认证和授权-核心要点解析

最新推荐文章于 2022-08-27 01:49:17 发布
最新推荐文章于 2022-08-27 01:49:17 发布
阅读量407 收藏 1
点赞数 1
分类专栏: 学习历程
版权所有@秋实先生----ContactMeWeChat:tomasonl
本文链接:https://blog.csdn.net/m0_37676429/article/details/105338666
版权
本文详细介绍了认证和授权的区别,探讨了Cookie和Session在跟踪用户身份中的作用,解释了Token如何解决安全性问题,分析了SSO与OAuth2.0的不同,并对SpringSecurity和ApacheShiro两大安全框架进行了对比总结。
摘要由CSDN通过智能技术生成

目录

1.认证和授权?

2.Cookie和Session?

3.Token?

4.SSO与OAuth2.0的区别

5.SpringSecurity

6.ApacheShiro

1.认证和授权?

          用户身份(Authentication)和用户权限 (Authorization)的区别。

2.Cookie和Session?

          都是用来跟踪浏览器用户身份的会话方式。Cookie在客户端保存用户信息,会话cookie自动过期setMaxAge设置会话数据存在时间,大小数量和安全问题20个4k以内。Session默认30分钟有效,setMaxInactiveInterval设置或者部署描述符配置有效期。

  • Cookie保存已经登录用户信息,下次访问可自动登录基本信息。(用户个性化设置,主题)......
  • Cookie保存 session或者 token,后端取到就能记录用户当前的状态,因为HTTP协议是无状态的。
  • Cookie记录和分析用户浏览过程。因为HTTP无状态协议,所以将这些信息存放在 Cookie,看你浏览了啥(商品推荐)。

通过SessionId实现特定用户登录,一般存放在Redis中。用户登录系统后服务器生产并返回给客户端带有sessionid的cookies,然后用户在此向服务器发起请求的时候就会带着这个Cookies(sessionId),这样后端就知道身份了。

最低0.47元/天 解锁文章
Mr.Thompson
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全-认证授权和安全漏洞
口木西成
02-16 1364
1. XSS跨站脚本攻击 答:XSS(Cross-Site Scripting)跨站脚本攻击,通过在用户提交数据中加入恶意代码,从而破坏页面结构,盗取用户资料等。XSS利用用户对网站的信任。 1.1 产生原因 答:过分信任客户端数据,没有对数据进行过滤和转移。 1.2 分类 答:分为: 存储型:恶意代码放在数据库中,每次Server响应Client请求时返回并执行; 反射型:恶意代码加在URL中...
xadmin权限分类里面添加自定义权限:
Yambo1992的博客
07-04 4888
添加自定义权限:使用超级管理员登录xadmin, 在权限里点击添加权限,对应的权限代码名可在D:\extra_app\xadmin\views\base.py里面自己定义的权限的地方设置print(codename),在终端打印出权限代码名,输入到添加权限的编辑页面即可:def has_saler_permission(self, obj=None):codename = get_permissi...
认证授权
weixin_40618306的博客
12-01 332
认证授权 1.认证(Authentication)和授权(Authorization)的区别是什么? 说简单点就是: 认证(Authentiation):你是谁? 是验证你身份的凭据(例如用户名/用户ID和密码),通过这个凭据,系统得以知道是你,也就是说系统存在你这个用户。所以,Authentication被称为身份/用户验证。 授权(Authorization):你在干什么? 发生在Authentication之后,它主要掌管我们访问系统的权限,比如有些特定资源只能具有特定权限的人才能访问admin,有
授权的六大关键
心系旭阳
08-31 1029
授权的六大关键】 ①授权≠可以不汇报(责任仍在领 导)。 ②汇报≠请示(小事、常规事事后汇报;大事、突发事事前请示)。 ③授权≠可以越权(职场大忌) 。 ④授权后,领 导少过问,但下属要多主动汇报。 ⑤汇报时,小事不能多讲,大事不能少讲。 ⑥回报:讲结果不讲理由,切忌报喜不报忧。 【授权后才是关键】 授权后要懂得汇报工作,让领导安心,汇报原则: 1、讲结果,不讲理由;
admin-upms:用户认证中心与权限中心
05-28
admin-upms 用户认证中心与权限中心 预览 前端地址
IT认证 IBM 000-104认证 题库
07-01
综上所述,IBM 000-104 认证涵盖了AIX 6.1系统管理员所需掌握的核心技能和技术要点,包括但不限于文件恢复、系统模式切换、远程访问配置、软件包管理以及资源管理和优化等。通过深入理解这些知识点,考生将能够更好...
SASE认证考试第二版
04-13
### SASE认证考试第二版知识点解析 #### 一、SASE-AC项目交付流程 - **理解客户需求**:这是项目的起点,需要...以上知识点覆盖了SASE认证考试第二版中的关键内容,旨在帮助考生全面理解和掌握SASE技术的核心要点
2016年度AD初级认证培训PPT培训要点.doc
05-07
在2016年度的AD初级认证培训中,主要涵盖了多个关键知识点,旨在帮助学员快速理解和掌握AD设备的基础操作及核心功能。以下是根据PPT培训要点整理的具体内容: 1. **基础知识培训**(重要程度:2星) - **AD的使用...
ICONTEC质量管理体系认证手册
最新发布
04-27
#### 二、认证手册核心内容解析 ##### 1. 基本构建框架(Esquema básico de construcción) - **定义与目的**:这一部分旨在为认证过程提供一个清晰的结构框架,确保所有参与方对认证流程有统一的理解。 - **...
软考中级2020下半年上午软件设计师真题含软件设计师真题答案及解析.docx
09-15
综上所述,通过对2020年软件设计师考试的部分试题及其答案的解析,我们可以深入理解软件开发、网络安全、法律法规等多个领域的核心概念和技术要点。这对于准备参加此类考试的人来说是非常有价值的复习资料。
django xadmin修改“管理”“认证授权”的菜单名
热门推荐
ch_improve的博客
11-12 1万+
本文目的 把xadmin自带的菜单“管理”“认证授权”的菜单名改成自己想要的。 方法 先找到电脑里python的xadmin库的目录位置,然后依次找到 templates / xadmin / includes / sitemenu_accordion.html文件,打开 找到这一行,大概在17行左右 {% trans item.title %} 修改成如下(==号两边要有空格) {% if...
Dajngo 通过代码添加xadmin用户和权限(组)
QQ1752506968的博客
07-23 3454
在开发的时候,用户要求在认证的时候自动添加xadmin登录账户和分配组权限 from django.contrib.auth.models import Group,User from django.http import JsonResponse def test(req): name=req.POST['name'] account=req.POST['account'] ...
Apache Shiro 核心概念
王浩的技术博客
09-25 380
Shiro框架中有三个核心概念:Subject ,SecurityManager和Realms。 2.1.1 Subject Subject一词是一个安全术语,其基本意思是“当前的操作用户”。称之为“用户”并不准确,因为“用户”一词通常跟人相关。在安全领域,术语“Subject”可以是人,也可以是第三方进程、后台帐户(Daemon Account)、定时作业(Corn Job)或其他类似事...
硬核总结 9 个关于认证授权常见的面试题!看看自己能回答几个!
JavaGuide
03-09 4643
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication): 你是谁。 授权 (Authorization): 你有权限干什么。 稍...
猿创征文|Java中的权限认证如何理解
浅羽技术
08-27 717
认证: 就是对系统访问者的身份进行确认。用户名密码登录、 二维码登录、手机短信登录、指纹、刷脸。。。授权:就是对系统访问者的行为进行控制。授权通常是在认证之后,对系统内的用户隐私数据进行保护。后台接口访问权限、前台控件的访问权限。RBAC模型: 主体 -》 角色 -》 资源 -》访问系统的行为。认证授权也是对一个权限认证框架进行扩展的两个主要的方面。CSRF: Cross Site Requst Forgery 跨站请求伪造。...
Shiro第六章-各种对象详解-完整用户登录认证授权示例
测试
04-30 249
Realm doGetAuthenticationInfo()和getAuthenticationInfo()一样,都是做用户验证和返回身份凭证的。 从调用链上,getAuthorizationInfo()会调用doGetAuthorizationInfo(),所以大部分时候是重写后者。 AuthenticationToken 收集用户提交的身份信息(如用户名和凭据(如...
用户唯一性的校验
lm709409753的专栏
03-31 8730
用户唯一性的校验,要确定用户校验的时机。要在用户添加或者修改完之后,立刻发送ajax请求,校验。 用户校验分两种情况,一种是新添加用户,直接判断是否存在该用户名即可。                 二种是编辑用户,首先用户是存在的,在校验的时候,要排除自己然后校验。 用到的hql语句: public List verify(String account, String id) {
【django+xadmin实战】0201笔记——用户模块(2)
lucahan的博客
02-01 790
1.(验证码配置)安装Django Simple Captcha,加入'captcha',添加url路径(url(r'^captcha/', include('captcha.urls'))),mm迁移操作; 配置文档:http://django-simple-captcha.readthedocs.io/en/latest/usage.html#installation 2.(验证码实
ZigBee-2007安全核心解析
"本文主要探讨了ZigBee-2007标准的安全核心要素,由Ender Yüksel、Hanne Riis Nielson和Flemming Nielson等专家撰写,来自丹麦技术大学的信息学与数学建模部门。ZigBee是一种资源需求较低但具有广泛应用前景的无线...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mr.Thompson

相互学习,欢迎指正。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值