从session中获取验证码与用户输入的验证码进行比对校验,如果不一致则无法通过校验,提示用户验证码错误,验证码一直则后台根据手机号查询用户,若用户不存在,则为用户创建账号信息并保存至数据库中,最后无论用户是否存在,都将用户的
【SpringSecurity】十三、基于Session实现授权认证
最新发布
llg___的博客
03-19 956
定义三个接口,登录,服务端保存session,登出,让session失效。以及一个资源接口,查看当前是登录访问资源,还是未登录访问资源。客户端下次再请求,就带上sid,服务端校验是否存在对应的session,存在则不要求用户再登录了。服务端返回给客户端session id (sid),被客户端存到自己的cookie中。用户认证成功后,服务端生成用户数据保存在session中。拦截器add并放行/login,只测/r**接口。修改实体类,加个权限字段,存储用户权限。加个测试资源接口/r2。
最详细的基于Session实现登录 + Redis的改进
weixin_58104242的博客
04-08 936
首先实现发送验证码的功能,即用户输入手机号,先判断入参是否正常,然后这个用户是不是新用户,如果是就注册,然后最终发送验证码,同时将user存入session中,但是user中存有password等私密信息,因此创建一个UserDTO,用于session的传输,最后将UserDTO存入session中 public Result login(LoginFormDTO loginForm, HttpSession session) { String phone = logi..
基于Session实现短信登录
weixin_51351637的博客
10-29 4489
这个地方为什么需要session?因为我们需要把验证码保存在session当中。
session的工作原理,及session实现登录验证示例
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 3703
服务器创建 Session: 服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户的 Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
sessionId做会话认证
06-03
在 Spring Boot 中,我们可以通过 HttpSession 对象来实现基于 Session ID 的会话认证。具体实现代码如下: ```java @PostMapping("/login") public String login(HttpServletRequest request, String username, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值