用户鉴权的三种方式,Cookie、Cookie+Session、Token

已于 2022-07-22 10:02:16 修改
阅读量3.5k 收藏 15
点赞数 3
文章标签: 前端 后端
于 2020-05-03 21:45:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RkHker/article/details/105909291
版权

在这里插入图片描述

      一个网站用户对动态的评论、置顶等等操作,服务器都需要对客户端验证是否有用户登录,如果无用户登录则提示用户跳转到登录页面进行登录。
      但是HTTP协议是无状态,一次请求对应一个响应,后续的系统操作,需要重新请求服务器。也就是说服务器无法识别客户端请求属于哪个用户发送的请求。
      为了保存用户登录状态,让服务器识别不同是不同用户发送的请求而返回不同响应,于是就有了Cookie、Cookie+Session、Token等几种鉴权方式用于保存用户的登录状态。
      使用纯Cookie的方式,用户在登录之后将用户的id或者用户账户发送到客户端,客户端保存Cookie,客户端每次请求时自动带上保存的Cookie,服务器接收到请求时,取出Cookie的用户id来鉴别用户。但是这种方式较为不安全,因为用户id、用户名这些信息都暴露在Cookie里。
      后来为了安全又有了Session,Session接收请求后,保存一个会话id到服务器内存中,通过Cookie将此id发送给客户端,同样客户端每次请求时带上这个Cookie与服务器保存的Session ID对来鉴别用户。因为Cookie不保存用户信息,所以较为安全,但是降低了服务器的性能,因为服务器需要在内存保存Session数据。
      有人可能会有疑问?同样Cookie是保存id,Session也是保存id,为什么Session就是安全的,Cookie就没那么安全。因为Session是动态生成且会过期的,Cookie也会过期,但是他每次保存的Cookie的id是数据库里对应用户的那个id,每次都是一样的。而Session id则每次都会重新生成id所以不相同。
      前后端分离的出现,带来了一种解决上述安全和性能问题的方案Token。
      Token使用非对称加密,密钥保存在服务器中,服务器将用户id写入Token,并对其加密发送给客户端。客户端接收后保存到本地,每次请求带上这个Token,Token通过密钥解析出用户id来鉴别用户。这样别人无法解析出Token加密后的用户id,服务器也不需要使用内存来保存,因为直接用密钥解析Token里的用户id即可识别用户。
      以上三种用户鉴权方式都存在过期时间,一旦过期,即使请求时带上了鉴权,服务器校验时依然会返回登陆过期提示给客户端。

Vgbire
关注
鉴权大全(cookiesessiontoken、jwt、单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1458
鉴权大全(cookiesessiontoken、jwt、单点登录),深入理解和搞懂鉴权
一文搞懂Cookie+Session,Redis+Token,JWT三者的区别
Fatter$hday的博客
05-24 3453
一文搞懂Cookie+Session,Redis+Token,JWT三者的区别
用户鉴权
weixin_44567493的博客
03-09 1188
用户鉴权 定义 验证用户是否合法以及验证用户的权限 ###常用认证 密码认证、短信认证、动态口令、人脸识别。。。 用户验证 后端常用鉴权方式 HTTP Basic Authentication 这种授权方式是浏览器遵守http协议实现的基本授权方式,HTTP协议进行通信的过程中,HTTP协议定义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。 ####认证过程 1. 客户端向服务...
【登录鉴权
最新发布
热情、奔放、快乐编程!
07-27 252
用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)cookiesessiontokenOAuth实现认证和授权的前提是需要一种媒介(证书) 来标记访问者的身份在互联网应用中,一般网站(如掘金)会有两种模式,游客模式和登录模式。当用户登录成功后,服务器会给该用户使用的浏览器颁发一个令牌(token
深入浅出用户认证鉴权
GitChat
09-02 1320
你工作 1~2 年时, 在和后端开发联调接口 API,人家说 token 过期了,通过邮件点击链接我们要做个 JWT 认证,你 2 眼一抹黑,这是啥子呀。 你工作 3~5 年后,公司要做一套 oauth2 认证,公司的所有系统用户鉴权都通过这套认证,你参与了整个系统设计,需要封装一个 sdk 给其他前端同事用 ,因为不懂原理实现,设计不合理,被同事吐槽,抵触使用你的 sdk。在整个工作生涯中,会一...
登录鉴权
weixin_45429461的博客
12-22 4104
注册登录鉴权 1.1.用户注册 前台需要给我们传递用户名、密码、手机号、手机验证码。验证用户前台传过来的数据是否符合规范,我们使用的Hibernate Validator框架实现的服务端表单校验。短信验证码这块,我们采用的阿里的大于短信接口来做的,我们单独搭建了一个短信微服务,发送的短信请求通过MQ消息由短信微服务消费,进行短信发送。密码我们使用的是Spring提供的BCryptPasswordEncoder加密算法,分成加密和验证两个过程: 加密:算法会对明文密码使用UUID随机生成一个salt,使用
CookieSessionToken三者的区别及使用
11-13
用户访问网站时,服务器会创建一个Session,并分配一个唯一的Session ID,这个ID会通过Cookie方式传递给客户端。 **工作原理**: 1. **初始化Session**: 当用户首次访问网站时,服务器创建一个新的Session,并...
Python使用接口的cookietokensession鉴权方式
qq_41130705的博客
07-19 1936
前言:今天咱们来学习下使用Python来做cookietokensession鉴权方式,我们将通过几个简单的例子来快速学习上手
sessiontoken鉴权方式
weixin_40611700的博客
10-19 1168
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
项目中的用户鉴权是如何实现的?
前端与计算机相关知识的分享,博主的qq523235674
11-07 1237
主流的前后端分离项目中用户鉴权最常用的是目前最流行的跨域认证解决方案---JWT(JSON WEB TOKEN)
用户鉴权--网络安全
Spongebobna的博客
11-05 1320
用户鉴权,一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法。用于用户登陆到DSMP或使用数据业务时,业务网关或Portal发送此消息到DSMP,对该用户使用数据业务的合法性和有效性(状态是否为激活)进行检查。
一文读懂cookiesessiontoken、jwt
LonelyFace的博客
07-31 285
一文读懂cookiesessiontoken、jwt 基于 HTTP 的前端鉴权背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,如何进行编码和防篡改?jwt 是做什么的?refresh token 的实现和意义 sessiontoken 有什么异同和优缺点 从状态说起 「HTTP 无状态」 我们知道,HTTP 是无状态的。也就是说,HTTP 请求方和响应方间无法维护状态,都是一次性的,它不
前端权限管理之cookiesessiontoken、JWT、SSO单点登录
一个女胖子的博客
03-07 1511
前言 本文将梳理一下前端权限管理登录鉴权方面的相关知识点
鉴权技术
skyyemperor的博客
04-17 1522
鉴权技术 一、HTTP Basic Authentication 这种授权方式是浏览器遵守http协议实现的基本授权方式。HTTP协议进行通信的过程中,HTTP协议定义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。 1、客户端向服务器请求数据此时,此时客户端尚未被验证。 Get /index.html HTTP/1.0 Host:www.google.com 2、服务器向客户端发送验证请求代码401,(WWW-Authenticate: Basic realm=”google.com”
Cookie/Session/token鉴权
weixin_44775434的博客
07-17 381
IPv4、IPv6、ARP、ICMP 常用请求头:常见响应头: cookie不是缓存,cookie是服务器产生的并且保存在客户端的一小段文本信息,格式是字典,键值对类型:会话级Cookie:持久化Cookie: 查看单个项目:F12 --> application --> Cookies查看本地所有:浏览器设置 --> 隐私设置和安全性 --> Cookie及网站数据 --> 查看所有的Cookie和网站数据name:名称value:值Domain:作用的服务器地址path:作用的路径Expries:声明周
用户鉴权、JWT(JSON Web Token)是什么?
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
12-22 2799
什么是用户鉴权 用户鉴权,一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法。用于用户登陆到DSMP或使用数据业务时,业务网关或Portal发送此消息到DSMP,对该用户使用数据业务的合法性和有效性(状态是否为激活)进行检查。来自百度百科:用户鉴权 四种鉴权的机制 1、HTTP Basic Authentication 这种授权方式是浏览器遵守 http 协议实现的基本授权方式,HTTP 协议进行通信的过程中,HTTP 协议定义了基本认证认证允许 HTTP 服务器对客户端进行用户身份证的
用户权限校验的两种方式 1.cookie结合session 2.jwt(token)。(cookiesession的认识与作用)
weixin_54000091的博客
01-04 1654
cookie结合session,以及使用jwt。这两种方式解决权限校验问题
记一次OAuth2.0用户鉴权
Karka_的博客
12-25 1066
我们平时登录不同的平台,总会有使用到Token的场景,比如用github账户登录掘金,这个时候我们肯定不会把自己的github账号密码给掘金, OAuth 就是这样一套机制,用于各种免密授权登录场景,在便利的同时保证安全性,其实就是向平台申请token授权。笔者最近在用spotify API二次开发自己的应用,所以也碰到用户鉴权登录的场景,踩坑蛮多,也学到很多,所以整理下来,希望能帮助到大家🤗。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Vgbire

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值