理解Web开发中的身份验证机制:Cookie、Session和JWT

于 2023-11-21 09:25:33 发布
阅读量90 收藏 1
点赞数 3
文章标签: java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adobe754/article/details/134523662
版权

1. Cookie

什么是Cookie?

Cookie是一种存储在浏览器的数据,用于保存服务器返回给客户端的信息。在下一次访问该网站时,客户端会将保存的Cookie一同发送给服务器,从而实现自动登录、保存浏览历史、身份验证等功能。

Cookie的基本属性

  • Name: Cookie的名字
  • Value: Cookie的值
  • Path: 定义了Web站点上可以访问该Cookie的目录
  • Expires: 表示Cookie的过期时间,即有效值,在该时间之前Cookie有效
  • Size: 表示Cookie的大小

Cookie的常用方法

// 创建Cookie对象
new Cookie(String name, String value)

// 获取Cookie的值
getValue()

// 获取Cookie的名字
getName()

// 设置Cookie的有效期
setMaxAge(int expiry)

// 设置Cookie的作用域
setPath(String uri)

HttpServletRequest和HttpServletResponse对Cookie进行操作的常见方法

// 将Cookie发送给客户端进行保存
response.addCookie(Cookie cookie)

// 获取客户端传过来的所有Cookie对象
request.getCookies()

2. Session

什么是Session?

Session表示会话,是指一个浏览器和一个服务器进行通信的过程。Session存储于服务器,可以理解为一个状态列表,拥有一个唯一识别符号sessionId。

Session的使用方式

客户端的Cookie存放session_id,服务端的Session保存用户信息。浏览器再次访问服务器时根据session_id到Session中查找用户信息。

3. Token(JSON Web Token)

什么是Token?

Token一般翻译成令牌,用于验证用户身份的数据。它可以用于URL传参、POST提交,也可以夹在HTTP的header中。Token相当于Session中的session_id,是一个字符串,存放在浏览器中。

JSON Web Token(JWT)由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。

1. Header(头部)

JWT的头部通常由两部分组成:令牌的类型(typ)和使用的加密算法(alg)。这部分通常使用Base64Url编码,但并不对其加密,因为它需要在客户端被解码以获取信息。

{
  "alg": "HS256",
  "typ": "JWT"
}

2. Payload(负载)

JWT的负载包含了一些声明。声明是关于实体和其他数据的声明。有三种类型的声明:注册声明、公共声明和私有声明。

注册声明(Registered Claims): 这些是预定义的声明,包括iss(签发者)、sub(主题)、aud(受众)、exp(过期时间)、nbf(生效时间)和iat(签发时间)等。

公共声明(Public Claims): 这些声明被定义为在JWT中没有强制使用的声明,但是可以根据需要添加到JWT的负载中。

私有声明(Private Claims):这些是自定义的声明,用于在JWT的两个部分之间共享信息。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

3. Signature(签名)

为了创建签名部分,你需要使用编码的头部、编码的负载和一个密钥,然后使用指定的算法(在头部的alg字段中指定)对它们进行签名。签名用于验证消息在传递过程中是否被篡改。
 

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

最终,JWT的结构如下

header.payload.signature

这三个部分通过点号连接,形成一个完整的JWT。在实际应用中,这个JWT可以被发送到服务器,并在需要的时候进行验证和解码,以获取负载中的信息。

4. 对于三者的理解

a. Token生成于服务端,存储在客户端,避免了大量Session对象的存储带来的内存消耗。对于用户量庞大的系统或分布式系统,这是一种高效的身份验证方式。

b. SessionId存储在服务器内存,Session保存的用户信息也存在服务器内存或数据库。Cookie接收保存服务器发来的SessionId,浏览器每次发送请求都会带上Cookie的数据。

c. Token是服务器加密的用户信息,服务器将Token发给浏览器,浏览器用Cookie或Storage保存Token。每次发送请求时,浏览器带上Token,服务器解密并确认用户登录。这种方式避免了服务器存储大量Session信息的压力,同时提高了系统的可扩展性。

通过深入理解Cookie、Session和JWT,我们能够更好地选择适合项目需求的身份验证机制,保障系统的安全性和性能。在Web开发中,灵活运用这些机制,将为用户提供更流畅、安全的使用体验。

GeekInk失控
关注
sessioncookie以及jwt
zflhw的博客
04-05 449
https://img2020.cnblogs.com/blog/1515111/202004/1515111-20200405090920745-1422513552.png CookieSession HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP...
CookieSessionJWT的详解
miaozy
04-10 1489
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
cookiejwt解析
最新发布
web$-小白
07-26 690
session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookiesession;),并且是以key:value的形式进行表示的。cookie 数据存放在客户端浏览器上,session 数据放在服务器上。cookie 不是很安全,是明文传递的,所以存在安全性的问题;
【前端知识】Cookie, Session,Token和JWT的发展及区别(三)
xiaobaizaza_Ry的博客
05-08 769
最通俗的关于Cookie, Session,Token和JWT的相关笔记和理解。在下章笔记主要介绍一下主要介绍Token。包括Token的定义,特点,重要属性,优缺点,作用和使用场景。 上章:主要介绍背景和Cookie 章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义及理解。 终章:主要介绍JWT并总结JWT和Token的区别,以及总结Cookie到Token的区别与发展。
CookieSession,Token和JWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1134
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
了解 CookieSessionWeb 开发身份验证机制
weixin_43263566的博客
01-16 595
Cookie/ Session简介
asp.net基于JWTweb api身份验证及跨域调用实践
10-18
与传统的基于 cookieSessionId 不同,JWT 不依赖于存储机制,非常适合前后端分离的开发模式。 在前后端分离的模式下,前端(如单页应用 SPA)通常不支持 cookie,或者出于安全考虑,不希望在客户端存储 cookie...
.net core 3.1 WepApi 前后分离身份验证webapi调试demo ,jwt+swagger
04-14
相比于传统的 cookie-session 认证机制,优点有: 更适用分布式和水平扩展 在cookie-session方案cookie内仅包含一个session标识符,而诸如用户信息、授权列表等都保存在服务端的session。如果把session...
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
05-26
【前端知识】Cookie, Session, Token和JWTWeb开发用于管理用户状态和身份验证的重要概念。本篇文章主要探讨了Cookie的定义、特点、重要属性、优缺点、使用场景及其面临的问题。 1. 背景 Cookie的诞生源于HTTP...
Asp.Net Core基于Session身份验证的实现
10-18
在Asp.Net Core,基于Session身份验证是一种传统的身份验证机制,尽管在Asp.Net Core推荐使用更高级的如JWT(JSON Web Tokens)或Cookie身份验证,但有些情况下开发者仍可能选择使用Session。以下是对Asp.Net ...
前后端身份认证session身份认证JWT认证
lalala_dxf的博客
05-06 1527
什么是身份认证身份认证(Authentication)又称“鉴权”,是指通过一定的手段,完成对用户身份的确认。生活常见的身份认证有:高铁的验票乘车、手机密码或指纹解锁,支付宝或微信的支付密码验证等。而在Web开发,涉及到用户身份认证,例如:各大网站的手机验证码登录、邮箱密码登录,二维码登录等。为什么要身份认证HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。有些情况下即使是打开同一个网站的不同页面也都要重新登录。
【PHP基础-8】Cookie机制详解及Cookie身份认证应用案例
m0_64378913的博客
04-06 2571
目录1 Cookie 概述1.1 Cookie 机制1.2 什么是Cookie1.3 Cookie 认证机制1.4 Cookie 属性1.5 Cookie的安全性问题2 Cookie 应用2.1 Cookie 相关操作命令2.2 应用案例实验2.2.1 实验要求2.2.2 实验环境2.2.3 案例代码2.2.4 案例测试3 Cookie攻击与防护3.1 Cookie攻击3.1.1 Cookie捕获/重放3.1.2 恶意 Cookies3.1.3 会话定置3.1.4 CSR
简聊 Session 与 Token 身份验证
lxw1844912514的博客
04-15 947
前言 当我们账号密码登陆以后,如何确保用户认证是我们每一个 phper 都会遇到的问题,从最开始的 Session 到 Token ,让我们带着求知欲了解一下它。 Session 时代 Web 开发使用 Http 协议,HTTP 协议最初是匿名的,无状态的请求 / 响应协议。这样简单的设计可以使 HTTP 协议专注于资源的传输(HTTP 是超文本传输协议); 随着 WEB 的发展,业务需要确定客...
Session、Token身份验证方法
田攀的日志
12-05 5026
  Session :我发给你一张身份证,但只是一张写着身份证号码的纸片。你每次来办事,我去后台查一下你的 id 是不是有效。  Token:我发给你一张加密的身份证,以后你只要出示这张卡片,我就知道你一定是自己人。    token和session其实都是为了身份验证session一般翻译为会话,而token更多的时候是翻译为令牌。 session服务器会保存一份,可能保存到缓存,文...
使用Session验证用户登录
业精于勤,行成于思
08-02 982
使用Session验证用户登录 在ASP.NET,利用Session对象验证用户是否登录的方法很简单,例如在本实例,当用户安全登录时,可以利用如下代码保存用户的登录名,并跳转到NavigatePage.aspx。 if (txtName.Text == "mr" && txtPassword.Text == "mrsoft") { Session["Use
nodejs通过session实现身份验证
weixin_33832340的博客
09-17 413
2019独角兽企业重金招聘Python工程师标准>>> ...
还傻傻分不清 CookieSession、Token、JWT
程序员小乐
06-24 2173
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Anyone else have no right to judge y...
JWTcookie和token的区别
微微一笑满城空
08-10 8944
一. cookie A) cookie如何认证 1. 用户输入用户名与密码,发送给服务器。 2. 服务器验证用户名和密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie认证方式。 3. 后续的请求,浏览器会发送会话ID到服务器服务器上如果能找到对应的ID的会话,那么服务...
JWT详解:与Cookie, Session和Token的区别及其安全挑战
本资源是一份关于CookieSession、Token和JWT的详细对比和深入解析的前端笔记。...这份文档是前端开发理解和选择合适的身份验证策略的重要参考资料,尤其适合对Web开发身份管理有深入了解需求的人士。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GeekInk失控

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值