Web身份认证——【 Session认证 】

最新推荐文章于 2023-05-05 14:11:58 发布
最新推荐文章于 2023-05-05 14:11:58 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: Node.js 文章标签: session nodejs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abraham_ly/article/details/112752237
版权

Web身份认证——【 Session认证 】

今日学习目标:

1、Cookie回顾

​ 在上一篇博文中,我们学习了第一种认证方式Cookie认证,同时也实现了用户的登录认证功能,但是能在最后我们也了解到了Cookie认证的缺点,就是Cookie保存在客户端浏览器中,可能存在Cookie拦击、篡改、伪造的风险,所有不支持大家将一些隐私的数据存储。

2、提高身份认证的安全

​ 那么今天,我继续用商场收银员结账的例子来向大家讲解如何提高身份认证的安全性。

​ 那么为了防止客户伪造会员卡,收银员在拿到客户出示的会员卡之后,可以在收银机上进行刷卡认证,只要收银机确认存在的会员卡,才能被打折或正常使用。简单来说就是想要打折,先必须要有会员卡,同时收银机上也要存在该用户会员卡的信息才能打折。

在这里插入图片描述

​ 那么这种 “会员卡+刷卡认证” 双重认证的设计理念,就是Session认证机制的精髓所在。

3、session 认证

3.1 什么是session认证

session 是另一种记录用户登录状态的机制,不同点是 Cookie 保存在客户端浏览器中,而 session 保存在服务器中。

3.2 session 的用途

session 存储或者说运行在服务器端,当用户第一次访问服务器时,可以当客户的登录信息记录,当客户访问其他页面时,可以判断客户的登录状态,做出提示,相当于登录拦截或者验证。

3.3 session 的工作流程

​ 当浏览器访问服务器,并发送第一次请求时,服务器端会创建一个session对象,并生成一个类似于{key:value}的键值对,将其记录或者保存在服务器的内存中,然后将key(键)返回到浏览器中,服务器自动保存Cookie。当浏览器下次再访问时,携带Cookie中的Key找到对应的session中的value,那么才算认证成功。

在这里插入图片描述

4、session在Node.js中的使用

4.1 安装 express-session 中间件

​ 在express项目中,只需要安装express-session中间件,即可在项目中使用session认证。

npm i express-session

4.2 配置express-sission中间件

express-session中间件安装成功之后,需要通过app.use()来注册或者说配置express-session中间件。

// 导入 express-session 模块
const session = require("express-session");
// 配置session中间件
app.use(session({
    secret:"Inlett",//服务器端生成的session签名
    resave:false,// 不强制保存session,即使它并没有变化
    saveUninitialized:true, // 强制将未初始的session存储
    name:"hellow", //返回给客户端的Cookie名称
    cookie:{ //设置返回给客户端的Cookie字符串的属性
        maxAge:90000 //有效时间90000ms,cookie和session一样都是
    }
}));

4.4 向session中存储数据

​ 当express-session中间件配置成功之后,即可通过req.session来访问和使用ssession对象,从而存储用户的基本信息。

app.post('/api/login', (req, res) => {
  // 判断用户提交的登录信息是否正确
  if (req.body.username !== 'admin' || req.body.password !== '000000') {
    return res.send({ status: 1, msg: '登录失败' })
  }
  // 向session对象中存储user(用户的信息)和islogin(用户的登录状态)属性
  req.session.user = req.body; // 用户的信息
  req.session.islogin = true; // 用户的登录状态

  res.send({ status: 0, msg: '登录成功' })
})

4.5 从 session 中获取数据

// 获取用户昵称的接口
app.get('/api/username', (req, res) => {
  // 如果session中存储的用户登录状态不为true或者为空
  if (!req.session.islogin) {
      // 那么先让其登录
     return res.send("请先登录!");
  }
  // 否则就是登录状态
  res.send(`<h1>欢迎${req.session.user}登录</h1>`);
})

4.6 清空 session 中的数据

​ 调用req.session.destroy()函数,即可清空服务器中保存的所有session 数据。

![session属性](E:\后端\node.js\笔记\images\session属性.png)// 退出登录的接口
app.post('/api/logout', (req, res) => {
  // 清空 Session 信息
  req.session.destroy()
  res.send({
    status: 0,
    msg: '退出登录成功',
  })
})

5、配置 session 的属性说明

在这里插入图片描述

6、用户登录案例

const fs = require("fs");
const path = require("path");
const express = require("express");
const app = express();
const router = express.Router();
const session = require("express-session");

// 配置session中间件
app.use(session({
    secret: "inLettxinxi", //用来对session id相关的cookie进行签名
    resave: false, // 是否每次都重新保存会话,建议false
    saveUninitialized: true,  是否自动保存未初始化的会话,建议false
    name: "nihao",
    cookie: {
        maxAge: 20000
    }
}));

app.use(express.urlencoded({ extended: false }));


router.get("/", (req, res) => {
    fs.readFile(path.join(__dirname, "../client/login.html"), "utf8", (err, data) => {
        res.send(data);
    });
});

// 用户第一次登录
router.post("/login", (req, res) => {
    // 判断用户提供的登录信息
    if (req.body.uid !== "10000" || req.body.pwd !== "admin") {
        return res.send("登录失败!");
    }
    req.session.user = req.body.uid;
    req.session.islogin = true;
    res.send("成功!");
});

// 当客户端再次访问的时候
router.get("/index", (req, res) => {
    console.log(!req.session.islogin);
    if (!req.session.islogin) {
        return res.send("请先登录!");
    }
    res.send(`<h1>欢迎${req.session.user}登录</h1>`);
});

router.post("/logout", (req, res) => {
    req.session.destroy();
    res.send({
        status: 0,
        msg: "退出登录成功!"
    });
});
app.use(router);

app.listen(8081, "192.168.124.15", () => {
    console.log("服务器开启成功!");
});

7、session 与 cookie 的区别

1、数据存放bai位置不同:

​ cookie数据存放在客户的浏览器上,session数据放在服务器上。

2、安全程度不同:

​ cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session。

3、性能使用程度不同:

​ session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。

4、数据存储大小不同:

​ 单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie,而session则存储与服务端,浏览器对其没有限制。

5、会话机制不同

​ session会话机制:session会话机制是一种服务器端机制,它使用类似于哈希表(可能还有哈希表)的结构来保存信息。

器性能方面,应当使用cookie。

4、数据存储大小不同:

​ 单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie,而session则存储与服务端,浏览器对其没有限制。

5、会话机制不同

​ session会话机制:session会话机制是一种服务器端机制,它使用类似于哈希表(可能还有哈希表)的结构来保存信息。

​ cookies会话机制:cookie是服务器存储在本地计算机上的小块文本,并随每个请求发送到同一服务器。 Web服务器使用HTTP标头将cookie发送到客户端。在客户端终端,浏览器解析cookie并将其保存为本地文件,该文件自动将来自同一服务器的任何请求绑定到这些cookie。

御弟謌謌
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Mybatis源码系列3-三种SqlSession的区别
2017年
12-29 1183
DefaultSqlSession与SqlSessionManager 与SqlSessionTemplate 是我常见的3种sqlsesion,他们之间的区别是啥?
php 关闭浏览器 session失效,最近苦恼,浏览器关闭后,session依然存在的问题。...
weixin_34010461的博客
03-09 3511
php中的session有效期默认是1440秒(24分钟),也就是说,客户端超过24分钟没有刷新,当前session就会失效。当然如果用户关闭了浏览器,会话也就结束了,Session自然也不存在了!大家知道,Session储存在服务器端,根据客户端提供的SessionID来得到这个用户的文件,然后读取文件,取得变量的值,SessionID可以使用客户端的Cookie或者Http1.1协议的Quer...
HttpSession与Hibernate中Session的区别
lengxingxing_的博客
04-05 272
一、javax.servlet.http.HttpSession是一个抽象接口   它的产生:J2EE的Web程序在运行的时候,会给每一个新的访问者建立一个HttpSession,这个Session是用户身份的唯一表示。注意,是容器(Tomcat,Resin)自动创建的。   用途:存放这个用户的一些经常被用到的信息,例如:用户名,权限。例如在购物车程序里,存放用户买的商品。   销毁:一定
HTTP Session和数据库Session有什么不同?
Tech in Pieces
01-20 2402
HTTP is based on TCP, and it’s a stateless protocol. 意思就是server side不保存任何关于客户端的状态信息。所以我们就创建了session用来在server side记录客户端状态信息。 而hibernate session意思是后端和数据库的一次交互。就是CRUD。Session线程不安全,所以每一次执行一个数据库事务(transaction)我们都需要创建一个session实例。而且使用完之后别忘记关闭。 代码示例: <span styl
快速理解基本的cookie、session 和 redis
kevin的博客
05-05 1326
1、Cookie实际上是一小段的文本信息,是一种key=value形式的字符串。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端会把Cookie保存起来。2、当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。3、cookie 只存储用户的身份标识,如用一串字符串表示的 userid;
thinkphp 3.2 服务器 session 设置时间周期失效问题 服务器是linux windows 上暂时没有发现此类问题...
12-09 271
今天有时间,写一下之前 用 TP3.2 版本 session 设置时间周期失效问题,希望可以帮助到有遇到过相同的问题的伙伴,让你们少走一些弯路 问题场景: 在这是使用 session 缓存的时候(文件缓存),设置的时间无效,也就是缓存不过期,变成了永久性缓存 举例说明: 比如这个,按照tp3.2的开发使用手册,$books 是一个 二维数组,本来想达到缓存 ...
webgoat——Session Management Flaws会话管理缺陷
01-20
综上所述,会话管理是Web应用程序安全的重要组成部分,包括正确生成和保护Session ID,以及处理认证Cookie。理解这些概念和潜在风险对于开发安全的Web应用程序至关重要。同时,通过WebGoat这样的教学平台,可以实际...
UTS统一身份认证系统——应用厂商集成接入标准.doc
11-18
### UTS统一身份认证系统——应用厂商集成接入标准 #### 一、统一身份认证系统接口规范 ##### 1.1 目的 本文档旨在详细描述UTS项目中与应用系统进行接口集成的具体工作内容。这里假设应用系统采用Java语言进行...
Web程序设计——ASP.NET网站开发——源代码
06-11
本压缩包文件“Web程序设计——ASP.NET网站开发——源代码”显然包含了使用ASP.NET进行网站开发的实例源代码,这将有助于学习者深入理解ASP.NET的工作原理和编程实践。 在ASP.NET中,开发者可以使用多种编程语言,...
HttpSession/session,jsp,servlet——综合练习题一
07-12
这里我们将深入探讨这些技术,并结合一个名为"web26_session5示例1"的压缩包文件,来解析它们在实际应用中的综合运用。 首先,`HttpSession`是Java Servlet API的一部分,它提供了在HTTP会话之间存储和检索对象的...
安全建设——WEB系统的安全建设方案
02-24
在构建Web系统的安全建设方案时,首要目标是保护系统免受网络攻击、入侵、干扰、破坏和非法使用,确保系统的稳定性、可靠性和数据的完整性、保密性和可用性。本方案根据公司业务特点将应用系统分为三个安全等级,以...
Session值储存于SQL Server中
ebookbug的专栏
06-29 1388
一般情况下,我们喜欢使用Session储存我们的变量。Asp.Net提供了下面一些方法储存Session的值: InProc State Server SQL Server “InProc”表示我们使用传统ASP一样的方法储存Session的值,而且“State Server”则表示使用另外一台主机来储存Session的值。当然我们也能使用SQL Server储存值,我们这篇文章就专门用于讲
shiro会话管理
zhangchang0516的博客
04-13 507
Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如Tomcat),不管是J2SE还是J2EE环境都可以使用,提供了会话管理,会话事件监听,会话存储/持久化,容器无关的集群,失效/过期支持,对Web的透明支持,SSO单点登录的支持等特性。 所谓会话,即用户访问应用时保持的连接关系,在多次交互中应用能够识别出当前访问的用户是谁,且可以在多次交互中保存一些数据。如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 基础组件 1.1 Se...
Session与Cookie
晴天的博客
03-23 492
Cookie以文本文件的形式存储在客户端的计算机上。其目的是记住和跟踪与用户使用相关的数据,以获得更好的访问者体验和网站统计信息。 Session(会话)数据存储在服务器上。需要在该会话中保存的数据会存储在服务器上的临时目录中。 ...
本地存储(LocalStorage)、会话存储(Session)和 Cookie 三者之间的区别
Meta.Qing的博客
08-29 2062
因此,会发送一个 cookie 并将其存储在您的本地计算机上,以唯一标识您。特别是,通过 HTTP 访问的脚本(例如 http://abc.com)存储的数据存储在与通过 HTTPS 访问的同一站点(例如 https://abc.com)不同的对象中。HTTP协议的主要缺点是无状态协议,这意味着它不跟踪服务器和客户端的任何响应和请求信息,因此为了解决这个问题,有三种方法可以跟踪有用信息在本文中,我们将了解本地存储、会话存储和 Cookie 之间的区别,以及为什么 Web 开发人员了解这些术语很重要。...
【原创】ASP.NET会话(Session)保存模式
热门推荐
05-14 2万+
【原创】ASP.NET会话(Session)保存模式作者:寒羽枫(cityhunter172) 大家好,已有四个多月没写东东啦。今日抽空就说一下 Session 在 .Net v1.0/v1.1 中的存储模式。大家可在 MSDN 2003 中搜索一下 sessionState> 即可看到关于 Web.config 中的sessionState> 节点元素的描述,共有 Off、InPro
session的存储方式和配置
weixin_30693683的博客
03-22 436
  Session又称为会话状态,是Web系统中最常用的状态,用于维护和当前浏览器实例相关的一些信息。我们控制用户去权限中经常用到Session来存储用户状态,这篇文章会讲下Session的存储方式、在web.config中如何配置SessionSession的生命周期等内容。   1、Session的存储方式。   session其实分为客户端Session和服务器端Ses...
Cookie、Session和缓存
******* ▄︻┻┳═一 *******
09-19 2260
Cookie1、获取Cookierequest.COOKIES['key'] request.get_signed_cookie(key, default=RAISE_ERROR, salt='', max_age=None) 参数: default: 默认值 salt: 加密盐 max_age: 后台控制过期时间2、设置Cookiere
会话管理机制:Cookie和Session
wujingjing_crystal的专栏
09-27 1118
Cookie与Session都可以进行会话跟踪,但是实现的原理不太一样。一般情况下二者均可以满足需求,但有时候不可以使用Cookie,有时候不可以使用Session。一、Session与Cookie的比较 1、 从存取方式上比较Cookie中只能保存ASCII字符串,如果需要存取Unicode字符或者二进制数据,需要进行UTF-8,GBK或者BASE64等方式的编码。Cookie中也不能直接存取Ja
内置对象—— session的应用
最新发布
05-16
Web开发中,Session是一种在服务器端存储用户数据的方式,可以在多个页面中共享这些数据。Session通常用于存储用户登录信息、购物车信息等。 在Python中,可以使用内置的`session`对象来实现Session功能。下面是一个简单的例子: ```python from flask import Flask, session, redirect, url_for, escape, request app = Flask(__name__) app.secret_key = 'my_secret_key' @app.route('/') def index(): if 'username' in session: username = session['username'] return 'Logged in as ' + username + '<br>' + \ "<b><a href = '/logout'>click here to log out</a></b>" return "You are not logged in <br><a href = '/login'></b>" + \ "click here to log in</b></a>" @app.route('/login', methods=['GET', 'POST']) def login(): if request.method == 'POST': session['username'] = request.form['username'] return redirect(url_for('index')) return ''' <form action="" method="post"> <p><input type="text" name="username"> <p><input type="submit" value="Login"> </form> ''' @app.route('/logout') def logout(): session.pop('username', None) return redirect(url_for('index')) ``` 在上面的例子中,我们使用了Flask框架来实现Web应用。在应用启动时,我们设置了一个`secret_key`,这个密钥用于保护Session数据的安全性。 在`index`函数中,我们检查了Session中是否存在`username`键。如果存在,说明用户已经登录,我们将显示用户的用户名和一个链接,可以用于退出登录。如果不存在,说明用户尚未登录,我们将显示一个登录链接。 在`login`函数中,我们检查了请求的方法是否为POST。如果是,说明用户提交了登录表单,我们将从表单中获取用户名,并将其存储到Session中。然后,我们将重定向到`index`函数中。如果请求的方法为GET,我们将显示一个包含用户名输入框和提交按钮的表单。 在`logout`函数中,我们使用`pop`方法从Session中删除`username`键。然后,我们将重定向到`index`函数中。 总之,Session是一个非常有用的工具,可以帮助我们在Web应用中存储和共享用户数据。使用Python中的`session`对象可以很容易地实现Session功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

御弟謌謌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值