session认证机制

已于 2023-04-11 10:49:08 修改
阅读量320 收藏 1
点赞数
分类专栏: node.js js 文章标签: 服务器 java 数据库
于 2023-04-09 20:34:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxllxl211/article/details/130024689
版权
js 同时被 2 个专栏收录
65 篇文章 0 订阅
订阅专栏
node.js
6 篇文章 1 订阅
订阅专栏

HTTP 协议的无状态性

了解 HTTP 协议的无状态性是进一步学习 Session 认证机制的必要前提。

HTTP协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。

在这里插入图片描述
Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。
它由一个名称(Name)、
一个值 (Value)和其它几个用
于控制 Cookie 有效期、安全性、使用范围的可选属性组成。
在这里插入图片描述
不同域名下的 Cookie 各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。

cookie特点:

  • 自动发送
  • 域名独立
  • 过期时限
  • 4KB 限制

Cookie在身份认证中的作用
客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的 Cookie,客户端会自动将 Cookie 保存在浏览器中。

随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的 Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。
在这里插入图片描述
Cookie 不具有安全性

提高身份认证的安全性

为了防止客户伪造会员卡,收银员在拿到客户出示的会员卡之后,可以在收银机上进行刷卡认证。只有收银机确认存在的
会员卡,才能被正常使用。
在这里插入图片描述

section工作原理

在这里插入图片描述

在Express 中使用 Session 认证

在 Express 项目中,只需要安装 express-session 中间件,即可在项目中使用 Session 认证:

npm install express-session

配置 express-session 中间件
express-session 中间件安装成功后,需要通过 app.use() 来注册 session 中间件

// 1.导入session中间件
const session=require('express-session');

// 2.配置Session中间件
app.use(session({
    secret:'keyboard cat',//可以是任意字符串
    resave:false, //固定写法
    saveUninitialized:true //固定写法
}));

// 导入库并启动服务器----------------------------------------
const express = require('express');
const app = express();
app.listen(80, () => {
    console.log('服务器启动,地址:http://127.0.0.1:80');
});


// --------------------------------------------------------------------
// 1.导入session中间件
const session = require('express-session');
// 2.配置Session中间件
app.use(session({
    secret: 'keyboard cat',//可以是任意字符串
    resave: false, //固定写法
    saveUninitialized: true //固定写法
}));
// ----------------------------------------------------------------------


// 托管的静态页面
app.use(express.static("C:\\Users\\l'x'l'z'm'k\\Desktop\\方舟:生存进化"))

// 解析 POST 提交过来的表单数据
app.use(express.urlencoded({ extended: false }));

// 登录的api接口
app.get('/api/login', (res, req) => {
    // 判断用户提交的登录信息是否正确
    if (req.body.name !== 'admin' || req.body.pwd !== 123) {
        return res.send({
            status: 1,
            msg: '登录失败'
        })
    };

    // 将登录成功后的用户信息,保存到session中
    // 注意:只有使用了express-session这个中间件,才能通过req点session这个属性
    req.session.user = req.body;//将用户的信息,存储到Session中
    req.session.islogin=true;//将用户的登录状态,存储到session中

    res.send({ static: 0, msg: '登录成功!' })
})

// 退出登录接口
app.post('/api/logout',(req,res)=>{
    // 清空当前客户端对应的session信息
    req.session.destroy();
    res.send({
        status:0,
        msg:'退出登录成功!'
    })
})
lxl211
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Session认证机制
weixin_45650502的博客
03-28 5310
不同开发模式下的身份认证: (1)服务端渲染推荐使用Session认证机制; (2)前后端分离推荐使用JWT认证机制
session身份认证机制
qq_43781887的博客
10-12 851
本博客讲述session身份认证机制,在了解session身份认证机制之前,需要先了解以下内容。前端身份认证主要分为两种,一种是Session身份认证,一种是JWT身份认证。(3)Session身份认证的工作原理(重要!(4)在Express中使用session认证。服务端渲染推荐使用session认证机制。前后端分离推荐使用JWT认证机制。Cookie在身份认证中的作用。Cookie不具有安全性。(1)HTTP无状态性。提高身份认证的安全性。
用户认证Session
weixin_40270125的博客
01-02 974
密码和证书等认证手段,一般仅仅用于登录的过程。当登录成功后,就需要替换一个对用户透明的凭证,就是SessionID。 当用户登录完成后,在服务器端就会创建一个新的会话(Session),会话中保存用户的状态和相关信息。服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Session...
Session认证
qq_24381917的博客
05-23 271
以下内容学习自<<白帽子讲Web安全>> 密码与证书等认证方式,通常用于登录过程,等来完成后,用户访问网站的页面,不可能每次都使用密码认证一次,因此认证成功后,就需要替换一个对用户透明的凭证,这个凭证就是SessionID 当用户登录完成后,在服务端会创建一个新的会话(Session),会话中保存用户的状态和相关信息,服务器维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可,为了告诉服务器需要使用哪个Session,浏览器需要把当前用户持有的Ses
实现session身份认证机制
03-14
实现session身份认证机制
node实现后端服务器认证机制练习
02-11
如标题所示,是对node后端认证机制的练习文件,包括session认证和jwt认证的实现
JSP_session对象
01-11
JSP_session对象,session的基本结构 session的基本属性 用户登录(用户身份认证session跟踪(了解) session钝化机制(了解)
微信公众平台开发教程(八)Session处理问题
01-01
在微信窗口,输入的信息有限,我们需要将一些信息分多次请求。 ... ...服务号:招商银行信用卡,就...一、创建通用的Session处理机制。 为了更好的说明原理,便于扩展,我们来自己设计Session。当然,这里也可以使用System.We
webgoat——Session Management Flaws会话管理缺陷
01-20
在用户登录认证成功之后,服务器生成sessionid通过cookie返回给用户所在的浏览器从而使每个用户都会有一个唯一标识sessionID(详细问度娘诺) 然后还在网上找了一个会话管理的思维导图,今天这部分知识一丁半点: ...
session和token实现用户认证的异同
christwei的博客
04-20 3852
现在貌似大多数网站用户认证都是基于 session 的,即在服务端生成用户相关的 session 数据,而发给客户端 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户认证。这种认证方式,可以更好的在服务端对会话进行控制,安全性比较高(session_id 随机),但是服务端需要存储 ses...
Web应用程序的身份验证:Session认证、Token认证
Waylon_Ma的博客
04-01 3767
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
session的工作原理,及session实现登录验证示例
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 2965
服务器创建 Session服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户的 Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
Session 认证和Token 认证
最新发布
abc_138的博客
01-02 1042
概念:JWT 全称 JSON Web Token,是一种基于 Token 的认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
前后端身份认证session身份认证,JWT认证
lalala_dxf的博客
05-06 1152
什么是身份认证身份认证(Authentication)又称“鉴权”,是指通过一定的手段,完成对用户身份的确认。生活中常见的身份认证有:高铁的验票乘车、手机密码或指纹解锁,支付宝或微信的支付密码验证等。而在Web开发中,涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录,二维码登录等。为什么要身份认证HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。有些情况下即使是打开同一个网站的不同页面也都要重新登录。
Cookie、Session、Token、JWT
kagurawill的博客
12-30 1365
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
常用的认证机制session认证和token认证
python全栈
08-13 4280
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中; 浏览器接下来的操作为:将响应头中
URLSession证书
github_35041937的博客
07-06 1008
验证挑战和TLS链验证NSURLRequest对象经常遇到身份验证挑战,或者从其连接的服务器请求凭证。 NSURLSession类在请求遇到身份验证挑战时通知其代理,以便它们可以相应地执行。重要提示:URL加载系统类不会调用其代理来处理请求挑战,除非服务器响应包含WWW-Authenticate标头。 其他身份验证类型(如代理身份验证和TLS信任验证)不需要此标头。决定如何应对认证挑战重点内容如果会
传统的session认证以及其缺点
oqqaKun1的博客
06-12 2437
定义:http协议是一无状态协议,所以如果用户向后台应用提供了用户名和密码来进行认证,下一次请求时,用户还是要带上用户名和密码进行用户认证。为了使后台应用能识别是哪个用户发出的请求,只能在后台服务器存储一份用户登陆信息,这份信息也会在响应前端请求时返回给浏览器(前端),前端将其保存为cookie,下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户了,这就是传统的session认...
cookie+session认证
07-27
Cookie 和 Session 是常用的认证机制,用于在 Web 应用中验证用户身份和保持用户会话状态。 Cookie 是一种存储在用户浏览器中的小型文本文件。当用户首次访问网站时,服务器可以在响应中设置一个或多个 Cookie,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值