Session 认证和Token 认证

最新推荐文章于 2024-04-01 04:19:34 发布
最新推荐文章于 2024-04-01 04:19:34 发布
阅读量1k 收藏 18
点赞数 25
分类专栏: Spring Boot项目集成实战 文章标签: java java-ee spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abc_138/article/details/135330333
版权

一、基于 Session 认证方式

1.1、http 无状态性

http 是一种无状态协议,就是说每次用户进行用户名和密码认证之后,http 不会留下记录,下一次请求还需要进行认证。因为http 不知道每次请求是哪一个用户发出的。

为了能识别哪个用户提交的请求,在用户首次登录之后,在服务端存储一份用户登录的信息,这份信息在服务端就是通过 session 保存,然后把这份信息返回给客户端,客户端存储在 cookie 中,下次请求时,带上 cookie 中的信息,服务端就可以判断出是哪一个用户的请求。

1.2、session 认证流程

  1. 客户端向服务器发送用户名、密码等认证信息。
  2. 服务器通过验证后,创建一个 session ,并将 session 信息保存起来。
  3. 服务器向客户端返回一个 sessionId ,客户端自动把 sessionId 存储在 cookie 中。
  4. 后续客户端每一次请求。都会在请求头携带 cookie ,将 sessionId 传给服务器。
  5. 服务器获得 cookie 之后,通过 cookie 中的 sessionId 解析出用户信息,执行相关业务。
1.3、存在的问题
  • 每个用户信息都存储在服务端,随着用户量的增加,服务器的开销会增大。
  • session 存储在服务端中,在分布式系统中,这种方式将会失效,为了保证各个服务器中的 session存储的信息一致,需要引入额外的中间件,比如:redis 等
  • 对于非浏览器客户端不适用,原因在于 session 依赖 cookie,移动端没有 cookie
  • 不安全,session 基于 cookie ,如果 cookie 信息被截获,很容易进行 CSRF(跨域请求伪造攻击)

了解到基于 session 认证方式存在的问题之后,有没有一种认证去解决这些问题?下面我们来看看基于Token认证方式。

二、基于 Token 认证方式

token 就是验证用户身份的凭证,成为令牌,

2.1、认证流程

  1. 客户端向服务器发送用户名、密码等认证信息。
  2. 服务端通过验证后,服务端会返回已经签名的 Token,也就是 JWT。
  3. 客户端收到 token 后,存储起来,比如放在 cookie 或者 localStorage 中。
  4. 客户端每次向服务端请求资源时需要带上这个 token。
  5. 服务端收到请求后去验证这个 token,成功则返回请求数据。
2.2、特点:
  • 基于 token 的认证方式是一种服务端无状态的认证方式,服务端不存储 token 数据,适合分布式系统。
  • 不依赖 cookie 机制,适用于浏览器客户端同时也适用移动端。

使用建议

  • 建议将 JWT 存放在 localStorage 中,放在 Cookie 中会有 CSRF 风险。
  • 请求服务端并携带 JWT 的做法是放在 HTTP 请求头中。

三、JWT

3.1、什么是 JWT

概念:JWT 全称 JSON Web Token,是一种基于 Token 的认证授权机制。可以生成 token,也可以解析验证 token。

官网地址https://jwt.io/

先看看官网上 JWT 的具体样式

3.2、JWT 由哪几部分组成

JWT 通常是这样的:xxxxx.yyyyy.zzzzz
示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

通过示例可以看出 JWT 由 Header、Payload、Signature 三部分组成。

第一部分:Header(头)作用:记录令牌类型、签名算法等。

{
  "alg": "HS256",
  "typ": "JWT"
}

此 JSON 经过 Base64 编码,形成 JWT 的第一部分。

第二部分:Payload(有效载荷)作用:携带一些用户信息或者过期时间

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

Payload 默认是不加密的,不要将隐私数据放到 Payload 中,此 JSON 经过 Base64 编码,形成 JWT 的第二部分。

第三部分:Signature(签名)作用:防止 Token 被篡改,确保安全性。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

Signature 是对前两部分的签名,这个签名生成需要用到:

  • Header + Payload
  • 存放在服务端的密钥(不能泄露)
  • 签名算法

算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串,每个部分之间用(.)分隔,这个字符串就是 JWT 。

3.3、SpringBoot整合JWT

首先新建一个 springBoot 项目 jwt ,然后在 pom 中引入所需依赖。

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.duan</groupId>
    <artifactId>jwt</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
            <version>2.4.3</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>2.4.3</version>
        </dependency>

      <!-- JWT依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

       <!-- Springboot测试方法依赖-->
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.13.2</version>
            <scope>test</scope>
        </dependency>
    </dependencies>


</project>

在 JWTTest 测试类中新建生成 JWT 方法 getJWT,代码如下

package com.duan;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.Test;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author db
 * @version 1.0
 * @description JWTTest
 * @since 2023/12/21
 */
public class JWTTest {

    /**
     * 生成令牌
     */
    @Test
    public void getJWT(){
        Map<String, Object> map = new HashMap<>();
        map.put("id",1);
        map.put("username","程序员康康");
        String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, "cxykk1217")  // 设置签名算法和密钥
                .setClaims(map)   // 设置给定的数据
                .setExpiration(new Date(System.currentTimeMillis() + 1000L * 60 * 3))
                .compact();
        System.out.println(jwt);
    }

}

启动测试方法,打印结果如下:

在 JWTTest 测试类中新建解析 JWT 方法 parseJwt,代码如下:

package com.duan;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.junit.Test;

import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author db
 * @version 1.0
 * @description JWTTest
 * @since 2023/12/21
 */
public class JWTTest {

    /**
     * 解析令牌
     */
    @Test
    public void parseJwt(){
        Claims body = Jwts.parser()
                .setSigningKey("cxykk1217")
                .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNzAzOTkxMjg5LCJ1c2VybmFtZSI6Iueoi-W6j-WRmOW6t-W6tyJ9.Q_xG0pDaG2rkix2rEw2SNS5uBwTS5f0FbzcLFpQ0yJY")
                .getBody();
        System.out.println(body);
    }
}

启动测试方法,打印结果如下:

以上测试可以生成和解析 JWT,在项目实际使用时 JWT 一般都是以工具类的方式出现。下面我们把生成和解析 JWT 的方法封装成工具类

package com.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.util.Date;
import java.util.Map;

/**
 * @author db
 * @version 1.0
 * @description JWTUtils
 * @since 2023/12/31
 */
public class JWTUtils {

    // 密钥
    private static String signKey = "cxykk1217";
    // 过期时间
    private static Long expire = 1000L*60*30; // 30分钟

    /**
     * 生成JWT
     * @param claims JWT第二部分负载payload中存储的内容
     * @return
     */
    public static String generateJwt(Map<String,Object> claims){
        String jwt = Jwts.builder().signWith(SignatureAlgorithm.HS256, signKey)
                .addClaims(claims)
                .setExpiration(new Date(System.currentTimeMillis() + expire))
                .compact();

        return jwt;
    }

    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser().setSigningKey(signKey)
                .parseClaimsJws(jwt)
                .getBody();
        return claims;
    }

}

代码仓库链接:https://gitee.com/duan138/practice-code/tree/dev/jwt

四、总结

基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。

改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。

cxykk1217
关注
  • 25
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站用户身份认证Authorazition系统原理
12-24
网站用户身份认证Authorazition系统原理 长话短说,判断用户身份其实就是cookie,session,token,后端判断这四部分 想细看,就下载看1,2,3,4,5步骤吧
常用的认证机制之session认证token认证
python全栈
08-13 4210
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中; 浏览器接下来的操作为:将响应头中
Java中高级核心知识全面解析——认证授权(Token-认证),带你彻底搞懂Java启动速度优化
ZZdjajf13131的博客
04-01 761
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
一个轻量级 Java 权限认证框架让鉴权变得简单优雅-登录认证权限认证分布式Session会话微服务网关鉴权
最新发布
04-14
一个轻量级 Java 权限认证框架,让鉴权变得简单、优雅!—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。Sa-Token 目前主要五大功能模块:登录认证、权限认证、单点登录、OAuth2.0、微服务鉴权。登录认证 —— 单端登录、多端登录、同端互斥登录、七天内免登录权限认证 —— 权限认证、角色认证、会话二级认证Session会话 —— 全端共享Session、单端独享Session、自定义Session踢人下线 —— 根据账号id踢人下线、根据Token值踢人下线账号封禁 —— 登录封禁、按照业务分类封禁、按照处罚阶梯封禁持久层扩展 —— 可集成Redis、Memcached等专业缓存中间件,重启数据不丢失分布式会话 —— 提供jwt集成、共享数据中心两种分布式会话方案微服务网关鉴权 —— 适配Gateway、ShenYu、Zuul等常见网关的路由拦截认证单点登录 —— 内置三种单点登录模式:无论是否跨域、是否共享Redis,都可以搞定OAuth2.0认证 —— 轻松搭建 OAuth2.0 服务,支持openid模式二级认证
Session的工作方式
12-17
下面我们来看一下Session是如何工作的。不知你是否知道通过Cookie来实现身份认证的吧。首先生成一个独一无二的Cookie作为用户身份的标志,并在数据库中进行注册。然后通过用户传递来的Cookie和数据库中注册的Cookie进行对照以确定用户的身份。   Session的工作原理也是这样。   首先,PHP为建立Session的用户产生一个独一无二的字符串,用来标志这个用户的session。一般将这个字符串称作Session Id。然后“sess”+Session Id为文件名(例如一个Session ID为111,那么文件名为sess_111)在服务器的文件系统中建立一个文件,在文件中
Session认证机制与JWT认证机制
weixin_46671304的博客
09-05 423
Session认证机制与JWT认证机制
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3667
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
身份认证——session认证机制与JWT认证机制(入门到使用)
世界和我们都不该止步于此
04-19 4319
首先我们要了解什么是身份认证(Authentication)? 身份认证也叫身份验证或者鉴权,指通过一定的手段来完成对用户身份的验证 我们会使用session和JWT认证机制进行开发,那么我们在什么情况下使用这俩个认证机制呢? 推荐在服务端渲染开发情况下使用session认证机制 在前后端分离的Web开发环境下使用JWT认证机制 目录 一.session认证机制 1.HTTP协议的无状态性 2.Cookie突破HTTP无状态的限制 3.Cookie的缺点 4.提高身份认证的安全性 5.
session身份认证机制
qq_43781887的博客
10-12 845
本博客讲述session身份认证机制,在了解session身份认证机制之前,需要先了解以下内容。前端身份认证主要分为两种,一种是Session身份认证,一种是JWT身份认证。(3)Session身份认证的工作原理(重要!(4)在Express中使用session认证。服务端渲染推荐使用session认证机制。前后端分离推荐使用JWT认证机制。Cookie在身份认证中的作用。Cookie不具有安全性。(1)HTTP无状态性。提高身份认证的安全性。
前后端身份认证session身份认证,JWT认证
lalala_dxf的博客
05-06 1123
什么是身份认证身份认证(Authentication)又称“鉴权”,是指通过一定的手段,完成对用户身份的确认。生活中常见的身份认证有:高铁的验票乘车、手机密码或指纹解锁,支付宝或微信的支付密码验证等。而在Web开发中,涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录,二维码登录等。为什么要身份认证HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。有些情况下即使是打开同一个网站的不同页面也都要重新登录。
一文搞懂Session和JWT登录认证
crg18438610577的博客
04-15 1488
一文搞懂Session和JWT登录认证~~
vue+koa2实现sessiontoken登陆状态验证的示例
12-08
这种认证方式,可以更好的在服务端对会话进行控制,安全性比较高(session_id 随机),但是服务端需要存储 session 数据(如内存或数据库),这样无疑增加维护成本和减弱可扩展性(多台服务器)。 CSRF 攻击一般基于 ...
Sa-Token 是一个轻量级 Java 权限认证框架
12-26
Sa-Token 是一个轻量级 Java 权限认证框架,主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题。Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分
在ASP.NET Core中实现一个Token base的身份认证实例
01-20
以前在web端的身份认证都是基于Cookie | Session的身份认证, 在没有更多的终端出现之前,这样做也没有什么问题,但在Web API时代,你所需要面对的就不止是浏览器了,还有各种客户端,这样就有了一个问题,这些客户端...
轻量级 Java 权限认证框架让鉴权变得简单优雅
04-05
—— 登录认证、权限认证、分布式Session会话、微服务网关鉴权、单点登录、OAuth2.0。分布式Session会话、微服务网关鉴权 等一系列权限相关问题。Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分。无需实现...
Sa-Token轻量级 Java 权限认证框架-学习和测试
04-03
Sa-Token 主要解决:登录认证、权限认证、单点登录、OAuth2.0、分布式Session会话、微服务网关鉴权 等一系列权限相关问题 Sa-Token 旨在以简单、优雅的方式完成系统的权限认证部分,适合学习和测试
基于tokenSession身份认证对比
郝南过的博客
12-21 923
简单来说认证就是让服务器知道你是谁?就是让服务器知道你能干什么,不能干什么?那么基于身份认证我们一般有俩种方式:Session-Cookie和JWT。
session认证机制
lxllxl211的博客
04-09 313
HTTP协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的 Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的 Cookie,客户端会自动将 Cookie 保存在浏览器中。Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。
Session+Cookie实现登录认证
m0_54187478的博客
11-03 203
安全性和保护用户数据的问题也需要仔细考虑,比如采用 HTTPS 加密通信、防范会话劫持和其他安全漏洞。服务器根据会话中存储的用户信息来进行访问控制和身份验证,决定用户是否有权访问特定资源或执行特定操作。在用户验证成功后,服务器创建一个会话,为该用户生成一个唯一的会话标识(Session ID)。服务器将该会话标识(Session ID)发送给客户端,通常以 Cookie 的形式。服务器根据会话标识找到对应的会话,确定用户的身份和权限。服务器将用户信息保存在会话中,比如用户 ID、角色等。
cookie和sessiontoken的区别
03-25
A:在Web开发中,cookie、sessiontoken都用于身份认证和保持用户状态,但它们的实现方式和具体用途不同。 1. cookie(HTTP cookie):是一种在客户端保存数据的机制,当用户访问网站时,服务器可以把需要保存的数据通过Set-Cookie响应头发送给客户端,浏览器会自动把这些数据保存在本地,之后每次请求时会把这些数据通过Cookie请求头发送给服务器。cookie本质上是一组键值对,可以保存一些用户登录状态、偏好设置等信息。 2. session:与cookie类似,也是一种保持用户状态的机制,但它的实现方式不同。session是在服务器端创建的,客户端通过一个session ID与服务端进行交互,服务端维护着session数据。通常情况下,session ID会保存在cookie或者URL参数中。Session通过在服务器端保存用户登录状态可以提高安全性,因为Cookie可能被第三方截获。 3. tokentoken是一种在客户端和服务端之间传递认证信息的机制,一般是由服务端签发的,包含了一些认证信息和有效期等内容。客户端在登录成功后,服务端会返回一个token给客户端,在后续的请求中,客户端需要携带该token才能进行认证token可以放在请求头、Cookie、URL参数等位置,具有跨域、跨平台等优势。相比于使用session,使用token能够将负载更多地分散到客户端。 总结:cookie是在客户端保存数据、session是在服务器端保存会话状态、token是一种通过客户端和服务器之间交互的证明身份机制。而且,它们在功能和使用方式上都存在着不同。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值