前端登录状态验证Session和Token的区别

最新推荐文章于 2024-04-12 15:05:26 发布
最新推荐文章于 2024-04-12 15:05:26 发布
阅读量601 收藏
点赞数
分类专栏: JavaScript 文章标签: 前端 javascript Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37922443/article/details/128965732
版权
文章介绍了Session和Token两种认证方式。Session依赖服务器存储状态,易受负载均衡影响,可能遭遇XSS攻击,而Token则通过加密避免了这些风险,支持无状态验证。Token中的JWT结构包括头部、负载和签名,提供了额外的安全保障。
摘要由CSDN通过智能技术生成

(1)Session

客户端发送一个登录请求,服务器验证登录数据无误,会生成一个sessionID,此ID对应的值即登录状态为已登录。服务器有一个key-value映射表,会把这个ID和登录状态存到此表中。

服务器返回的响应头的set-Cookie,会使得客户端收到后自动把sessionID保存到cookie中,登录以后的每次请求的请求头都会自动带上这个cookie。

缺点

  • A 服务器存储了 Session,就是做了负载均衡后,假如一段时间内 A 的访问量激增,会转发到 B 进行访问,但是 B 服务器并没有存储 A 的 Session,会导致 Session 的失效。所以每个服务器的状态表必须同步,或者抽离出来统一管理,如使用Redis等服务。

  • 浏览器禁用cookie后只能采用其他方案发SessionID(如URL重写)。

  • XSS攻击:跨站脚本攻击。坏蛋在某网站的可编辑部分注入脚本,脚本发送信息到坏蛋的服务器后台,坏蛋收集到网站的用户信息/cookie。

  • CSRF攻击:跨域攻击。

(2)Token

客户端发送一个登录请求,服务器验证登录数据无误,会根据登录数据生成一个Token发送给客户端,服务器不再需要维护状态表。

登陆以后的每次请求都带上这个Token,服务器再解密验证是否合法即可。由于是加密的数据,即使用户可以修改,命中几率也很小。客户端不再使用cookie存储,也有效避免了CSRF攻击。

Token的结构:头部,负载和签名。

  1. 头部存储Token的类型和签名算法(如:类型是JWT,加密算法是HS256)

{
  "alg": "HS256",
  "typ": "JWT"
}

Json 块被 Base64Url 编码形成 JWT 的第一部分。

  1. 负载是Token要存储的信息(如:用户姓名和昵称信息)

{
  "name": "John Doe",
  "alias": "john"
}

Json 块被Base64Url 编码形成 JWT 的第二部分。

  1. 签名是由指定的算法,将转义后的头部和负载,加上密钥一同加密得到的。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

签名用于验证消息在此过程中没有更改,并且对于使用私钥进行签名的令牌,它还可以验证 JWT 的发送者的真实身份。

Seven_5477
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie、sessionToken区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 370
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
Web前端vue必做笔记之一:token验证登录状态
qq_42302014的博客
11-11 1071
Web前端vue必做笔记之一:token验证登录状态 当我们登录页不输入账号和密码时,直接访问内容页路径,会发现也可以进行访问,这就会产生一个bug,这是就需要进行token验证登录 <template> <div> <form @submit.prevent="login"> <div> <label for=""&gt
前端验证用户登陆状态(vue.js)
weixin_30548917的博客
11-23 372
首先用户需要进行登陆(请求登陆接口),接口请求成功之后后台会返回对应的用户信息(可以把用户信息存放在浏览器缓存中),并且后台会设置浏览器的cookie值(可以在network->header->Response Headers里的Set-Cookie看见),如下图:   2. 用户登陆之后的每个请求,浏览器都会自己带上cookie,用于用户验证   3.vue中每...
前端登录验证(Token)
Coder_FHH的博客
09-23 4747
1.登录验证(token) 请求需要登录态标识的接口时,会先判断本地是否存储的有token。 ①如果是客户端首次登陆, 会将用户密码发送给服务器端, 服务器判断用户密码是否正确, 如果验证正确的话返回一个token给客户端。客户端拿到返回的token在localstorage或者sessionstorage中存储,也可以顺便存储在vuex中。 ②之后如果客户端访问需要登陆态标识的接口时,会拿到客户端存储的token,放在请求头header中发送请求。服务器端拿到token值判断是否过期或者错误,返回对应的状
前端登录验证
weixin_45896131的博客
03-23 336
```java <!--<html xmlns:th="http://www.thymeleaf.org">--> <div th:fragment="html"> <script> Vue.config.productionTip = true; $(function () { var data4Vue = { uri: 'api/iam/user/v1.2/u.
前端登录表单验证
weixin_60786293的博客
03-26 1231
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>用户登录</title> <link href="images/login.css" rel="stylesheet" type="text/css" /> <script type="text/javascript"> var str = ...
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
05-26
前端知识】Cookie, Session, Token和JWT是Web开发中用于管理用户状态和身份验证的重要概念。本篇文章主要探讨了Cookie的定义、特点、重要属性、优缺点、使用场景及其面临的问题。 1. 背景 Cookie的诞生源于HTTP...
vue+koa2实现sessiontoken登陆状态验证的示例
10-16
Session登录方式更适合内部系统或者需要服务器端紧密控制会话状态的应用,而Token登录方式由于其无状态和易于扩展的特点,更适合现代Web应用和服务端API。开发者在进行技术选型时,应充分考虑应用的具体需求、服务器...
cookie、sessiontoken登陆状态保持
柳落青
10-29 800
传统的实现登录状态保存的两种方法时直接保存服务器端session 和客户端cookie, 现在介绍一种通过生成token的方式保存登录信息。 实现登录状态保持的两种方法: 第一种,cookie和session的配合使用 实现原理:当用户请求页面,一般需要先登录,用户第一次输入用户名和密码之后,前台发送post请求,后台获取用户信息,通过查询数据库来验证用户信息是否正确,如果验证通过,则会开辟一块session空间来储存用户数据,并且同时生成一个cookie字符串,由后台返回给前台,前台接收后,会把这个coo
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token状态登录授权 [TOC] 一、引言 ​ ...
前端HTMl用户注册及验证示例
04-13
前端HTMl用户注册及验证示,帮助html JavaScript新手学习者了解并学习用户注册及js验证
session实现记录用户登录状态
06-08
session记录用户的登录状态 1.登录 2.登录成功后将此“已登录状态保存。 3.实现“显示员工列表”功能。 4.当用户点击“显示员工列表”的时候,验证用户是否已登录,已登录继续显示员工列表,没有登录则跳转到登录页面。 5.退出系统功能。
前后端分离登录逻辑实现方案
qq_55272229的博客
12-12 3165
我之前做前后端分离的项目的时候在想,第一次登录一个网站过后后续登录就可以直接访问太神奇了,后来熟练了发现是后端的过滤器和拦截器实现的, 最近在跟着视频组做项目时候我发现自己有点忘记了前端是怎么配合后端完成的,本文带5分钟过一遍登录状态的校验。
前端应该学习的 Token 登录认证知识
最新发布
04-12 419
使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:1.前端使用用户名跟密码请求首次登录2.后服务端收到请求,去验证用户名与密码是否正确3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、过期时间生成一个Token,再把这个Token发送给前端4.前端收到 返回的Token,把它存储起来,比如放在Cookie里或者里resources?: string[];5.前端每次路由跳转,判断有无token,没有则跳转到登录页。有则请求获取用户信息,改变登录状态
会话管理 - 弄清楚前后端接口 Cookie、SessionToken区别
"代码"的日常搬运
10-31 434
主要用于弄清楚, 会话管理中的机制, 登录认证的实现原理, 以及各种技术的本质区别, 从而进行合适合理的高效编程实现.
前端登录,这一篇就够了(Cookie, Session, Token)
Kimser
07-09 4858
前端登录,这一篇就够了 登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?今天我们就来介绍几种常用的登录方式。 Cookie + Session 登录 Token 登录 SSO 单点登录 OAuth 第三方登录 Cookie + Session 登录 HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的.
前端-session、jwt
dengfengling999的博客
03-23 334
http请求时无状态的,需要发送多次请求,我们不希望每次请求都携带用户名和密码,我们只希望用户名和密码只验证一次,验证成功之后呢,我们把它登录成功的状态记录下来,在后续的请求里看看它有没有登录成功的标记,如果有我们就放行,让它让问受限的资源,没有的话再重新去验证用户名和密码。只是这个sun.mis c套件所提供的Base64功能,编码和解码的效率并不太好,而且在以后的Java版本可能就不被支援了,完全不建议使用。签名是根据前两部分和一个秘钥生成的签名,前面两部分是知道的但是秘钥我们是不知道的。
session登录机制
weixin_34396902的博客
05-13 1007
github 地址:戳这里 session 概念 指一类用来在客户端与服务器之间保持状态的解决方案 这种解决方案的存储结构 特点 由于 Session 是以文本文件形式存储在服务器端的,所以不怕客户端修改 Session 内容。(也可以用其他存储方式比如redis) Session对象是有生命周期的 Session实例是轻量级的,所谓轻量级:是指他的创建和删除不需要消耗太多资源 ...
session实现自动登录功能
weixin_59920350的博客
11-10 560
Session、cookie实现自动登录功能。
前端知识:Cookie, Session, Token与JWT的概览及差异
"前端知识Cookie, Session, Token和JWT的发展及区别" 在互联网应用中,身份验证和会话管理是核心部分,而Cookie、SessionToken和JWT(JSON Web Token)是实现这些功能的关键技术。本文将从背景、定义、特点、优...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值