权限认证基础:区分Authentication,Authorization以及Cookie、Session、Token

最新推荐文章于 2024-01-14 17:11:00 发布
置顶 最新推荐文章于 2024-01-14 17:11:00 发布
阅读量1.5k 收藏 7
点赞数 3
分类专栏: 随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a967333/article/details/105404998
版权

1. 认证 (Authentication) 和授权 (Authorization)的区别是什么?

这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。

说简单点就是:

  • 认证 (Authentication): 你是谁。
  • 授权 (Authorization): 你有权限干什么。

稍微正式点(啰嗦点)的说法就是:

  • Authentication(认证) 是验证您的身份的凭据(例如用户名/用户ID和密码),通过这个凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称为身份/用户验证。
  • Authorization(授权) 发生在 Authentication(认证) 之后。授权嘛,光看意思大家应该就明白,它主要掌管我们访问系统的权限。比如有些特定资源只能具有特定权限的人才能访问比如admin,有些对系统资源操作比如删除、添加、更新只能特定人才具有。

这两个一般在我们的系统中被结合在一起使用,目的就是为了保护我们系统的安全性。

2. 什么是Cookie ? Cookie的作用是什么?如何在服务端使用 Cookie ?

2.1 什么是Cookie ? Cookie的作用是什么?

Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太一样。

维基百科是这样定义 Cookie 的:Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存放在客户端,一般用来保存用户信息。

下面是 Cookie 的一些应用案例:

  1. 我们在 Cookie 中保存已经登录过的用户信息,下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了。除此之外,Cookie 还能保存用户首选项,主题和其他设置信息。
  2. 使用Cookie 保存 session 或者 token ,向后端发送请求的时候带上 Cookie,这样后端就能取到session或者token了。这样就能记录用户当前的状态了,因为 HTTP 协议是无状态的。
  3. Cookie 还可以用来记录和分析用户行为。举个简单的例子你在网上购物的时候,因为HTTP协议是没有状态的,如果服务器想要获取你在某个页面的停留状态或者看了哪
最低0.47元/天 解锁文章
a967333
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity之JWT实现token认证和授权.zip
08-09
它通过在客户端和服务器之间传递令牌来验证用户身份,而不是传统的sessioncookie方式。JWT包含三部分:头部、载荷和签名,其中载荷可以携带用户信息,而签名则确保数据的完整性和来源的可靠性。 要将Spring ...
在ASP.NET Core中实现一个Token base的身份认证实例
10-20
传统的Web身份认证通常依赖于CookieSession,但这在多终端、API驱动的应用场景中并不适用,因为Cookie不适用于非浏览器客户端。Token身份验证,尤其是JWT,因其轻量级、可扩展性和安全性,成为了现代Web API认证的...
通用身份验证类:AuthenticationCookie
Jason 的专栏
09-06 774
/// <summary> /// Cookie身份验证辅助类 /// </summary> public class AuthenticationCookie { /// <summary> /// 判断用户是否登录成功并授权 /// </summary&...
TSynAuthentication SESSION验证
weixin_30339969的博客
12-18 85
TSynAuthentication SESSION验证 服务端维护的SESSIONS,实质上是一个array of integer,保存的是客户端的SESSIONID。 SESSIONID可以由客户端来生成,只要客户端不关闭,它的SESSIONID就不变,每次申请都提交这个SESSIONID。 通过TOKEN验证的客户端,它的SESSIONID追加到SESSIONS,如果已经存在,就不要追...
登录和第三方授权(CookieAuthorization
Vincent的博客
03-13 1万+
文章目录1 登录和授权的区别2 Cookie2.1 Cookie的工作机制2.2 Cookie的作用2.3 Cookie存在的问题(了解即可)3 Authorization3.1 Basic3.2 Bearer3.2.1 OAuth2流程(第三方授权)3.2.2 微信登录(第三方登录)3.2.3 OAuth2流程简单总结3.2.4 自家App中使用Bearer token3.2.5 Refresh...
一问带你区分清楚Authentication,Authorization以及CookieSessionToken
weixin_30530523的博客
09-29 1031
上周写了一个 适合初学者入门 Spring Security With JWT 的 Demo 。Demo 地址:https://github.com/Snailclimb/spring-security-jwt-guide 。很多人可能对权限认证领域一些常见的概念都不是特别了解,所以写了篇文章专门介绍一下这些概念。文中对于每一部分知识点可能有推荐的文章,阅读原文即可看到文章的链接。 1....
解释tokenAuthorization
热门推荐
weixin_41917467的博客
11-24 3万+
header里面放Authorization,就是为了验证用户身份,现在前后端分离,有跨域问题,session经常会失效 所以使用了token来验证用户身份(目前只知道可以用于验证用户身份) tokensession拥有同一功能就是判断当前用户是不是之前登录了的用户 比如你登陆后,在同一浏览器不同页面打开同一网址,你想跳过登录环节 这时候因为跨域问题,发送给后台的session会是一个新的ses...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
3. **JWT存储**:客户端收到JWT后,将其存储在本地,如Cookie或LocalStorage中,而不是使用Session。 4. **请求授权**:每当客户端需要访问受保护的资源时,都会在HTTP请求的Authorization头中附加JWT。服务器通过...
angular-8-jwt-authentication-example:Angular 8 JWT认证示例
01-30
2. **存储令牌**:客户端通常将JWT存储在本地存储(Local Storage)或Cookie中,而不是在会话存储(Session Storage)中,因为JWT需要在跨域请求中携带。 3. **鉴权过程**:在每次对受保护资源的请求中,客户端会在...
前后端常见的几种鉴权方式(小结)
11-30
本文主要总结了四种常见的前后端鉴权方式:HTTP Basic AuthenticationSession-CookieToken验证以及OAuth。 首先,HTTP Basic Authentication是一种基于HTTP协议的基本授权方式。当客户端(通常是浏览器)向...
headers: {'Authorization': token}
qq_34164814的博客
02-19 1万+
Token添加到请求头Header中 headers: {'Authorization': token}
django——postman自动设置token
他说少年如歌
04-15 957
在django项目中,由于csrf的保护,我们不得不在请求头添加"X-CSRFToken",如果不加的话,项目会返回403. Django项目的csrftoken一般在登录的时候会设置到cookie中,本文描述了如何使用postman自动获取cookie中的csrftoken,并将该值自动设置到后续请求的header中。 为了自动化地设置这个token,我们需要使用postman的“Tes...
Python3+Django2的Authorization Token验证
qq_32506429的博客
04-28 2709
转载请著名出处:https://blog.csdn.net/qq_32506429/article/details/89641123 初学Python Web,环境是python3 +Django2,然后Web想做简单的用户token验证,验证通过才能进行其他操作;在网上找了好久,先学了装饰器,才看懂很多教程,但是没有直接上代码的,对伸手党的我很不友好(>.<羞耻...),所以研究了...
Authorization+Token+JWT
cqwoniu的博客
10-18 1003
1.项目部署到服务器上,需要当前服务器授权后才能正常访问,一言而概之,授权服务器就是为客户端产生一个token. 2.当我们仅仅只有一台authorization-server 时,没有任何问题,但是当我们使用多台authorization-server时,由于内存数据无法共享,故用户登录的数据仅仅保存在一台服务器里面,这就会导致某台授权服务器会误判“是否用户登录”这个问题。 3.因此我们想到使用Redis共享Token,直接将token存储在本地内存上。 本图来自:尚学堂(如有侵权啊,告知必删)。 4.
Authorization获取token,进而获取用户信息(拦截器的使用)
最新发布
m0_52228992的博客
01-14 958
首先,我大致讲讲是怎么样一个应用场景。我通过JWT生成用户token,ThreadLocal来保存用户信息。我想在除了登录和注册的时候,获取用户信息。下面来讲讲如何使用。拦截器的使用,大致分两步。1.创建一个类实现HandlerInterceptor,定义拦截内容2.创建一个类实现WebMvcConfigurer,添加拦截对象和地址。
axios请求中添加tokenAuthorization中添加token
Bright2017的博客
05-26 1363
axios({ method: 'get', url: url, responseType: 'blob', headers: { 'Authorization': 'Bearer ' + getToken() } }).then(res => { console.log(res) }) 转载地址:https://blog.csdn.net/weixin_44994731/article/details/104472894
一次性弄清楚 Authentication & Authorization以及CookieSessionToken
ChaITSimpleLove的博客
10-13 1817
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication): 你是谁? 授权 (Authorization): 你有权限干什么? 稍微正式点(啰嗦点)的说法就是: Authentication认证) 是验证您的身份的凭据(例如用户名/用户
Token转化为Authorization
cqfdcw的博客
03-30 1295
点击前往https://base64.us/,进行Base64编码,拿到用户名和Token组合编码 在Base64编码前面添加上Basic 即为Authorization BasicaGFuZ3NoYW46MTExMWVjMmUwNzI2ZjM5NDVlNjhlYTZiMGExMDJlOTA0Mw==
django 怎么在请求头中加 Authorization: Bearer <token>
06-09
在 Django 中,你可以通过 Django REST framework 提供的 Authentication 来进行身份认证。如果你使用 JWT 认证,可以使用 `rest_framework_jwt.authentication.JSONWebTokenAuthentication` 来进行认证。 你可以在 DRF 的视图函数中添加 `authentication_classes` 属性,来指定该视图使用的身份认证类。例如: ```python from rest_framework.views import APIView from rest_framework.authentication import JSONWebTokenAuthentication from rest_framework.permissions import IsAuthenticated from rest_framework.response import Response class MyView(APIView): authentication_classes = [JSONWebTokenAuthentication] permission_classes = [IsAuthenticated] def get(self, request): # 在这里获取用户信息,并返回响应 return Response({'username': request.user.username}) ``` 当客户端发送请求时,需要在请求头中添加 `Authorization: Bearer <token>`,其中 `<token>` 是从服务端获取的 JWT Token。 如果你使用其他的身份认证方式,也可以将 `authentication_classes` 属性替换为相应的身份认证类即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值