使用 Session-Cookie 方案进行身份验证

已于 2024-07-18 10:17:24 修改
阅读量247 收藏 4
点赞数 7
分类专栏: # 认证授权 文章标签: 登录 cookie session
于 2024-06-25 16:15:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_liuyuan/article/details/139961540
版权

一、 实现代码

1. 创建登录控制器:

首先,创建一个控制器类,包含登录处理方法。在这个方法中,我们将验证用户名和密码,并在成功时设置会话。

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Controller
public class LoginController {

    @PostMapping("/login")
    @ResponseBody
    public String login(
            @RequestParam("username") String username,
            @RequestParam("password") String password,
            HttpServletRequest request,
            HttpServletResponse response) {

        // 简单的验证逻辑,实际应用中应该使用更安全的方法验证用户名和密码
        if ("admin".equals(username) && "password".equals(password)) {
            // 验证成功,创建或获取会话
            HttpSession session = request.getSession(true); // 不存在则创建 session
            session.setAttribute("username", username); // 存储用户信息到会话中
			// 这里有一个隐藏逻辑:当你在Spring Boot应用中调用登录接口(如/login接口)并成功认证后,
			// Spring Boot应用运行的Servlet容器(默认可能是Tomcat)会自动创建一个HTTP会话(HttpSession)。
			// 作为这一过程的一部分,容器会生成一个唯一的会话ID,并将此ID作为JSESSIONIDCookie写入到HTTP响应头中。 
			// 也就是说,会将 sessionId 写到 cookie 中,key 为 JSESSIONID
			// Cookie sessionCookie = new Cookie("JSESSIONID", session.getId());
    		// response.addCookie(sessionCookie); 

            // 登录成功,重定向到主页或其他页面
            return "redirect:/home";
        } else {
            // 验证失败,返回错误信息或重定向到登录页面
            return "redirect:/login?error=true";
        }
    }
}
2. 验证会话

在其他需要验证的接口中,你可以检查HttpSession是否存在特定的属性(如用户名),以此来判断用户是否已登录,最好用拦截器全局拦截。

@PostMapping("/someProtectedResource")
@ResponseBody
public String accessProtectedResource(HttpServletRequest request) {
    HttpSession session = request.getSession(false); // 不创建新会话,仅获取现有会话
    if (session != null && session.getAttribute("username") != null) {
        // 用户已登录,继续处理请求
        return "Welcome, " + session.getAttribute("username");
        // 同样这里有个隐藏逻辑:服务端会获取 cookie 中的 JSESSIONID,并且比较 cookie 中的 JSESSIONID
        // 和 当前会话的 sessionId是否相同
    } else {
        // 用户未登录,返回未授权信息或重定向到登录页
        return "Unauthorized";
    }
}

二、 注意事项

  • 安全性:
    • Cookie劫持:确保通过HTTPS传输Cookie,以防中间人攻击窃取Cookie中的会话ID。
    • XSS攻击:防范跨站脚本攻击,攻击者可能会通过这种方式偷取用户的Cookie。
    • CSRF攻击:实施CSRF防护措施,因为仅依赖Cookie无法验证请求的起源。
    • Cookie限制:用户浏览器对Cookie的数量、大小和域名有不同限制,可能导致问题。
  • 性能与扩展性:
    • 服务器内存:服务器需要为每个活跃会话分配内存,大量并发会话可能消耗大量资源。
    • 分布式系统:在分布式环境下,需实现Session共享或粘性会话,否则用户可能在不同服务器间跳转时丢失会话。(Spring Session)
  • 有效期管理:
    • 适时终止会话,如用户长时间未活动后,以释放服务器资源。
  • 兼容性和标准:
    • 不同浏览器对Cookie的支持和限制可能有所不同,需要进行兼容性测试。
String NUll
关注
专栏目录
Session/Cookie身份验证识别
qq_64948664的博客
03-05 713
技术派当前的用户登录信息,主要借助最基础的session/cookie来实现的;现在虽然基本进入分布式session的时代了,但切实去看oauth,sso,jwt等各种登录方案之前,有必要学习最早的cookie/session,知道他的实现方式,然后再改造项目。
WEB安全(七)Session-Cookie 方案进行身份验证的具体过程
jinyangjie的博客
02-14 1208
概述 每一次web请求,其实是通过sessionId来标识请求会话的。 1、用户端成功请求登录接口并且验证身份通过时,服务端记录该次session信息,并把seesionId返回给用户端,用户端将该信息存入cookie。 2、当同个用户再发起新的请求时,会把sessionId带上,服务端通过对比已有session信息,可识别用户身份。 更详细的描述过程 1、用户向服务器发送用户名、密码、验证码用于登陆系统。 2、服务器验证通过后,服务器为用户创建一个 Session,并将 Session 信息存储起来。 3
使用SessionCookie登录验证
热门推荐
java开发学习积累
04-06 1万+
1 背景 作为“自学成才”的野路子程序员,一直忙于CRUD,没有系统地学习CS基础知识,导致面试的时候屡屡被CS专业的同学diss,于是乎知耻而后勇,认认真真地补习基础知识,这篇博客就来学习、总结下啥是Cookie、啥是Session。 以前看过面试宝典,只知道Cookie是保存在客户端、Session保存在服务端,除此之外一无所知,直到昨天晚上躺在床上辗转反侧、思绪万千,看了一篇关于单点...
CookieSession、token —— 用户身份验证技术
mantou_riji的博客
07-08 758
我们在登陆一个网站后,如果退出页面再次进入的时候就是已登陆好的状态,这就是cookie的作用。 Cookie是一种进行网络会话状态跟踪的技术。1. Cookie诞生的原因 会话是由一组请求与响应组成,是围绕着一件相关事情所进行的请求与响应。所以这些请求与响应之间一定是需要有数据传递的,即是需要进行会话状态跟踪的。然而HTTP协议是一种无状态协议(即在不同的请求间是无法进行数据传递的)。在这种情况下就引入Cookie 用来跟踪请求间数据传递的会话。2.Cookie的作用 Cookie是由 服务器 生成,保存在
cookie
天蝎
03-14 247
cookie的创建形式 document.cookie = “key=value expires=失效时间 path=路径访问 domain=域名访问 secure” 红色的代码为可选部分 例子1(基本创建) document.cookie = "user=tom"; //user为键,tom为值 例子2(添加失效时间) vard=newDate(); d.s...
SpringBoot 登录认证(二)Cookie与Sesstion
qq_42736179的博客
03-29 1239
登录校验的实现思路:会话跟踪技术以及统一拦截技术。并介绍两种传统的会话跟踪技术:cookie与sesstion,介绍跨域、集群的概念,为之后的令牌技术做铺垫
ctfhub cookie
2202_75317918的博客
03-13 122
ctfhub cookie
前后端的身份认证--cookie--session--jwt--token
faith_girl的博客
02-07 4399
一、web开发模式 目前主流的WEB开发模式有两种,分别是: 1.基于服务端渲染的传统WEB开发模式 2.基于前后端分离的新型WEB开发模式 服务器渲染的web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的,因此,客户端需要使用Ajax这样的技术额外请求页面的数据 ...
Asp.Net Core中基于Session身份验证的实现
10-18
在Asp.Net Core中,基于Session身份验证是一种传统的身份验证机制,尽管在Asp.Net Core中推荐使用更高级的如JWT(JSON Web Tokens)或Cookie身份验证,但有些情况下开发者仍可能选择使用Session。以下是对Asp.Net ...
Nodejs中session的简单使用及通过session实现身份验证方法
12-23
session的本质使用cookie来实现。 原理大概是:http 带来服务端提前设置 cookie,服务端拿到标示用户身份的cookie, 再去固定地点(数据库,文件)检索出对应的用户身份。把身份赋值给本次请求的request,在程序处理...
Djangonautic:使用Django-python的Web身份验证系统
03-03
总结,Django的Web身份验证系统是其强大功能的核心组成部分,它提供了一套完整的解决方案,包括用户管理、会话控制、权限分配等。开发者可以根据项目需求灵活配置和扩展,实现安全、高效的用户认证系统。通过深入...
卡通风格化魔法术技能粒子特效 :Toon Projectiles 2 1.0
10-19
这款卡通射击特效资源包提供了 15 种独特的射击物、命中效果和闪光效果,风格统一且易于与您的项目集成。它默认支持 Unity 的内置渲染器,并且兼容 HDRP 和 URP 渲染管线。如果您拥有 Hovl Studio 的其他资源,该包将免费提供。所有效果均在各平台兼容,并且可以通过标准尺寸值轻松调整命中效果的大小。需要注意的是,调整射击物大小时,可能需要修改轨迹长度和按距离生成的速率。 该资源还包含了一个演示场景射击脚本,方便用户快速了解如何使用这些特效。该资源包还与 InfinityPBR 的 Projectile Factory 插件兼容,可以进一步增强您的射击游戏效果。 需要注意的是,推广媒体中使用的后处理效果 "Bloom" 并非资源包自带,建议用户在下载资源包之前,先行从 Unity 包管理器下载 "Post Processing Stack"。HDRP 和 URP 渲染管线的用户可以直接利用内置的 "Volume" 组件中的 "Bloom" 效果。
在 MATLAB GUI 中动态更新数据:策略与实践
10-19
通过本文的详细介绍,你应该能够理解如何在 MATLAB GUI 中更新数据。从设计 GUI 界面到处理用户输入,再到动态更新数据,每一步都是构建交互式 MATLAB 应用程序的关键。通过实际的代码示例,你可以更深入地理解这些概念,并将其应用到你自己的项目中。 记住,GUI 的设计和实现是一个迭代的过程。随着你对用户需求的更深入了解,你可能需要不断调整和优化你的 GUI。通过持续的测试和反馈,你可以创建一个既美观又功能强大的 MATLAB GUI 应用程序
【JCR一区级】Matlab实现白鹭群优化算法ESOA-CNN-BiLSTM-Attention的故障诊断算法研究.rar
最新发布
10-20
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
信创实验室建设方案(24页).pptx
10-19
信创实验室建设方案(24页)
KGBrowserSetup-x86-V1.0.0.100-20190315.exe
10-19
KGBrowserSetup_x86_V1.0.0.100_20190315.exe
obspy-1.2.2-cp38-cp38-win_amd64.whl
10-19
obspy-1.2.2-cp38-cp38-win_amd64.whl
数字政府大数据政务云平台顶层设计方案(75页).pptx
10-19
数字政府大数据政务云平台顶层设计方案(75页)
Pillow-9.1.1-cp37-cp37m-win_amd64.whl
10-19
Pillow-9.1.1-cp37-cp37m-win_amd64.whl
前后端鉴权方式总结:HTTP Basic, Session-Cookie, Token, OAuth
HTTP Basic Authentication 是一种简单的身份验证机制,基于HTTP头部进行交互。当客户端尝试访问受保护的资源时,如果未提供有效的身份凭证,服务器会返回401 Unauthorized状态码,携带WWW-Authenticate头来指示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值