【踩坑日记】无状态登录时设置token到cookie中遇到的坑

最新推荐文章于 2024-01-17 11:04:01 发布
最新推荐文章于 2024-01-17 11:04:01 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 踩坑日记 文章标签: java cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhr666666/article/details/107477899
版权

有状态登录

在以前的单一系统中,记录用户的登录状态常使用的是有状态登录,即服务器端在用户登陆后将用户的信息保存在服务器中,从而识别用户身份。典型的做法是将用户信息存储在Session中,并分配一个SessionID存储在客户端的cookie中,当用户再次访问时,就可以通过SessionID识别用户。

但是在大型的分布式系统当中,这种做法已经无法适应时代的潮流,弊端主要有二:
一是大量的用户Session信息存储在服务器端,会对服务器产生压力。
二是由于在分布式系统当中,用户每次请求的可能不是同一台服务器,这就造成了存储在A服务器Session中的用户信息,在B服务器中无法识别。

因此,就需要使用无状态登录来解决问题。

无状态登录

无状态登录,就是服务器端不保存用户信息,服务器在通过对用户的认证之后,返回一个身份凭证(token)给客户端,用户再次请求时只需要携带token,就可以访问任意一台服务器,这样既不会对服务器端产生压力,又解决了单点登录问题。

在这里插入图片描述
上图在发送一个用户登录请求之后,通过解析域名将请求发送到nginx服务器,nginx服务器将请求转发到gateway网关,再经过zuul的前缀/api和/auth将请求转发到auth微服务,请求login方法,在username和password校验通过后,生成一个token存储到cookie中。

但是这里遇到一个小问题,那就是cookie中有一个域的概念,叫domain

domain:可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”。

原本我的请求是api.leyou.com,domain应该是leyou.com才对,但是我的domain确是0.0.1,这是因为nginx在监听到了api.leyou.com之后,将请求转发到了192.168.0.101的gateway,又因为是本机IP,所以serverName变成了127.0.0.1,由于domain是根据serverName获取的,所以就变成了0.0.1,解决方法是修改nginx的配置文件
在这里插入图片描述
加上proxy_set_header Host $host,这样nginx在转发时就会带上原来的host,但是这样还是不行,因为在经过zuul转发时host还会被修改一次,于是需要在application.yml中增加一句代码add-host-header: true
在这里插入图片描述
意思是携带本身的host头信息
但是这样还不行

Zuul内部有默认的过滤器,会对请求和响应头信息进行重组,过滤掉敏感的头信息
在这里插入图片描述

会发现,这里会通过一个属性为SensitiveHeaders的属性,来获取敏感头列表,然后添加到IgnoredHeaders中,这些头信息就会被忽略。

而这个SensitiveHeaders的默认值就包含了set-cookie

在这里插入图片描述
解决方法就是在application.yml中再加一句sensitive-headers:,然后什么都不用写,表示用空白覆盖
在这里插入图片描述
这时再去登录,就会发现浏览器的cookie中已经携带了domain为leyou.com的token信息了,另外,spring-cloud-netflix-zuul2.0.1.RELEASE有BUG,会导致无法修改serverName,需要换个版本。

lhr666666
关注
专栏目录
APP使用token和refreshToken实现保持登录状态.vsdx
07-16
App使用Token 和 RefreshToken 完成登录认证接口,保持登录状态。 这是使用Token和RefreshToken的流程图。
SaToken记录
ljytower的博客
06-15 1971
使用satoken做权限认证后,无论是做全局的WebMvcConfigurer还是做局部的@CrossOrigin(originPatterns = "http://localhost:8000")都不起作用。使用satoken做权限认证后,knife4j的doc.html页面无法打开。一、与knife4j搭配使用。
Sa-Token:关于Sa-Token跨域问题解决后导致token无效,Cookie丢失的问题
weixin_47303191的博客
06-22 6109
这两天用sa-token做业务发现,如果使用前端ajax请求到认证心的话,会导致跨域问题,而跨域问题解决后悔导致认证心的token失效了,我debug了。同理,如果认证心重定向回来,token也可能丢失,所以我们将token放在重定向地址里作为参数,就不会丢失了.如果不懂代码怎么回事,可以去Sa-Token学习学习,也可以去我发的**
发现一款java鉴权认证框架sa-token(目前好像还很多)
qq_1641486826的博客
05-12 1万+
我们先看一下官网介绍,sa-token有什么功能 链接: 官网地址 主要是Shiro、Security配置繁琐,这个简单易上手 这是他的大致功能点,今天我们搞点基础的 springBoot 集成sa-token 并实现登录的验证和权限的鉴定 首先导入maven坐标 导入redis主要是sa-token使用内存来存取token的,使用redis第三方来做到重启项目token不丢,只需导入sa-token-redis的maven即可,不需要手动get,set(方便!) <!-- Sa-Token
如何选择最优权限框架?Sa-Token 和 Shiro 对比
90程序员说科技的博客
05-10 820
在实现权限管理方面,sa-token 和 Shiro 都是备受瞩目的 Java 权限框架。然而,它们的设计理念、技术特点以及使用场景各不相同。本文旨在从使用和配置的角度对比这两个框架,帮助读者选择适合自己应用的权限框架。本文从使用和配置的角度,对比了 Sa-Token 和 Shiro 这两个权限框架,并且介绍了它们各自的优缺点和适用场景。总的来说,Sa-Token 相对于 Shiro 来说,使用更加简单、配置更加方便,且在性能上有一定的优势。但是,它也有适用场景的限制,需要根据具体的项目需求来进行选择。
sa-token 多端登录思路和遇到
ControlDemo的博客
01-28 7124
sa-token 多端登录思路和遇到
vue前端利用refreshToken结合axios拦截器实现token的无感刷新
01-16
1、首次登录候会获取到两个token(AccessToken,RefreshToken)。 2、持久化保存起来(localStorage方案)。 3、正常请求业务接口的候携带AccessToken。 4、当接口口返回401权限错误,使用RefreshToken请求...
C# 调用 Cefsharp浏览器获取登录后的cookie
07-05
在IT领域,尤其是在Web开发,获取登录后的cookie对于实现自动化测试、数据抓取或模拟用户行为等功能至关重要。本文将详细讲解如何使用C#编程语言结合CefSharp库来实现这一目标。 首先,C#是一种面向对象的编程...
Springboot登录后关于cookie和session拦截问题的案例分析
09-07
在Spring Boot应用登录验证通常涉及到Cookie和Session两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot使用Cookie和Session进行登录后的拦截处理。 首先,简单介绍...
自定义的token为什么没有写入cookie
牵佳一诺的博客
07-31 2788
在使用nginx登录系统(sso系统,sso.a.com)和前台系统(www.a.com),当登录系统写入cookie后,跳转到前台系统,正常情况下是不可能把cookie写入前台系统的。那怎么办? 1、在nginx的sso.a.com的server追加proxy_set_header Host $host;重启。因为nginx会让tomcat压根不知道请求的真实域名是啥。这样写tomc
Sa-Token】6、Sa-Token集成Redis
热门推荐
Asurplus
08-01 20万+
Sa-Token 支持 Redis、Memcached 等专业的缓存间件, 做到重启数据不丢失,而且保证分布式环境下多节点的会话一致性 一、引入Maven依赖 <!-- springboot集成redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artif
WEB安全(十三)Token认证的优势与劣势
jinyangjie的博客
02-17 4508
一、优势 token 相对于 Cookie + Session 的优势,主要有下面四个: 1、无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。 2、防止CSRF 攻击 CSRF(Cross Site Request Forgery) 一般被翻译为 跨站请求伪造,属于网络攻击领域范围。构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式,鉴权数据(cookie 的 ses
从零搭建开发脚手架 集成认证授权 sa-token(尝鲜)
laker的博客
04-09 5193
文章目录为什么要尝鲜Sa-TokenSa-Token是什么?Sa-Token 能做什么?快速集成依赖导入配置文件登录登出请求拦截鉴权权限和角色扩展集群环境依赖导入配置文件总结 目前我仅以学习和尝鲜为目的来集成,不建议用于公司等正式环境,公司还是建议Shiro和Spring Security那一套。(等我实战一波看看效果再说) 为什么要尝鲜Sa-Token 之前我还是挺排斥国产小作坊的开源作品,毕竟不是根红苗正,但是随着近几年国内开源社区的大力发展,以及在平工作又接触了解很多,慢慢改变了我的看法,其实国人
token放在cookie和直接使用cookie有什么区别?
qinkaiyuan94的博客
08-22 2万+
看了几个问题和答案感觉自己明白了一些 token,放在cookie,还是和直接使用cookie一样,所以仅仅将token放在cookie是不行的; 需要在页面上有一个地方存放token,以表单提交的方式提供给后台,后台可以校验表单tokencookietoken是否一致,一致则继续校验token,不一致直接返回; 既然页面有token了为什么cookie还要额外存放一份,因为如果...
Token认证的好处和坏处是什么?
Miss.Fan的博客
12-11 1万+
token 这里我们说的token,是指 访问资源的凭据 。使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是 这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在localStorage 客户端每次向...
CookieToken 的优缺点
最新发布
一只猫
01-17 750
综上所述,CookieToken 各有优缺点,选择哪种方式取决于具体的需求和安全要求。通常情况下,如果对安全性要求比较高,推荐使用 Token;如果对安全性要求不是很高,且需要简单易用的方案,可以选择 CookieCookieToken 都是常见的身份验证和会话管理机制,它们各自有优缺点,需要根据具体需求来选择合适的方案。
前端token4个存储位置的优缺点
王春燕的博客
06-11 6542
一、token是什么 Token:访问资源的凭证。一般用户通过用户名密码登录后,服务端会将登录凭证做数字签名,加密之后的字符串作为Token。并在客户端后面的向服务端的请求携带,作为凭证。 二、token一般存放在哪里? token 在客户端一般存放于localStorage、cookie、或sessionStorage,vuex。......
解决令牌token放在Cookie,被窃取的问题
dj1955的博客
09-06 6428
令牌token放在cookie,有被窃取的可能,解决这个问题 1. 设置令牌存放Cookie间,过期间不宜太久 2. 用户退出认证服务,将Cookie的令牌信息删除 3. 前面两步并没有起到有效防止令牌被窃取,关键看这一步,用户每次请求,后端都获取用户的IP,对获取到用户真实的IP再进行一次MD5加密,然后与Jwt令牌封装了登录用户的经过MD5加密的IP比对,如果不一样,令牌没有被窃取,果断拦截;说明由于IP的唯一性,保证令牌的私有;打比方说,令牌比作钥匙,钥匙被人窃取了,他就能利用这把钥匙
token放在cookie
07-25
token放在cookie有几个原因。首先,cookie是服务器发给客户端的特殊信息,以文本的形式保存在客户端。每次请求都会带上cookie,这样可以方便地在客户端和服务器之间传递token信息。\[2\]其次,cookie具有同源策略,只有相同域名的网页才能获取对应域名的cookie。这样可以确保别人在其他域名无法获取你的cookie,从而保护token的安全性。\[3\]另外,通过设置cookie的过期间,可以控制token的有效期。如果不设置过期间,cookie保存在内存,生命周期随浏览器的关闭而结束;如果设置了过期间,cookie保存在硬盘,关闭浏览器后,cookie数据直到过期间才会消失。这样可以灵活地管理token的有效期。\[2\]总之,将token放在cookie可以方便地传递和管理token信息,并保护token的安全性。 #### 引用[.reference_title] - *1* [说一下token 能放在cookie吗?](https://blog.csdn.net/qq_41581588/article/details/127091822)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [vue访问后台所携带的token值为什么会放在cookie,而不是放在localStorage和sessionStorage](https://blog.csdn.net/weixin_44647865/article/details/115109409)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值