什么是认证?什么是会话?什么是授权?

已于 2022-07-18 22:29:00 修改
阅读量418 收藏 1
点赞数
分类专栏: 软件测试 文章标签: 安全
于 2022-05-29 15:43:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lwjlin/article/details/125030738
版权

认证:就是判断一个用户的身份是否合法的过程。用户访问系统资源,需要确认身份合法,才能继续访问。

会话:就是认证通过了,创建一个会话,会话结束前,一般无需再次认证。实际就是保持用户登录状态的机制。一般通过session方式和token方式。(区别:session机制的话,需要在服务端存储session信息;token方式,服务端可以无需存储token信息。

授权:是认证通过后发生的,授权是为了更细颗粒度对隐私数据进行划分。控制用户能够访问不同的资源。

授权的数据模型

用户----------------角色------------------权限---------------资源

用户角色关系-----------角色权限关系

RBAC:

1、基于角色的访问控制(Role-Based Access Control),按角色进行授权

2、基于资源的访问控制(Resource-Based Access Control),按资源进行授权(推荐使用该方式)

lwjlin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Token的WEB后台认证机制(会话机制)
凌凌小博客
11-07 5146
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避...
什么是认证授权会话
Leon_Jinhai_Sun的博客
12-20 229
老王是一家超市的老板,随着生意越来越好,员工也越来越多,管理起来越来越费劲,经常会出现对不 上帐的情况,甚至有时怀疑是不是员工做了手脚?通过朋友介绍,他引入一款进销存软件,精明的他给 自己设置为管理员,并且给每位员工新建了账号,每位员工通过各自的账号登入系统。并且,他还给进 货员小张分配了"库存管理"模块功能,销售员小李分配了"销售管理"模块功能。通过一段时间经营,他 发现管理越来越精细了,工作轻松了,生意也更上一层楼了。 上述例子覆盖了认证授权会话的概念: 进货员小张,销售员小李需要通过各自的账号、密
认证会话
大鹏展翅
06-21 830
认证的目的是为了认出用户是谁,而授权
会话授权认证概念解析
分享博主日常学习和使用的一些技术
06-10 686
会话对于客户的第一个请求,服务端会生成一个唯一的会话id,并通过响应把它返回到客户端。客户在以后的每一个请求中都发送这个会话id。当然具体怎么实现由程序员决定,完全可以只有登录用户才会分配会话,通过会话的属性来判定用户使用有某种权限。会话操作会话创建,撤销会话会话属性操作:增加一个属性,删除一个属性,修改一个属性客户端和服务端是怎么交换会话ID信息的?1.最常用的是通过cookie携带这个会话id
HTTP会话认证
日积月累
02-28 723
一、basic认证和digest认证 https://blog.csdn.net/zjf535214685/article/details/81298694 二、Oauth认证原理 https://justcoding.iteye.com/blog/1950270 三、Hawk authentication https://segmentfault.com/a/1190000012056...
rfc4006.rar_Diameter_diameter OCS_ocs_rfc4006_rfc4006是什么
09-24
标题中的"rfc4006.rar_Diameter_diameter OCS_ocs_rfc4006_rfc4006是什么"提到了一个名为RFC4006的文档,这是一份由Internet Engineering Task Force(IETF)发布的互联网标准文档,主要关注Diameter协议的应用,...
shiro是什么-.docx
11-24
Apache Shiro是一个全面的Java安全框架,为Java应用程序提供身份认证授权会话管理和加密功能。它的设计简单易用,使得开发者能够快速地在应用中集成安全性,从而减轻了开发复杂的权限控制系统的负担。 首先,让...
第5章 认证授权v3.1
10-29
在IT行业中,认证授权是确保系统安全性的重要环节。在第5章"认证授权v3.1"中,我们将深入探讨这一关键概念及其在实际项目中的应用。本章主要分为两个部分:模块需求分析和Spring Security认证研究。 1. **模块需求...
Shiro 身份验证、授权、密码和会话管理
05-07
Apache Shiro 是一个强大且易用的 Java 安全框架,它提供了身份验证、授权、密码管理和会话管理等功能,简化了在 Java 应用程序中处理安全性的问题。Shiro 的设计目标是使开发者能够专注于应用程序的安全逻辑,而...
shiro认证授权demo
10-28
Apache Shiro是一个强大的Java安全框架,它提供了身份验证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能,简化了开发人员在构建安全应用时的复杂性。本Demo旨在展示如何使用...
认证会话管理
qq_22192367的博客
03-12 425
认证的目的是为了认出用户是谁,而授权的目的是为了决定用户能做什么密码是认证的常见方式,一般厂家会建一个弱字典表进行判断密码强弱;之后用户输入的密码进行加密存入数据库这样数据库被爆也能很好防范。通常加密使用的方法是MD5(username+psw+salt)...
做项目必须懂的三个概念 认证会话授权
传智燕青
09-30 2009
1 认证授权会话基础概念 什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份...
session会话_登录认证模块之session会话认证
weixin_39803977的博客
01-30 550
session会话认证定义:Session是应用系统对浏览器客户端身份认证的属性标识。Session中的用户信息会存放在应用系统服务器中。当浏览器客户端使用自身的 Session标识访问服务器时,服务器会根据 Session标识来查找对应的用户身份信息。危害:当系统使用 Session会话授权认证机制配置存在缺陷时,会导致攻击者利用配置缺陷风险进行对用户会话权限的盗取、操控等操作。Ses...
认证学习5 - Cookie、会话认证讲解、代码实现、演示
weixin_39651356的博客
08-17 577
Cookie认证讲解、代码实现、演示
会话机制和登录机制
皮皮狗
05-04 562
本博客为本人学习SSO单点登录时的学习笔记,主要参考了最强SSO单点登录教程(一)多系统的复杂性等系列课程。 一、会话机制 通常是指用户浏览器与服务器进行通信的时间间隔,浏览器和服务器之间的会话是通过浏览器的Cookie和服务器中的Session来进行的。主要过程如下: 1.浏览器第一次访问Tomcat服务器时,服务器会在服务端创建一个Session对象,并存储在服务端维护的map中,其中k...
session 认证机制
是阿瑶的博客呀~
10-11 258
1.HTTP 协议的无状态性 HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态 2. 如何突破 HTTP 无状态的限制 对于超市来说,为了方便收银员在进行结算时给 VIP 用户打折,超市可以为每个 VIP 用户发放会员卡. 注意:现实生活中的会员卡身份认证方式,在 Web 开发中的专业术语叫做 Cook 3. 什么是 Cookei Cookie 是存储在用户浏览器中的一段不超过 ...
会话技术及用户认证-Cookie、Session与 Token
dlut_ppp的博客
04-03 483
前言 最早互联网只是用于简单的浏览文档信息、查看黄页及门户网站等等,并没有交互这个说法。但是随着互联网慢慢发展,宽带、服务器等硬件设施得到了很大的提示,互联网允许人们可以做更多的事情,所以交互式Web逐渐兴起,而HTTP无状态的特点却严重阻碍了其发展。 HTTP 是无状态的协议,每个请求都是完全独立的(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息)。也就是说,无法根据之前的状态进行本次的请求处理——服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次
Spring Security是什么?
最新发布
04-17
4. 会话管理:Spring Security可以管理用户会话,包括跟踪用户登录状态、限制并发登录、管理会话超时等。它还支持集群环境下的会话复制和共享。 总之,Spring Security是一个功能强大且易于使用的安全性框架,可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值