终于有人把前端鉴权讲明白了

最新推荐文章于 2024-03-29 11:58:45 发布
VIP文章 最新推荐文章于 2024-03-29 11:58:45 发布
阅读量1.1k 收藏 6
点赞数 1
文章标签: 前端 云计算 session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qingcloudedu/article/details/120972578
版权

什么是鉴权

鉴权也叫身份认证,指验证用户是否有系统的访问权限。就很像我们经常乘坐动车的票据(对应的标识,一定的时间范围)。

认证方式

接下来介绍几种我们工作中通常用到的认证方式。

Session-Cookie 认证

利用服务端的 Session(会话)和浏览器(客户端)的 Cookie 来实现的前后端通信认证模式。

来源

由于 HTTP 请求时是无状态的,服务端正常情况下无法得知请求发送者的身份。这个时候如果我们要记录状态,就需要在服务端创建会话,将相同客户端的请求都维护在各自的会话记录中,每当请求到达服务端时,先校验请求中的用户标识是否存在于 Session 中,如果有则表示已经认证成功,否则表示认证失败。

流程

file

实践

boss(我们的一个产品) 这边 Session ID 存在数据库里面,在 Memcached 里面做缓存。客户端每次调用接口的时候会通过 response headers 里面的 Set-Cookie 更新过期时间(boss 这边设置的是 6 个小时),这样做的作用是防止你在做一些复杂操作的时候,cookie 突然过期。

⚠️整个过程是比较重的,因为每次的接口调用都得更新过期时间。

优缺点

优点:
  • 简单易用,浏览器会自动带上
缺点:
  • 脱离浏览器没法用,比如原生应用

关于 Cookie 的安全问题

Cookie 属性:

file

提高安全性的办法

  • Expires/Max-Age 设置合理过期时间

  • HttpOnly 设

最低0.47元/天 解锁文章
青云技术社区
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用React-Router实现前端路由鉴权的示例代码
11-20
React-Router 是React生态里面很重要的一环,现在React的单页应用的路由基本都是前端自己管理的,而不像以前是后端路由,React管理路由的库常用的就是就是 React-Router 。本文想写一下 React-Router 的使用,但是光介绍API又太平淡了, 而且官方文档已经写得很好了 ,我这里就用一个常见的开发场景来看看 React-Router 是怎么用的吧。而我们一般的系统都会有用户访问权限的限制,某些页面可能需要用户具有一定的权限才能访问。本文就是用 React-Router 来实现一个前端鉴权模型。 本文全部代码已经上传GitHub,大家可以拿下来玩玩:https
前端鉴权:cookie、session 和 token 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 924
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
前端鉴权问题以及项目api请求模块的封装
最新发布
A1867350的博客
03-29 874
正值金三银四招聘旺季,很多小伙伴都询问我有没有前端方面的面试题,特地整理出来赠送给大家!资料领取方式:点击这里前往获取赠送给大家!资料领取方式:点击这里前往获取资料领取方式:点击这里前往获取。
前端鉴权机制(cookie、session、token、WebStorage会话管理方式)
坚强的泡沫的博客
01-30 671
1、cookie与session的区别 cookie数据存放在客户端上,session数据存放在服务器上 cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。用户验证这种场合一般会用 session session保存在服务器,客户端不知道其中的信息;反之,cookie保存在客户端,服务器能够知道其中的信息 session会在一定时间内保存在服务器上,当访问增多,会比较占用服务器的性能,考虑到减轻服务器性能方面,应当使用coo
常见登录鉴权方案
奇舞周刊
11-02 780
‍背景说起鉴权大家应该都很熟悉,不过作为前端开发来鉴权的流程大头都在后端小哥那边,本文的目的就是为了让大家了解一下常见的鉴权的方式和原理。认知:HTTP 是一个无状态协议,所以客户端...
聊聊前端鉴权方案
集成显卡的开源主页 https://github.com/0604hx
11-07 7593
前端鉴权主要分权限(角色/授权信息)获取、权限判断这两块,简单来说就是拿到规则跟应用规则
前端鉴权的10种方式
椰卤工程师的个人博客
10-09 3330
鉴权(Authentication) 在信息安全领域是指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。
前端鉴权的几种方式
前端程序员、项目经理、人工智能博主
10-24 397
SSO一般都需要一个独立的认证中心(passport),子系统的登录均得通过passport,子系统本身将不参与登录操作,当一个系统成功登录以后,passport将会颁发一个令牌给各个子系统,子系统可以拿着令牌会获取各自的受保护资源,为了减少频繁认证,各个子系统在被passport授权以后,会建立一个局部会话,在一定时间内可以无需再次向passport发起认证。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户.之后用户与服务器通信的时候.服务器完全只靠这个对象认定用户身份。
前端鉴权方式
一生为追梦的博客
03-06 8856
四种常见的鉴权方式。 1.HTTP Basic Authentication:用的比较少,平常FTP登录是用的这种方式吧?感觉可以用在内部网系统。 2.session-cookie:这个在老的系统见得多,只适用于web系统。以前用java servlet写服务端时候,都会自动维护session,会在cookie写一个JSESSIONID的值。 3.Token:现在主流都是用这个,适用于app...
前端鉴权必须了解的 5 个名词:cookie、session、token、jwt、单点登录
油墨香^-^的博客
09-14 114
HTTP 是无状态的,为了维持前后请求,需要前端存储标记cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题token 是另一种状态管理方案,相比于 session 不需要后端存储,数据全部存在前端,解放后端,释放灵活性token 的编码技术,通常基于 base64,或增加加密算法防篡改,jwt 是一种成熟的编码方案。
前后端鉴权的10种方案
追求幸福,探索未知的博客
01-28 4847
前后端鉴权的10种方案
前端权限控制
05-08
前端权限控制.
web前端开发语言有哪些.pdf
11-19
web前端开发语言有哪些.pdf
Web前端开发技术有哪些.pdf
11-16
Web前端开发技术有哪些.pdf
web前端人形时钟
09-11
js+flash制作的一个web前端人形时钟,,,十分好看,好多博客园中博主都有引入。 js+flash制作的一个web前端人形时钟,,,十分好看,好多博客园中博主都有引入。
前端鉴权浅用
小菜鸟的博客
11-14 647
前端鉴权 前端权限的控制从本质上来说,就是控制前端视图层的展示和前端所发送的请求 ,但是只有前端权限控制没有后端权限控制是万万不可的,前端权限只是达到一个锦上添花的效果 前端权限的意义 1.降低非法操作的可能性 比如页面上的一个按钮,通过控制台改变按钮的属性,如果前端没有权限控制虽然点击了,但是不会有效果,如果有权限设置的话,没有权限的用户我们可以让其按钮隐藏 2.尽可能排除不必要请求,减轻服务器压力 不具备权限的请求,就应该压根不需要发送 3.提高用户体验 前端权限的控制思路 首先我们准备一个404界面
前端登录鉴权思路
MISS_zhang_0110的博客
08-16 494
前端登录鉴权思路一、login.vue二、axios.js 一、login.vue 在点击登录时候,把账号和密码用sessionStorage存储到vuex中(存sessionStorage好处,新打开页面输入/index进不去,sessionstorage在不同的页面和标签间无法共享,跳转可以,如果复制URL是不行的) 二、axios.js config.headers[‘token’] = token(登录时候后端给的token) ...
关于Vue与服务器端的通信:如何实现登录鉴权
忧郁的蛋的专栏
08-12 593
用户输入用户名和密码后,前端发送登录请求到服务器端,服务器端进行验证后,返回相应的结果。Vue可以与服务器进行通信来获取数据和进行鉴权,本文将探讨如何实现登录鉴权的过程,并给出相应的代码示例。在登录成功后,我们可以将用户的登录状态保存到Vuex中,并进行相应的页面跳转。如果验证成功,我们返回一个成功的响应,否则返回一个错误的响应,包含相应的错误信息。在Login.vue组件中,我们在登录成功后,调用store的login方法来将登录状态设为true,并进行页面跳转。接口,并传递了用户名和密码的参数。
用Tomcat搭建具备访问控制功能的文件服务器,并由jsp实现前端鉴权
05-30
好的,您的问题是如何用Tomcat搭建具备访问控制功能的文件服务器,并由jsp实现前端鉴权。 首先,需要在Tomcat服务器上安装WebDAV模块。WebDAV是一种基于HTTP协议的文件访问和管理协议,可以方便地实现文件的上传、下载、删除等操作。 安装完成后,需要在Tomcat的配置文件中配置WebDAV的访问控制。可以通过在Tomcat的web.xml文件中添加如下配置来实现: ``` <security-constraint> <web-resource-collection> <web-resource-name>WebDAV</web-resource-name> <url-pattern>/webdav/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>webdav</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>BASIC</auth-method> <realm-name>WebDAV</realm-name> </login-config> <security-role> <role-name>webdav</role-name> </security-role> ``` 这里的配置中,定义了访问WebDAV的URL模式为/webdav/*,并限制访问该资源的用户必须具备webdav角色。同时,使用BASIC认证方式,并指定了WebDAV的realm名称。 接下来,需要在Tomcat的conf/tomcat-users.xml文件中添加具备webdav角色的用户,如下所示: ``` <role rolename="webdav"/> <user username="user1" password="password1" roles="webdav"/> <user username="user2" password="password2" roles="webdav"/> ``` 这里添加了两个用户user1和user2,他们的密码分别为password1和password2,都具备webdav角色。 最后,需要使用jsp实现前端鉴权。可以通过在jsp页面中使用JavaScript获取用户输入的用户名和密码,并使用XMLHttpRequest对象向Tomcat服务器发送HTTP请求,实现登录认证。 具体实现可以参考以下代码: ``` <script> function login() { var username = document.getElementById("username").value; var password = document.getElementById("password").value; var xhr = new XMLHttpRequest(); xhr.open("GET", "/webdav/", true, username, password); xhr.onreadystatechange = function() { if (xhr.readyState === XMLHttpRequest.DONE) { if (xhr.status === 200) { // 登录成功,跳转到文件列表页面 window.location.href = "/filelist.jsp"; } else { // 登录失败,弹出错误提示 alert("登录失败!"); } } }; xhr.send(); } </script> <form> <label for="username">用户名:</label> <input type="text" id="username" name="username"><br><br> <label for="password">密码:</label> <input type="password" id="password" name="password"><br><br> <input type="button" value="登录" onclick="login()"> </form> ``` 这里使用XMLHttpRequest对象向Tomcat服务器发送GET请求,并在请求的URL中添加用户名和密码。如果登录成功,则跳转到文件列表页面;否则弹出错误提示。 希望以上内容能够帮到您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值