RESTful,在不用session的情况下做用户认证

最新推荐文章于 2022-07-19 20:19:23 发布
最新推荐文章于 2022-07-19 20:19:23 发布
阅读量954 收藏 2
点赞数
分类专栏: RESTful 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SailingLee/article/details/84264723
版权

最近在研究restful,在restful协议中,强调不使用session,但可以少量使用cookie。以保持restful的无状态性。

但是在实际使用中,有一个最大的问题,就是当应用需要用户登陆认证时,应该怎么处理。

在这里我的处理方法主要是把用户登陆后,把用户名+密码+ip地址+最后更新时间通过一个可逆加密后做为token,写入cookie,然后在需要认证的应用时,由php等程序读取cookie中的token,并把用户名、密码、ip地址及最后更新时间解密出来。

先判断时间是否过期,过期的话,清除cookie,要求重新登陆!

 

再判断cookie中的ip是否与当前客户端ip一致,如果不等,要求重新登陆。

时间和ip都通过的话,则把用户名、密码做判断,判断是否正确,正确的话,把用户基本信息存在一全局变量中!

做后续应用,同时把生成新的token(主要是时间)写入cookie。

这样的话就解决了三个问题

第一、时效,cookie有一个生存时间、同时在token中也存储时间,方便让令牌失效;

第二、解决了cookie欺骗问题,因为token记录了客户端的ip地址;

第三、解决了安全问题,采用可逆加密,就算得到token在没有解密key的情况下也无法破解得用户名及密码。

还有一个情况,同时把token保存到服务器,这样更容易控制!但是把东西记录到服务器的话,其实它不就是session了么,伪session而以,所以还是不建议这么用!

[转自:http://www.phpabc.cn/restfulzai-bu-yong-sessionde-qing-kuang-xia-zuo-yong-hu-ren-zheng.html]

SailingLee
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session正在被淘汰吗?
lisheng0947的博客
01-21 2564
首先你需要明白 session 的本质是什么,然后你就会发现 session 一直都在。虽然可能换了个名字,或者换了存储方式,但 session 的本质并没有改变。例如你说的将状态信息写出来 redis,这就是换了个存储方式,目的是利用 redis 的共享性和速度。 session 的实现方式有很多种,redis 只是其中之一。除了像 JWT 这种将状态信息存储在客户端的“异类”,其他将信息存于服务端并通过唯一 ID 寻址的都是 session。 http 无状态,所以为了实现有状态 http,才.
前后端项目为啥不用session
一个保安的自由之路
02-15 3667
????1:单体架构,整体的运行是以jar或者war进行部署运行,运行过程中是以进程运行,在程序执行是数据存储的过程都是在这个进程中。比如:你运行一个程序就会你的系统的产生一个java.exe进程。 ????2:后端部分,还运行java进程中。前端部分:vue+nodejs架构进行运行,在部署阶段发布一个静态文件部署nginx进程。 ????3;JWT ​????​前后端分离后,session位于两个进程中以及两个不同的服务器中,互相进水不犯河水~ ​????​JWT三件事情:创建Token,校验Tok
RESTful API介绍
m0_63770801的博客
07-12 826
API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数或者接口,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无须访问源码,或理解内部工作机制的细节。要实现一个 API 服务器,首先要考虑两个方面:API 风格和媒体类型。Go 语言中常用的 API 风格是 RPC 和 REST,常用的媒体类型是 JSON、XML 和 Protobuf。在 Go API 开发中常用的组合是 gRPC + Protobuf 和 REST +
分布式session问题
qq_42763903的博客
07-04 427
分布式session问题
为什么选择 token 的方式而不用 session
Aurora.Q 的博客
12-23 3765
首先我们看一下基于 session 的登陆会遇到什么问题。 我们可能有多个后端 比如现在的 XX项目,有多个后端:3 个 django 后端,1 个 java 后端。 只有一个前端,后端都是在同一个域名下,所以前端发送给后端的 sessionid 其实都是一样的,那么为了实现共享登陆的状态,必须实现多服务器共享 session.那么如何实现多服务器共享 session? 解决 session 的共享的方案通常是把这个 sessionid 存储在 cache(对外暴露的是键值对的形式),比如第三方存
Restful风格真的有必要吗?
ZJH
07-19 1407
restful风格
详解Go-JWT-RESTful身份认证教程
01-03
JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部、Claims载荷、Signature签名, JWT原理类似我们加盖公章或手写签名的的...
Restful安全认证及权限的解决方案.docx
10-26
Restful安全认证及权限管理是Web应用程序中至关重要的环节,确保了系统数据的安全性和用户访问的合法性。本文主要探讨了三种常见的Restful安全认证方法,着重介绍了JWT(JSON Web Token)及其实施步骤。 首先,传统...
Django rstful登陆认证并检查session是否过期代码实例
01-20
一:restful用户视图 #!/usr/bin/env python # -*- coding:UTF-8 -*- # Author:Leslie-x from users import models from rest_framework.decorators import action from rest_framework.response import Response...
spring-session
10-20
此外,Spring Session 还支持在 RESTful API 中使用 JSON Web Tokens (JWT) 进行会话管理。 3. **配置 Spring Session** 配置 Spring Session 需要在 Spring Boot 应用中添加对应的依赖,并在配置文件中指定会话...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
在这个项目中,Redis作为Spring Session的后台存储,存储用户的会话信息,保证了在高并发场景下的会话一致性。 Mybatis-Plus是在Mybatis基础上进行扩展的ORM(对象关系映射)框架,简化了对数据库的操作,包括插入...
代码不用restful的造成的影响
yzhao66的博客
06-01 185
代码不用restful造成的影响
深入RESTful无状态原则
weixin_34187862的博客
01-05 438
目录 目录 前言 无状态原则 Web服务的状态 基于状态的Web服务 基于无状态的Web服务 总结两者的区别 前言 在上篇RESTful基础知识中整体的介绍了RESTful架构设计思想的框架,在往后的RESTful主题博文中,我们在这个框架的基础上不断的为其填充更加深入的知识材料。 RESTful基础知...
对于REST中Statelessness的一点认识
a7859574的博客
06-16 270
今天早上在Yahoo的邮件列表里看到一篇颇有意思的讨论,标题为RESTful vs. unRESTful: Session IDs and Authentication(http://tech.groups.yahoo.com/group/rest-discuss/message/12870)。文中让发起讨论的朋友大惑不解的是这样一个问题:为什么在请求中传递SessionID被普遍认为是...
RESTful登录设计(基于Spring及Redis的Token鉴权)
热门推荐
AndyLizh的专栏
06-08 7万+
什么是REST REST(Representational State Transfer)是一种软件架构风格。它将服务端的信息和功能等所有事物统称为资源,客户端的请求实际就是对资源进行操作,它的主要特点有: – 每一个资源都会对应一个独一无二的url – 客户端通过HTTP的GET、POST、PUT、DELETE请求方法对资源进行查询、创建、修改、删除操作 – 客户端与服务端的交互必须是无状
Spring+SpringMVC+MyBatis+easyUI整合进阶篇(六)一定要RESTful吗?
Elinor2017的博客
10-16 196
作者:13 GitHub:https://github.com/ZHENFENG13 版权声明:本文为原创文章,未经允许不得转载。 写在前面的话 这个问题看起来就显得有些萌,或者说类似的问题都有些不靠谱,世上哪有那么多一定的事情,开发都不一定多久呢,所以说如果你有这个疑问的话是真真有点儿不着调,不过可能也就是随口一问吧,没有深究的必要。既然有人问这个,那么就再用一篇文章谈谈RES...
【内有代码】为什么不推荐使用 RESTful API?
qq_18244417的博客
07-07 777
如果你要问 Spring Boot 什么最厉害,我想答案就在本章标题 RESTful API 简称 REST API 。本项目源码下载(https://github.com/fishpr...
使用Rails restful方式的Session实现登陆机制
y_xiao_的专栏
12-10 2062
使用Rails提倡的restful的风格,通过建立session的mvc来实现网站的登入登出。
Spring+Boot+Spring+Security+JWT+实现+RESTful+Api+认证+(一)
最新发布
09-20
Spring Boot和Spring Security可以很好地结合使用来实现RESTful API的认证。而JWT(JSON Web Token)是一种用于认证和授权的安全传输方式。 要在Spring Boot中实现JWT认证,可以遵循以下步骤: 1. 添加依赖:在`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值