会话维持(类似登录后带着一个令牌来操作其它地方或访问其它地方)

最新推荐文章于 2024-09-05 17:03:28 发布
最新推荐文章于 2024-09-05 17:03:28 发布
阅读量608 收藏
点赞数
分类专栏: android小知识点 文章标签: token seesion cookie 会话维持 登录带的token值
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llengnuo/article/details/78035477
版权

  会话维持就是我们通常说的那种像QQ登录,京东商城登录,淘宝登录一样,我们会带着一个类似令牌的身份证号来操作里面的一些功能,这个身份是唯一的,每一个人都有唯一的一个身份识别号码。会话维持的好处就是安全性高。


而最常见的方式有sessionKey/token和Cookie:

sessionKey/token:

1.我们注册成功后,服务器会生成一个seesionKey或token的值,这就相当于我们每个人的身份证号码一样。然后我们做其他操作的时候就不用带着账号和密码来访问其他页面,这样提高了安全性。

2.当登录成功后,服务器会返回一个seesionKey或token的值。(或着其他名字的值,肯服务器那边怎么定义这个名字吧)

3.在客户端,我们做什么操作呢?

   (1)首先我们保存好这个值,比如用sharepreference,文件的形式,数据库,内存等形式保存这个值,

4.在什么情况下我们会用到这个值呢?

  (1)比如我们在操作用户信息的时候可以用到,就像是判断你登录了没有,没有登录的话,这些功能或页面就不能操作或访问。

5.对于服务器的操作:

  服务器会对这个值进行保存,并设置有时间的期限,当然还有其他的一些字段,看服务器怎么弄吧。 

(1)服务器会根据客户端返回的值进行判断,首先会判断是否过期,就比如我们登录后,一段时间内可以不用再输入账号密码登录一样类似的操作。如果时间到了,值过期了,会提示重新登录,这时我们再做一个登录的操作就可以了。

 (2)判断值是否与服务器的匹配,如果匹配了就能进行相关的操作,否则不能进行相关的操作


Cookie:这个用的很少,所以详细的话请查找相关资料

1.登录成功之后,服务器会通过响应头set-cookie返回cookie

2.然后再保存好这个值,用上面的保存方式的其中一种都可以

3.下次操作与用户信息有关的时候,需要Cookie请求头传递给服务器。




llengnuo
关注
专栏目录
Web安全之攻击会话管理机制
Blood_Pupil的博客
05-09 1381
HTTP协议本身是“无状态”,“无连接”的,也就是说HTTP协议本身并不会记住客户端访问的上下文,也无法保存客户端的各种状态,这其中就包括登录状态。如果HTTP不能保存用户登录状态那就意味着用户在每次访问需要身份验证的网站时都必须填写用户名及密码,这里的“每次访问”是指每个单次的HTTP请求包括刷新一次页面。为了解决上述的问题Web应用程序就需要设计会话管理机制,通常是使用Cookie及Ses...
自己身份信息泄漏了怎么办,别怕,你了解身份管理与访问控制
HBohan的博客
07-27 3774
一、前言 在网络安全中,身份管理和访问控制(IAM)在对于访问对象的管理和信息传递的联系中起着至关重要的作用。身份管理与访问控制不仅要管理身份信息错误风险,还要保障在存储、处理乃至其他环节的机密性、完整性以及可用性。 根据Cybersecurity Ventures预测,到2021年,网络犯罪造成的损失将从2015年的3万亿美元增加到每年6万亿美元。除外部攻击外,内部人员的“参与”将进一步增加事件发生的可能性和影响程度,如赋予员工或承包商超过其职责所需的访问权限时,容易产生敏感数据泄露的风险。正因如此,组.
会话令牌:安全,高效,简单的随机会话令牌生成
02-05
会话令牌:安全,高效,简单的随机会话令牌生成
会话令牌
libo_java的专栏
05-13 2367
Struts的Token令牌)机制能够很好的解决表单重复提交的问题,基本原理是:服务器端在处理到达的请求之前,会将请求中包含的令牌与保存在当前用户会话中的令牌进行比较,看是否匹配。在处理完该请求后,且在答复发送给客户端之前,将会产生一个新的令牌,该令牌除传给客户端以外,也会将用户会话中保存的旧的令牌进行替换。这样如果用户回退到刚才的提交页面并再次提交的话,客户端传过来的令牌就和服务器端的令牌
会话 令牌
weixin_43803780的博客
07-14 211
在Web开发中,当一个用户首次访问网站时,服务器会给这个用户创建一个唯一的session(会话),并生成一个session ID,这个ID就像是会员卡,会被存储在用户的浏览器上(通常是在cookie中)。在整个音乐会期间,你不需要出示身份证或门票,只需要扫描这个手环上的二维码,就能证明你的身份,享受音乐会提供的服务。这种方式的好处是无状态的,即服务器不需要存储关于你的任何会话信息,所有的信息都在token中,这使得系统更加轻量级,也更易于扩展。两者都有各自的适用场景,选择哪种取决于具体的需求和系统的架构。
保护你的会话令牌
博文视点(北京)官方博客
01-07 3344
保护你的会话令牌 通常我们会采取以下的措施来保护会话。 1.采用强算法生成Session ID 正如我们前面用Web Scrab分析的那样,会话ID必须具有随机性和不可预测性。一般来说,会话ID的长度至少为128位。下面我们就拿常见的应用服务器Tomcat来说明如何配置会话ID的长度和生成算法。 首先我们找到{TOMCAT_HOME}\conf\context.xml,然后加入下面一段设置
一口气说出前后端 10 种 鉴权方案!!!
weixin_62765236的博客
10-22 1063
一口气说出前后端 10 种 鉴权方案
使用spring security 实现CAS单点登录
OneAuth身份云
08-22 1303
每次验证时,CAS Server 会根据 TGT签发一个ST,并把ST拼接在service参数中,同时将相应的TGC设置到用户cookie中(域为CAS Server),并返回302 状态码,指示浏览器重定向到 service,例如 http://cas.client.com/me?在单点登录系统中,需要定义一个独立的认证中心,只有认证中心才能接受用户用户名密码等安全信息,而其他系统并不提供登录入口,只接受认证中心的间接授权,间接授权通过令牌实现。,只需要登录一次就可以进入多个系统,而不需要重新登录
一篇文章让你深入浅出理解跨域与SSO单点登录原理与技术
03-30 330
一:SSO体系结构 SSO ​ SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 体系结构 ​ 当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,...
会话令牌、加密、过滤器、拦截器及全局异常
javaFrom0To100的博客
08-18 226
1、概念:在java中会话技术就是浏览器和服务器之间的连接,一次连接代表一次会话2、会话跟踪技术:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。为什么要引入会话跟踪技术:在应用系统服务端,每时每刻都会接收请求或者会话,那么服务器是如何不会混淆这些请求呢,如何判断这些来自哪个客户端,这时候就需要用到会话跟踪技术3、会话跟踪技术的几种方式Cookie:(客户端会话跟踪技术)
会话技术,JWT令牌
最新发布
qq_46668017的博客
09-05 293
setExpiration(new Date(System.currentTimeMillis()+3600*1000):设置令牌的有效期,参数需要一个Date对象,示例参数表示令牌有效期为当前时间往后一小时。.signWith(HS256,“”)调用数字签名的算法,第一个参数是算法类型,第二个参数是数字签名的秘钥。会话跟踪:维护服务器状态的方法,服务器需要识别请求是否来自同一浏览器,以便在同一会话不同请求中共享数据。.parseClaimsJws()//传入令牌。.getBody();
登录校验-会话技术/JWT令牌
Hey_Join的博客
06-28 305
登录校验-会话技术/JWT令牌
VMware vSphere Web Services SDK编程指南(五)- 5.4 客户端应用(Web 服务器会话令牌)
zhouxukun123的专栏
08-06 1535
5.4 Web 服务器会话令牌 与其他Web服务一样,vSphere Web 服务通过在 HTTP 头中使用一个令牌来标识会话为每个客户端连接维护会话状态。vSphere 服务器对客户端连接请求响应中返回一个会话令牌给客户端,客户端和服务器之间的后续消息会自动包含该令牌
会话跟踪——JWT令牌
Summer_Shorts的博客
04-08 1192
登陆中运用令牌
用户登录成功后才进入主窗口进行其他操作
JoeBlackZQQ的专栏
11-20 5621
应用前景:面对一个应用程序,用户只有输入正确的用户名和密码后,才能进入主窗口进行其他的操作;否则,提示登录失败,重新输入。 开发环境:Windows XP + VC6.0   新建一个基于MFC的单文档应用程序(项目名:delme),默认就行,。。。直到Finish。编译运行,就可以有一个窗口出来了,这个窗口作为主窗口。 现在要做一个登录窗口,它将在主窗口显示出来前跳出来提示用户登录
Web安全:会话令牌
weixin_26753891的博客
08-21 951
Web security has turned into a major topic, it plays an important role in building applications that are secure, and don’t suffer external attacks like XSS. Over the years, web security has evolved dr...
【web-攻击会话管理】(4.2.1)会话令牌生成过程中的薄弱:令牌含义、加密令牌
08-16 447
会话令牌生成过程中的薄弱】令牌含义、加密令牌
怎么重写AbstractSessionFixationProtectionStrategy 中的onAuthentication 方法,实现当同一个账号在其他地方登录后强制退出其他浏览器
07-15
要重写 `AbstractSessionFixationProtectionStrategy` 中的 `onAuthentication` 方法以实现当同一个账号在其他地方登录后强制退出其他浏览器,你可以创建一个自定义的类继承自 `AbstractSessionFixationProtectionStrategy`,并在其中重写 `onAuthentication` 方法。以下是一个示例: ```java public class CustomSessionFixationProtectionStrategy extends AbstractSessionFixationProtectionStrategy { private final ActiveSessionRegistry activeSessionRegistry; public CustomSessionFixationProtectionStrategy(ActiveSessionRegistry activeSessionRegistry) { this.activeSessionRegistry = activeSessionRegistry; } @Override public void onAuthentication(Authentication authentication, HttpServletRequest request, HttpServletResponse response) { HttpSession session = request.getSession(false); if (session != null) { String accountIdentifier = authentication.getName(); HttpSession currentSession = activeSessionRegistry.getSession(accountIdentifier); if (currentSession != null && !currentSession.getId().equals(session.getId())) { // 强制退出其他浏览器 currentSession.invalidate(); activeSessionRegistry.removeSession(accountIdentifier); // 记录日志或其他操作 // 返回强制退出的提示信息 try { response.getWriter().write("您已在其他地方登录,被迫退出当前浏览器"); response.getWriter().flush(); } catch (IOException e) { // 处理异常 } } } super.onAuthentication(authentication, request, response); } } ``` 在上述示例中,我们创建了一个名为 `CustomSessionFixationProtectionStrategy` 的自定义类,它接受一个 `ActiveSessionRegistry` 实例作为构造函数参数。在 `onAuthentication` 方法中,我们首先获取当前会话(session)并获取账号的唯一标识(accountIdentifier)。然后,我们从 `activeSessionRegistry` 中获取已登录的账号对应的会话(currentSession)。如果找到了已登录的账号,并且当前会话ID与新的会话ID不相等,则表示该账号在其他地方登录,我们可以执行相应的操作,如强制退出其他浏览器,并返回一条强制退出的提示信息。 最后,我们调用父类的 `onAuthentication` 方法以继续执行其他的会话固定性保护逻辑。 请注意,上述示例中的 `ActiveSessionRegistry` 类是一个自定义的类,您需要根据自己的需求实现它来跟踪已登录的账号和对应的会话
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值