session认证、jwt认证 、oauth认证的区别

最新推荐文章于 2024-07-25 08:55:36 发布
最新推荐文章于 2024-07-25 08:55:36 发布
阅读量6.1k 收藏 1
点赞数 1
分类专栏: SpringCloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/geduo_83/article/details/104922718
版权

jwt 和session机制

首先jwt 和session机制都是用户认证的,oauth不是

session 的流程:

1、用户向服务器发送用户名和密码。
2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
3、服务器向用户返回一个 session_id,写入用户的 Cookie。
4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

jwt 的流程:

即 :(json web token)

1、用户向服务器发送用户名和密码。
2、服务器验证通过后,生成jwt,可以有选择的在其中 保存用户信息及数据。也可以加密。
3、服务器向用户返回jwt。
4、用户随后的每一次请求,都会在 cookie 或者
header或参数里,将 jwt 传回服务器鉴权。
5、服务器收到jwt,找到前期保存的数据,由此得知用户的身份。

jwt 长相:

分为 头部(header),载荷(payload),签证(signature). 用 “.” 分隔。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1
NDM0ODg3NjgsImp0aSI6ImFjYzhmZjIzLWM1MjgtNDk3OS04N
TYwLWY0NGFmYWNhNDY4MiIsImlzcyI6ImJpenN2YyIsIm5iZ
iI6NTQzNDgxNTY4LCJzdWIiOiJ0b2tlbi14ajZqOTo3emg1Y
md2OGI1cWZrN2JoNnJxZ3o3djV0OGJ2amhiNHNoazQ5aGh6O
GtjcWN6NmpnNWI3ejIifQ.dRKURNOUFOlgO7zBxMajF7-8Wn
0zYs8x2t0UU6SYtP4

区别:

即: session 存数据于server端,而jwt 存数据于client

优缺 :

jwt

没有跨域问题、集群下登录信息同步的问题。
一旦签发,到期前无法简单废止,最好用https。
server无状态,性能高。

session

扩展性不好,存在跨域 和 集群session同步的问题。
面对csrf 攻击,不如jwt。

oauth 用于第三方认证

目的在于让客户端安全可控地获取"用户"的授权

比如说,登录微博(客户端)的时候,懒得新建账号了就用qq账号登录,选择qq登录。这时 就是oauth登场时刻了。 的场景。现在一般是oauth2,版本2,oauth场景,客户端不必保存登录用户(qq)的登录密码。 更精细的控制权限,即权限的到期时间,提升安全性。

有四种模式:

授权码模式(authorization code)
简化模式(implicit)
密码模式(resource owner password credentials)
客户端模式(client credentials)

门心叼龙
关注
专栏目录
服务认证授权:使用OAuth2或者JWT方式,实现服务之间的认证和授权
程序员光剑
09-27 851
在过去的一段时间里,越来越多的互联网公司开始尝试基于云计算架构部署服务。随着云计算带来的弹性、可靠、高效、按需付费等特性,这种方式越来越受到企业青睐。但同时也面临着安全问题。因为在这样一个开放的平台上,数据的隐私、访问控制、身份验证等方面都需要做好相应的措施才能保障用户数据安全。为了解决这些问题,云计算架构中常用的两种安全模式就是“共享密钥”(Shared Secret)模式和“OAuth2”模式
微服务统一认证方案Spring Cloud OAuth2+JWT
Ginnnnnnn的博客
11-07 3487
微服务统一认证方案
前端认证登录鉴权--SessionJWT简介
桃子阿桃
10-17 3295
Session 工作原理
监控服务器session信息,授权及认证机制:SessionJWTOAuth 2
weixin_42544461的博客
08-12 423
Session模式浏览器主流授权模式采用Session模式。participant 浏览器participant 服务器浏览器->服务器: 用户登录Note right of 浏览器: 提供用户名、密码服务器->服务器: 产生并保存 Session IDNote right of 服务器: Session ID 与用户关联服务器-->浏览器: 返回 Session ID浏览器-&...
面试题:常用的认证机制之session认证和token认证
最新发布
maizixuetang的博客
07-25 330
前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中;
区分认证、授权、Cookie、Session、Token、JWTOAuth 2.0
RuiKe的博客
12-19 726
一、区分认证、授权、Cookie、Session、Token、JWTOAuth 2.0 1.1、认证和授权 通俗理解: 认证:(你是谁)验证身份的凭据(比如用户名、密码),通过这个凭据系统知道你就是你 权限:(你有权干什么)发生在认证之后,掌管访问系统的权限 1.2、什么是Cookie?Cookie的作用? 什么是Cookie:Cookie是某些网站为了辨别用户身份而存储在用户本地上...
JWTOAuth 2.0、session 用户授权实战
weixin_34001430的博客
05-16 1527
在很多应用中,我们都需要向服务端提供自己的身份凭证来获得访问一些非公开资源的授权。比如在一个博客平台,我们要修改自己的博客,那么服务端要求我们能够证明 “我是我” ,才会允许我们修改自己的博客。 为用户提供授权以允许用户操作非公开资源,有很多种方式。比如使用 token、session、cookie,还有允许第三方登录授权的 OAuth 2.0. 为了理解这些技术的机制和它们之间的关系,本文...
Session会话即OAuth2.0(社交登录)
m0_55990500的博客
09-23 695
Session基本概念、作用域、共享以及社交登录一文通通搞定
shiro-jwt-oauth权限认证
11-11
2. **基于Shiro-JWT-OAuth认证方式**:这是更复杂的一种认证策略,结合了Shiro的权限管理功能和JWT以及OAuth2.0的授权流程。用户首先通过OAuth2.0流程获取访问令牌,然后使用该令牌获取JWT。Shiro负责处理JWT的...
第八章 SpringCloud Oauth2认证中心-基于JWT认证.pdf
09-13
总结起来,SpringCloud Oauth2认证中心基于JWT的实现是一种现代化的认证策略,它克服了传统session机制在微服务环境中的局限性,提供了安全、无状态的身份验证解决方案。开发者可以通过理解JWT的结构和Oauth2的流程...
OAuth2.0协议(三) - cookie、session、token和jwt
it_lihongmin的博客
01-12 2826
要说清token和jwt之前一定会谈起cookie和session,因为Http协议本身是一个无状态协议,每次请求都是单独的。但是当web等项目开发环境中,当前请求可能需要与其他http请求的上下文进行关联,才能完成业务逻辑,所以cookie和session就诞生了。
OAuth2:微服务权限校验Session共享
Leon_Jinhai_Sun的博客
07-30 1023
分布式权限校验
Session认证机制与JWT认证机制
weixin_46671304的博客
09-05 470
Session认证机制与JWT认证机制
一文搞懂SessionJWT登录认证
crg18438610577的博客
04-15 1595
一文搞懂SessionJWT登录认证~~
session 、cookie、token的区别及联系
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
01-05 806
session session的中文翻译是“会话”,当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。 cookie...
http认证鉴权05CAS和OAuth2区别
江州司马
04-04 3814
二者区别主要集中在以下几个方面 目的不同 cas是用作单点登录的,oauth2是用来做授权的。 保护对象不同 cas保护的用户名密码(st可以看作用户名密码的等价物)。oauth2,保护的是code,code等价于用户名+密码+数据使用范围限制(第三方登录时,可以选择是否提供手机号,头像等信息给被授权方使用。 区别很大?并非如此 CAS和Oauth2乍一看区别很大。 譬如常见的流程图解 CAS OAuth2 但是如果我们将CAS的流程图拍平,也修改为OAuth2的形式进行展示。那么
Oauth授权和session、cookie的讨论
eswang的CSDN博客
11-10 3388
前言 Oauth现在是处理网站认证问题的一个非常好用的工具,或者成为标准,它在我们身边的使用几乎无处不在,这篇文章我们以GitHub为例,看一下Oauth授权过程,并把它集成到我们的应用当中去。 关于如何获取Github的Oauth 这里就不多说了,之前也介绍过,其实都是大同小异,只不过国内的Oauth授权要求有点多而已。 Oauth 流程模拟 首先是跳转字段,这里拿一个授权过程举例: https...
jwtsession的登录鉴权
weixin_33725722的博客
09-16 647
前言 本文是我对自己学习的一个总结,我只是一名菜鸟,如果您有更好的方案或者意见请务必指正出来。我的
SpringCloud服务认证:深入理解JWTOAuth、Cookie比较
其次,文章对比了JWT与其他常见的认证方法,如OAuth和Cookie/SessionAuth。OAuth作为一种授权协议,允许用户授权第三方应用访问特定资源,但需要用户主动提供令牌,且令牌具有时间限制。相比之下,JWT提供了一种更为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

门心叼龙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值