简聊 Session 与 Token 身份验证

最新推荐文章于 2023-04-04 10:11:02 发布
最新推荐文章于 2023-04-04 10:11:02 发布
阅读量883 收藏 1
点赞数
分类专栏: laravel PHP高级进阶
原文链接:https://learnku.com/articles/17867
版权

前言
当我们账号密码登陆以后,如何确保用户认证是我们每一个 phper 都会遇到的问题,从最开始的 Session 到 Token ,让我们带着求知欲了解一下它。

Session 时代
Web 开发使用 Http 协议,HTTP 协议最初是匿名的,无状态的请求 / 响应协议。这样简单的设计可以使 HTTP 协议专注于资源的传输(HTTP 是超文本传输协议); 随着 WEB 的发展,业务需要确定客户端的唯一性,引入 session 会话这个概念 。PHP 设置 session 整个过程如下,我们一步一步探究其中,服务器采用的 LNMP:


1. 发送请求。
请求 http://test.com:8080/index.php。

2. 开启 session,并根据 php.ini 配置保存 session。

首先我们在服务端代码开启 Session (因 php.ini 并没有默认开启,需程序开启)

// 开启session
session_start();
// 设置session的值,稍后测试给该是否能取出
$_SESSION['name'] = 'phper';
echo 'weclome to session start!';

然后查看 php.ini 中 session 保存的路径,默认文件保存的话,保存路径为 /tmp,文件名为默认为 sess_{session_id}。主要查看以下参数参数:
session.save_handler = files
下来我们登陆服务器查看 /tmp 目录下的查看该 Session 文件。即 sess_689u7fiqejt70dujb9uk44eq79 文件。(此处可能会有疑问,我们是怎么知道 session_id = 689u7fiqejt70dujb9uk44eq79? 再次先埋一处伏笔。)

3. 查看本次请求,服务器响应头携带 session_id 信息。


查看响应头信息,就是在此处知道了 session_id = 689u7fiqejt70dujb9uk44eq79。因此才会有在步骤 2 中查看文件。其中 path=/ 指的是 cookie 储存浏览器的位置。浏览器将 session_id 保存在客户端本地,存在 cookie。如下图所示:


4. 再次发送请求,请求头携带 session_id 请求服务端
我们只需再次请求 http://test.com:8080/index.php,浏览器会在请求头中携带着这个保存 session_id 的 cookie 去请求服务端。我们查看请求头中即可看到:


5. 校验 session_id 来确认客户端身份
该操作是 php 的 session 机制来完成的。我们可以检测以下看是否能取出刚才设置的 $_SESSION['name'] 就可验证。

我们修改 index.php 代码如下:

// 开启session
session_start();
// 设置session的值,稍后测试给该是否能取出
echo $_SESSION['name'];


我们再次请求 http://test.com:8080/index.php,请求头中以及携带着 session_id 信息:


我们换一个 PostMan 模拟非法请求看是否能获取到 $_SESSION['name'] 内容?是无法获取到信息。


尝试,我们在 PostMan 中把前面的 cookie=689u7fiqejt70dujb9uk44eq79 携带到请求头看是否能获取到信息?是可以获取到信息。


以上就是整个请求流程的介绍,我们可以看出来 session_id 信息是非常重要的。有关 PHP 关于 Session 的配置项和使用说明

Token 时代
web2.0 时代的项目都采用 前后端分离。以 Token 这种方式的用户认证更受大家欢迎。Token 可以解决哪些问题呢?
1.Token 完全由应用管理,所以它可以避开同源策略
2.Token 可以避免 CSRF 攻击
3.Token 可以是无状态的,可以在多个服务间共享

有状态 Token
有状态 Token 就是将 Token 的相关属性 (eg:Token 过期时间等) 记录在服务端。我们用图表述颁发 token,校验 token,token 过期这三个场景。

颁发 token

服务端校验 token

token 过期

无状态 Token
无状态 Token 就是将 Toekn 的相关属性(eg:Token 过期时间等)保存在 Token 中,JWT 就是一种无状态的 Token。JWT 这里不详细说明,我们主要看下几个流程:

颁发 token


服务端校验 token


所以,有状态的 Token 与 无状态的 Token 面临的问题就是 有状态要占用服务器资源并且不利于分布式,微服务等架构。有状态刚好能解决这个问题,但是无状态的 Token ,不存在 Token 黑白单这种需求

参考文章:
JWT 超详细分析
PHP.ini 中的 session 主要配置详解

 

lxw1844912514
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node实现基于token身份验证
01-02
最近研究了下基于token身份验证,并将这种机制整合在个人项目。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。 传统的session+cookie身份验证 由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一次用户的请求仍然需要校验身份。为了解决这一问题,需要在服务端生成一条包含用户身份的记录,也就是session,再将这条记录发送给用户并存储在用户本地,即cookie。接下来用户的请求都会带上这条cookie,若客户端的cooki
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
关于session、cookie、token登录状态判断
tyasd
05-06 1413
session 是后端的概念,session 本质目的就是后端需要区分出每次请求是哪个用户产生的。用 token 的情况下,就是找到这个 token 对应的用户,用 cookie 就是找到这个 cookie 对应的用户,token 、cookie 本质都是一串字符串,一般做法是后端在 redis 里存每个 token\session 对应的 user_id 前后端分离的情况下,token 一般是前...
OPENAM使用小结2
qq_36243824的博客
06-19 2760
部署好OPENAM之后,它默认会有一个密钥库,这时你要创建自己的密钥库:
session、cookie、token的区别?
W-Mo-Mo的博客
07-08 1万+
今天就来理一理session、cookie、token这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头。字符编码为 Unicode,不支持直接存储文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
常用的认证机制之session认证和token认证
python全栈
08-13 4128
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当的一个键,表的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段; 浏览器接下来的操作为:将响应头
使用session以及在session加入token
热门推荐
京北游戏官方
06-10 3万+
通过使用session以及在session加入token,来验证同一个操作人员是否进行了并发重复的请求,在后一个请求到来时,使用sessiontoken验证请求token是否一致,当不一致时,被认为是重复提交,将不准许通过。 整个流程可以由如下流程来表述: 客户端申请token 服务器端生成token,并存放在session,同时将token发送到客户端 客户端存储token,在请求提交时,同时发送token信息 服务器端统一拦截用户的所有请求,验证当前请求是否需要被验证(不是所有请求都验证重复
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录)
jiaoqi6132的博客
04-04 2260
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
session实现用户验证码登录
lyu2019的博客
05-18 4477
session实现用户验证码登录
基于Session进行登录校验
abc123mma的博客
10-23 2032
黑马点评项目,基于Session进行登录校验
Cookie、SessionToken、JWT
07-21
Cookie、SessionToken、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序起到关键的作用。 Cookie:Cookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
tungsten:JSON Web Token 身份验证 - 使用 expressjs 间件
06-03
钨JSON Web Token 身份验证 - 使用 expressjs 间件信息包裹钨描述JSON 网络令牌认证节点版本>= 0.10用法安装 npm install tungsten --save例子钨#session 连接/expressjs 风格的间件app.use(tungsten.session())...
Angular之jwt令牌身份验证的实现
11-21
Angular之jwt令牌身份验证 demo https://gitee.com/powersky/jwt 介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于...
Go-HiMagpie管家维护并验证TokenSession和接受推送消息和分发
08-14
HiMagpie 管家,维护并验证 TokenSession和接受推送消息和分发
2014年311教育学专业基础综合答案解析.pdf
04-24
教育学考研,考研真题,全国硕士研究生统一考试教育学专业基础综合真题及解析,311历年真题,参考答案,答案解析。教育学统考。
大语言模型安全测试方法
04-24
4月16日联合国日内瓦总部万国宫,由世界数字技术院(WDTA)与云安全联盟大华区(CSA GCR)联合主办第27届联合国科技大会AI边会上,世界数字技术院(WDTA)发布了两项具有重要意义的国际标准:“生成式人工智能应用安全测试标准”和“大语言模型安全测试方法”。这是国际组织首次在生成式AI应用安全、大模型安全领域发布国际标准,为业界提供了统一的测试框架,标准的发布将对人工智能领域产生深远影响,推动人工智能技术的安全、可靠发展。 这两大标准由云安全联盟大华区研究院副院长黄连金带领的专家团队编制而成,他们来自CSA大华区、OpenAI、蚂蚁集团、谷歌、微软、亚马逊、英伟达、OPPO、科大讯飞、百度、腾讯、加州大学伯克利分校、芝加哥大学、香港科技大学等数十家单位,体现了业界的广泛协作与集体智慧。 云安全联盟大华区主席、世界数字技术院执行理事长李雨航院士发布时介绍,“生成式人工智能应用安全测试标准”为测试和验证生成式AI应用的安全性提供了一个框架,特别是那些使用大语言模型构建的应用程序。它定义了人工智能应用程序架构每一层的测试和验证范围,确保AI应用各个方面都经过严格的安全性和合规性
基于ssm电商网站的设计与实现(部署视频)_kaic.zip
04-24
目 录 目 录 1 绪论 1.1 研究背景 1.2 目的和意义 1.3 论文结构安排 2 相关技术 2.1 SSM框架介绍 2.2 B/S结构介绍 2.3 MYSQL数据库介绍 3 系统分析 3.1 系统可行性分析 3.1.1 技术可行性分析 3.1.2 经济可行性分析 3.1.3 运行可行性分析 3.2 系统性能分析 3.2.1 易用性指标 3.2.2 可扩展性指标 3.2.3 健壮性指标 3.2.4 安全性指标 3.3 系统流程分析 3.3.1 操作流程分析 3.3.2 登录流程分析 3.3.3 信息添加流程分析 3.3.4 信息删除流程分析 4 系统设计 4.1 系统概要设计 4.2 系统功能结构设计 4.3 数据库设计 4.3.1 数据库E-R图设计 4.3.2 数据库表结构设计 5 系统实现 5.1用户信息管理 5.2 商品信息管理 5.3商品分类管理 5.1商品资讯管理 6 系统测试 6.1 系统测试的特点  6.2 系统功能测试 6.2.1 登录功能测试 6.2.2 添加类别功能测试 6.3 测试结果分析 结 论 致 谢 参考文献
Comfast CF-924AC V3无线网卡驱动
最新发布
04-24
https://editor.csdn.net/md/?articleId=137978326文章对应USB 1300M无线网卡驱动,使用方式请参考博文。本驱动为博文对应的RDK X3平台所用,其它平台根据博文链接下载源码编译。
2024-2030全球与国实时老化测试市场现状及未来发展趋势.docx
04-24
2024-2030全球与国实时老化测试市场现状及未来发展趋势
cookies、sessiontoken
02-26
Cookies、SessionToken都是网络应用程序常用的身份验证和状态管理机制。 Cookies是由Web服务器发送到Web浏览器的小文本文件。这些文件被存储在Web浏览器的计算机上,并且被用于在客户端和服务器之间传递状态...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值