Session与JWT方式认证

最新推荐文章于 2024-06-26 09:42:38 发布
最新推荐文章于 2024-06-26 09:42:38 发布
阅读量193 收藏 1
点赞数
分类专栏: Java 文章标签: 鉴权 认证

认证就是让服务器知道你是谁,授权就是服务器让你知道你什么能干,什么不能干
认证授权俩种方式:Session-Cookie与JWT

Session

服务器只有一台,客户端却有千千万。怎么能够让服务器知道当前请求服务的是哪台客户端呢?我们举个生活中的例子:
你去图书馆(服务端)借书(请求服务)。先得办卡(登录获取session_id)吧,放兜里(cookie)。去刷卡处刷卡看看卡是不是伪造的,看看卡里的信息和数据库比对下看看有没有过期等等(检查session_id是否被篡改,是否失效根据session_id查询下内存或者数据库(通常是内存数据库)里对应的有没有过期)。过期不给进重新办卡(重新登录认证),没过期就给进(返回你请求的结果)

流程就是这样子:
当 client通过用户名密码请求server并通过身份认证后,server就会生成身份认证相关的 session 数据,并且保存在内存或者内存数据库。并将对应的 sesssion_id返回给client,client会把保存session_id(可以加密签名下防止篡改)在cookie。此后client的所有请求都会附带该session_id(毕竟默认会把cookie传给server),以确定server是否存在对应的session数据以及检验登录状态,权限啦巴拉巴拉......如果通过校验就该干嘛干嘛,否则重新登录咯。
前端退出的话就清cookie。后端强制前端重新认证的话就清或者修改session。

JWT

这里就不介绍jwt的三部分组成、由什么组成、怎么生成加密了。
日常的举个生活中的例子吧:
你去游乐园(服务端)玩耍(请求服务)。先得买门票(登录获取token)吧,放兜里(cookie、header......)。去检票口检票看看票有没有过期(检查token是否失效)。过期不给进重新买票(重新登录认证),没过期就给进(返回你请求的结果)
有没有觉得和Session有什么不一样?server不用存储信息了。一切都存在客户端。个人觉得这就是最大的不同。
这里大致列下俩者区别,一些比如JWT更简单、APP对支持不易的一些已经解决或者细究觉得很扯的或者大同小异的不在此列

 SessionJWT
安全性得考虑CSRF攻击无需考虑
存储需要俩端都存储客户端存储即可
可控性服务端可随时修改权限....只能等待Token过期

安全性

首先这个还真不算什么。现在WEB框架该都内置了防CSRF。而且既然知道有这个编写代码注意下也是应该的。

存储

这个还真是,JWT真心可以,不过得看情况。如果考虑可控性,那你简直想哭。

可控性

服务端存储认证相关信息还是很有必要的。举个栗子。如果你发现你账号被异地登录,你肯定想着换密码呀。换了以后发现我去,怎么又被异地登录。因为Token未过期,人家还是可以使用。这就很麻烦了。服务端根本不能控制。这时候你会记得session得好。

其他

还真没什么好说的,可能有人觉得JWT加密解密开销大、有人觉得JWT太长占空间、session太老了该让位了、JWT只需要存储Token在客户端方便、JWT加密感觉好安全不一而足......

allensong1982
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jwt认证方式多种
weixin_42551921的博客
12-13 896
JWT全称是JSON Web Token,官网地址直达;JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。
session认证JWT认证的区别
weixin_42636075的博客
12-10 465
传统的session认证 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便...
JWT认证方式
lfyx123的专栏
01-10 283
JWT认证 1. 优势 服务端无状态 一般的session认证方式需要在服务端保存session数据,导致服务端有状态, JWT方式是在客户端保存认证数据,服务端只对认证数据做校验,服务端不存储任何数据,这也是JWT的核心,同时也解决了跨域的问题。 2. 原理 JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。 { "姓名": "张三", "角色":...
Json web token (JWT)的认证以及同传统的session认证的区别
生有涯,知无涯
06-11 516
1.什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可...
探索Ktor世界中的JWT安全之旅:一个简洁高效的认证解决方案
最新发布
gitblog_00022的博客
06-26 290
探索Ktor世界中的JWT安全之旅:一个简洁高效的认证解决方案 项目地址:https://gitcode.com/AndreasVolkmann/ktor-auth-jwt-sample 在当今这个高度数字化的时代,安全地管理用户认证是每个Web应用的基石。今天,我们为您带来一款开源宝藏——《Ktor JWT认证实践》,这是一款专为Ktor框架量身打造的JSON Web Token(JWT)集成示...
状态保持sessionJWT
guodejie的博客
07-29 1200
1. session认证,token认证:登录状态保持 2. jwt是基于token的一种认证形式 3. sessionsession是保存在服务器端的,对服务器开销大                 拓展,部署多台服务器,访问不同服务器都要验证登录                 CSRF:cookie被截获,用户信息会泄露 jwtjwt的token是保存在浏览器端的,不影响服务...
【转载】JWT原理
t194978的博客
03-01 746
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录服务端收到请求,验证用户名和密码验证成功后,服务端会签发一个token,再...
sso单点登录的原理详解,及Shiro同时支持SessionJWT Token两种认证方式,和SessionJWT整合方案
阿啄debugIT
08-25 1111
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各...
cookie-sessionJWT的比较
a_369488977的博客
11-02 204
1.1cookie原理: 用户名+密码   ·cookie是保存在用户浏览器端,用户名和密码等明文信息    1.2session使用原理   session是存储在服务器端的一段字符串,相当于字典的key   1.用户向服务器发送用户名和密码。   2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。   3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。   4.用户的每个后续请求...
Cookie、SessionJWT的详解
miaozy
04-10 1435
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
python中JWT用户认证的实现
09-16
#### 二、传统认证方式的问题与局限性 ##### 2.1 使用Cookie存储Token的问题 - **XSS漏洞**:如果页面存在XSS漏洞,攻击者可以通过JavaScript读取cookie中的token,导致用户身份被盗用。 - **XSRF/CSRF**:即使...
jwt_jwt几种攻击方式
weixin_39627455的博客
12-18 517
简介JWT的全称是Json Web Token。它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份。基于token的身份验证可以替代传统的cookie+session身份验证方法。结构jwt由三个部分组成:header.payload.signature,以小数点分割,所以在实战中,我...
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWTSession对比
热门推荐
08-21 1万+
JWT简介、JWT优缺点、JWT使用方法、.NET6使用JWT示例、JWTSession对比
常用的用户认证方式&详解JWT
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
07-28 3263
文章目录背景知识常用的用户认证方式JWT1、JWT的流程2、jwt认证原理和session的区别和优缺点1、基于session和基于jwt方式的主要区别是2、jwt的优缺点总结 背景知识 Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用
JWT的简单理解
qq_45464560的博客
03-31 2710
JWT入门学习什么是JWT(what)简单介绍JWT能做什么为什么使用JWT(why)传统Session认证的弊端JWT认证流程JWT认证的优势JWT的结构1、Header2、Payload3、Signature如何在Java中使用JWT(how)入门使用 什么是JWT(what) 简单介绍 官网地址: https://jwt.io/introduction/ 翻译: json web token(JWT)是一个开放标准,它定义了一种紧凑的、自包含的方式,用于各方之间以JSON对象安全地传输信息。此信息
JWT详解及使用
qq_59395271的博客
01-26 1130
JWT通常用于在身份验证和信息交换方面进行安全的传输,例如在用户登录后生成一个JWT作为身份验证凭证,在客户端和服务器之间进行安全的信息交换。access token: 用于验证用户在系统中的身份和权限,并且在用户进行请求时,服务器会使用access token来验证用户的身份和权限,从而决定是否允许用户的请求。总之,JWT作为一种安全的传输方式,可以在各方之间传递信息并验证信息的真实性和完整性,因此在身份验证、授权和信息交换方面得到广泛应用。(主题):用于标识JWT的主体,即JWT所面向的用户。
前后端的身份认证:Session&JWT
blog_pancc的博客
05-16 515
随后当客户端每次请求服务器的时候,浏览器都会自动将身份认证相关的Cookie,通过请求头的形式发送到服务器,服务器即可验明客户端的身份。​ 由于Cookie是存储在浏览器中的,而且浏览器也提供了读写Cookie的API,因此Cookie很容易被伪造,不具有安全性。,指的是客户端的每次http请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次http请求的状态。​ 用户的信息通过Token字符串的形式,保存在客户端浏览器中,服务器通过还原Token字符串的形式来认证用户的身份信息。
JWT概念与基本使用
wy_dsk的博客
08-08 288
JWTSession 相同点是,它们都是存储用户信息;然而,Session 是在服务器端的,而 JWT 是在客户端的Session 方式存储用户信息的最大问题在于要占用大量服务器内存,增加服务器的开销而 JWT 方式将用户状态分散到了客户端中,可以明显减轻服务端的内存压力。Session 的状态是存储在服务器端,客户端只有 session id;而 Token 的状态是存储在客户端。
解锁互联网安全的新钥匙:JWT(JSON Web Token)
weixin_74268571的博客
10-13 1905
JWT互联网安全,JWT的简介,并讲解了JWT的工作原理和JWT是如何工作的,JWT认证session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
Angular JWT认证详解与实现步骤
首先,让我们理解两种常见的认证方式:基于session和基于token的认证。基于session认证依赖于服务端存储用户的登录信息,通过Cookie形式在客户端保持连接,每次请求都会携带这些信息。然而,随着用户量的增长,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值