终于有人把前端鉴权讲明白了

最新推荐文章于 2024-09-04 22:17:34 发布
最新推荐文章于 2024-09-04 22:17:34 发布
阅读量1.1k 收藏 6
点赞数 1
文章标签: 前端 云计算 session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qingcloudedu/article/details/120972578
版权
本文详细介绍了前端鉴权的多种方式,包括Session-Cookie认证、Token认证、单点登录以及OAuth2和OIDC。讨论了各种认证方式的来源、流程、优缺点,同时涉及了Cookie的安全问题、Google验证器的2FA双因素认证,为前端身份验证提供了全面的理解。
摘要由CSDN通过智能技术生成

什么是鉴权

鉴权也叫身份认证,指验证用户是否有系统的访问权限。就很像我们经常乘坐动车的票据(对应的标识,一定的时间范围)。

认证方式

接下来介绍几种我们工作中通常用到的认证方式。

Session-Cookie 认证

利用服务端的 Session(会话)和浏览器(客户端)的 Cookie 来实现的前后端通信认证模式。

来源

由于 HTTP 请求时是无状态的,服务端正常情况下无法得知请求发送者的身份。这个时候如果我们要记录状态,就需要在服务端创建会话,将相同客户端的请求都维护在各自的会话记录中,每当请求到达服务端时,先校验请求中的用户标识是否存在于 Session 中,如果有则表示已经认证成功,否则表示认证失败。

流程

file

实践

boss(我们的一个产品) 这边 Session ID 存在数据库里面,在 Memcached 里面做缓存。客户端每次调用接口的时候会通过 response headers 里面的 Set-Cookie 更新过期时间(boss 这边设置的是 6 个小时),这样做的作用是防止你在做一些复杂操作的时候,cookie 突然过期。

⚠️整个过程是比较重的,因为每次的接口调用都得更新过期时间。

优缺点

优点:
  • 简单易用,浏览器会自动带上
缺点:
  • 脱离浏览器没法用,比如原生应用

关于 Cookie 的安全问题

Cookie 属性:

file

提高安全性的办法

  • Expires/Max-Age 设置合理过期时间

  • HttpOnly 设置

最低0.47元/天 解锁文章
青云技术社区
关注
前端开发:关于鉴权的使用总结
软贱开发攻城狮
12-27 2037
前端开发过程中,关于鉴权(权限的控制)是非常重要的内容,尤其是前端和后端之间数据传递时候的请求鉴权校验。前端鉴权的本质就是控制前端视图层的显示和前端向后台所发送的请求,但是只有前端鉴权,没有后端鉴权是非常不合理的,前端鉴权只是起到一个锦上添花的作用,虽然在前后端开发中程序的鉴权核心是在后端,但是前端鉴权也是很有必要的。那么本篇博文就来分享一下前端关于鉴权的使用总结,记录一下,方便查阅使用。前端鉴权,也叫前端身份认证,指的是验证用户是否具有系统的访问权限。
终于有人把业务中台、数据中台、技术中台都明白
大数据
12-20 7143
导读:2015年阿里巴巴提出“大中台,小前台”的中台战略,通过实施中台战略找到能够快速应对外界变化,整合阿里各种基础能力,高效支撑业务创新的机制。阿里巴巴中台战略最早从业务中台和数据中台...
前端常见的鉴权方式
Mr_Yan的博客
09-13 3011
目前我们常用的鉴权有四种: HTTP Basic Authentication (HTTP基本认证) session-cookie Token 验证(包括JWT,SSO) OAuth(开放授权) HTTP Basic Authentication http1.0或1.1规范的客户端(如IE,FIREFOX)收到401返回值时,将自动弹出一个登录窗口,要求用户输入用户名和密码。 用户名及密码以BASE64加密方式加密(base64不安全!)。 客户端未未认证的时候,会弹出用户名密码输入框,这个时候请求时属
前端登录鉴权——以若依Ruoyi前后端分离项目为例解读
最新发布
警警的博客
09-04 2182
用户-角色-菜单(User-Role-Menu)模型是一种常用于权限管理的设计模式,用于实现系统中的用户权限控制。通过token鉴权,实现不同用户不同菜单
前端鉴权的10种方式
m0_68009075的博客
08-29 583
前端鉴权的10种方式
前端鉴权浅用
小菜鸟的博客
11-14 730
前端鉴权 前端权限的控制从本质上来说,就是控制前端视图层的展示和前端所发送的请求 ,但是只有前端权限控制没有后端权限控制是万万不可的,前端权限只是达到一个锦上添花的效果 前端权限的意义 1.降低非法操作的可能性 比如页面上的一个按钮,通过控制台改变按钮的属性,如果前端没有权限控制虽然点击了,但是不会有效果,如果有权限设置的话,没有权限的用户我们可以让其按钮隐藏 2.尽可能排除不必要请求,减轻服务器压力 不具备权限的请求,就应该压根不需要发送 3.提高用户体验 前端权限的控制思路 首先我们准备一个404界面
什么是扩展现实(XR)?云XR系统怎样实现?终于有人明白
大数据
02-13 7857
导读:5G大潮下的VR/XR/AR云化探索。作者:林瑞杰 冯林温向东陈乐 等来源:大数据DT(ID:hzdashuju)我国政府正在积极推动虚拟现实技术的全面发展。虚拟现实(含增强现实...
java 鉴权_手把手教会你小程序登录鉴权
weixin_35804997的博客
02-16 722
导语为了方便小程序应用使用微信登录态进行授权登录,微信小程序提供了登录授权的开放接口。乍一看文档,感觉文档上的非常有道理,但是实现起来又真的是摸不着头脑,不知道如何管理和维护登录态。本文就来手把手的教会大家在业务里如何接入和维护微信登录态接入流程这里官方文档上的流程图已经足够清晰,我们直接就该图展开详述和补充。 首先大家看到这张图,肯定会注意到小程序进行通信交互的不止是小程序前端和我们自己的服务...
前端开发核心知识进阶
GitChat
07-02 4341
前端鉴权方式
一生为追梦的博客
03-06 8939
四种常见的鉴权方式。 1.HTTP Basic Authentication:用的比较少,平常FTP登录是用的这种方式吧?感觉可以用在内部网系统。 2.session-cookie:这个在老的系统见得多,只适用于web系统。以前用java servlet写服务端时候,都会自动维护session,会在cookie写一个JSESSIONID的值。 3.Token:现在主流都是用这个,适用于app...
前端权限控制
05-08
前端权限控制.
使用React-Router实现前端路由鉴权的示例代码
11-20
React-Router 是React生态里面很重要的一环,现在React的单页应用的路由基本都是前端自己管理的,而不像以前是后端路由,React管理路由的库常用的就是就是 React-Router 。本文想写一下 React-Router 的使用,但是光介绍API又太平淡了, 而且官方文档已经写得很好了 ,我这里就用一个常见的开发场景来看看 React-Router 是怎么用的吧。而我们一般的系统都会有用户访问权限的限制,某些页面可能需要用户具有一定的权限才能访问。本文就是用 React-Router 来实现一个前端鉴权模型。 本文全部代码已经上传GitHub,大家可以拿下来玩玩:https
项目中的鉴权是如何实现的?
田兴的博客
09-17 4962
一、token 验证登录流程 使用基于 Token 的身份验证方法,大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
前端鉴权的几种方式
前端程序员、项目经理、人工智能博主
10-24 551
SSO一般都需要一个独立的认证中心(passport),子系统的登录均得通过passport,子系统本身将不参与登录操作,当一个系统成功登录以后,passport将会颁发一个令牌给各个子系统,子系统可以拿着令牌会获取各自的受保护资源,为了减少频繁认证,各个子系统在被passport授权以后,会建立一个局部会话,在一定时间内可以无需再次向passport发起认证。JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户.之后用户与服务器通信的时候.服务器完全只靠这个对象认定用户身份。
前端面试查漏补缺--(十) 前端鉴权
a15732111571的博客
03-22 654
本系列最开始是为了自己面试准备的.后来发现整理越来越多,差不多有十二万字符,最后决定还是分享出来给大家. 为了分享整理出来,花费了自己大量的时间,起码是只自己用的三倍时间.如果喜欢的话,欢迎收藏,关注我!谢谢! 文章链接 前端面试查漏补缺–(一) 防抖和节流 前端面试查漏补缺–(二) 垃圾回收机制 前端面试查漏补缺–(三) 跨域及常见解决办法 前端面试查漏补缺–(四) 前端本地存储 前端面试查漏补...
前端鉴权必须了解的 5 个名词:cookie、session、token、jwt、单点登录
油墨香^-^的博客
09-14 155
HTTP 是无状态的,为了维持前后请求,需要前端存储标记cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题token 是另一种状态管理方案,相比于 session 不需要后端存储,数据全部存在前端,解放后端,释放灵活性token 的编码技术,通常基于 base64,或增加加密算法防篡改,jwt 是一种成熟的编码方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值