身份认证 Session认证机制 Cookie原理

最新推荐文章于 2022-10-12 21:09:21 发布
最新推荐文章于 2022-10-12 21:09:21 发布
阅读量385 收藏
点赞数
分类专栏: 大厂面试题前端 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51534164/article/details/127027592
版权

身份认证

什么是身份认证

身份认证又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。

日常生活中的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。 在 Web 开发中,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。

为什么需要身份认证

身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户。

例如,你去找快递员取快递,你要怎么证明这份快递是你的。

在互联网项目开发中,如何对用户的身份进行认证,是一个值得深入探讨的问题。

例如,如何才能保证网站不会错误的将“马云的存款数额”显示到“马化腾的账户”上。

不同开发模式下的身份认证

对于服务端渲染和前后端分离这两种开发模式来说,分别有着不同的身份认证方案:  

服务端渲染推荐使用 Session 认证机制  

前后端分离推荐使用 JWT 认证机制

Session认证机制

HTTP 协议的无状态性

了解 HTTP 协议的无状态性是进一步学习 Session 认证机制的必要前提。

HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。

如何突破 HTTP 无状态的限制

 

什么是 Cookie

Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一个值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成。

不同域名下的 Cookie 各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。

Cookie的几大特性: 自动发送 域名独立 过期时限 4KB 限制

Cookie 在身份认证中的作用

客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的 Cookie,客户端会自动将 Cookie 保存在浏览器中。

随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的 Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。

 

Cookie 不具有安全性

由于 Cookie 是存储在浏览器中的,而且浏览器也提供了读写 Cookie 的 API,因此 Cookie 很容易被伪造,不具有安全性。因此不建议服务器将重要的隐私数据,通过 Cookie 的形式发送给浏览器。

提高身份认证的安全性

 

Session 的工作原理

 

 在 Express 中使用 Session 认证

安装 express-session 中间件

在 Express 项目中,只需要安装 express-session 中间件,即可在项目中使用 Session 认证:

 

配置 express-session 中间件

express-session 中间件安装成功后,需要通过 app.use() 来注册 session 中间件,示例代码如下

 

向 session 中存数据

当 express-session 中间件配置成功后,即可通过 req.session 来访问和使用 session 对象,从而存储用户的关键信息

 

从 session 中取数据

可以直接从 req.session 对象上获取之前存储的数据,示例代码如下:

 

清空 session

调用 req.session.destroy() 函数,即可清空服务器保存的 session 信息。

 

了解 Session 认证的局限性

Session 认证机制需要配合 Cookie 才能实现。由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域 Session 认证。

注意:

当前端请求后端接口不存在跨域问题的时候,推荐使用 Session 身份认证机制。

当前端需要跨域请求后端接口的时候,推荐使用 JWT 认证机制。

cookiesession 的区别

1 cookie 数据存放在客户的浏览器上, session 数据放在服务器上。
2 cookie 不是很安全,别人可以分析存放在本地的 COOKIE 并进行 COOKIE 欺骗
考虑到安全应当使用 session
3 session 会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能
考虑到减轻服务器性能方面,应当使用 COOKIE
4 、单个 cookie 保存的数据不能超过 4K ,很多浏览器都限制一个站点最多保存 20 cookie
5 、所以个人建议:
将登陆信息等重要信息存放为SESSION
其他信息如果需要保留,可以放在COOKIE

JWT 认证机制

JWT(英文全称:JSON Web Token)是目前最流行的跨域认证解决方案。

 JWT 的工作原理

总结:用户的信息通过 Token 字符串的形式,保存在客户端浏览器中。服务器通过还原 Token 字符串的形式来认证用户的身份。

 

吞掉星星的鲸鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实现session身份认证机制
03-14
实现session身份认证机制
Session认证机制与JWT认证机制
qq_59181609的博客
07-11 303
身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份认证的目的,是为了确认当前所声称为某种身份的用户,确实是所声称的用户。例如,你去找快递员取快递,你要怎么证明这份快递是你的。HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态。2.1 什么是 CookieCookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称(Name)、一
session身份认证机制
qq_43781887的博客
10-12 845
本博客讲述session身份认证机制,在了解session身份认证机制之前,需要先了解以下内容。前端身份认证主要分为两种,一种是Session身份认证,一种是JWT身份认证。(3)Session身份认证的工作原理(重要!(4)在Express中使用session认证。服务端渲染推荐使用session认证机制。前后端分离推荐使用JWT认证机制Cookie身份认证中的作用。Cookie不具有安全性。(1)HTTP无状态性。提高身份认证的安全性。
身份认证机制Session、JWT)
Spongebobna的博客
06-01 2372
身份认证机制在我们了解两种主流的认证机制之前,我们先来了解一下目前主流的两种Web开发模式。:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。客户端只负责解析 HTML 。:后端只负责提供 API 接口(处理、存储数据),前端使用 Ajax 调用接口(显示数据)。前端和后端开发人员通过 进行数据的交换。比如企业级网站,主要功能是展示而没有复杂的交互,并且需要良好的 SEO,则这时我们就需要使用;而类似后台管理项目,交互性比较强,不需要考虑 SEO,那么就可以使用的开发模式。:
前后端的身份认证
weixin_43563864的博客
11-01 1954
一. 前后端的身份认证 1.1 Web 开发模式 目前主流的 Web 开发模式有两种,分别是: ①基于服务端渲染的传统 Web 开发模式 ②基于前后端分离的新型 Web 开发模式 1. 服务端渲染的 Web 开发模式 服务端渲染的概念:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用 Ajax 这样的技术额外请求页面的数据。代码示例如下: app.get('/index.html',(req,res)=>{ // 1. 要渲染的数据 const
基于session和token的身份认证方案
weixin_30564901的博客
05-08 214
一、基于session身份认证方案 1.方案图示 2.比较通用的鉴权流程实现如下: 在整个流程中有两个拦截器。 第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中取user对象,如果session中有,就放user对象到threadlocal中。这是为了业务处理的时候能直接获取用户对象。 第二个拦截器AuthActionInteceptor是...
分布式认证方案
一个人的江湖
08-24 788
1 选型分析 1.1 基于session认证方式 在分布式的环境下,基于session认证会出现一个问题,每个应用服务都需要在session中存储用户身份信息,通过负载均衡将本地的请求分配到另一个应用服务需要将session信息带过去,否则会重新认证。 这个时候,通常的做法有下面几种: Session复制:多台应用服务器之间同步session,使session保持一致,对外透明。 Session黏贴:当用户访问集群中某台服务器后,强制指定后续所有请求均落到此机器上。 Session集中存储:将Sessi
带你了解sessioncookie作用原理区别和用法
08-29
主要介绍了sessioncookie作用原理,区别和用法,以及使用过程中的优缺点,通过列举区别和原理,使读者更能理解两者之间的关系,需要的朋友可以参考下
CookieSession机制.doc
08-26
CookieSession机制.docCookieSession机制.docCookieSession机制.docCookieSession机制.docCookieSession机制.doc
网站用户身份认证Authorazition系统原理
12-24
网站用户身份认证Authorazition系统原理 长话短说,判断用户身份其实就是cookie,session,token,后端判断这四部分 想细看,就下载看1,2,3,4,5步骤吧
Asp.Net Core中基于Session的身份验证的实现
10-18
主要介绍了Asp.Net Core中基于Session的身份验证的实现
身份认证机制的基础
qq_59572795的博客
10-02 1404
前后端的身份认证 Web开发模式 目前主流的Web开发模式有两种,分别是: 基于服务端渲染的传统Web开发模式 基于前后端分离的新型Web开发模式 服务器渲染的Web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。 服务器渲染的优缺点 优点: 前端耗时少。因为服务器负责动态生成HTML内容,浏览器还需要直接渲染页面即可。尤其是移动端,更省电。 有利于SEO。因为服务器端响应的是完整的HTM
session 设置登陆身份验证
|码农传奇|的专栏
04-20 1396
前言:设置登录身份验证,并不是严格的权限限制,如果是权限限制就要牵扯到具体的业务逻辑了。而登录身份验证是确定用户是否已经登录,或者在seesion的生命周期内有效!!   无论在做大项目或者小项目时,难免要用到登陆的身份验证。如果是小项目,页面不是很多我们可以在每个页面上做一个省份验证。但是有没有想过,如果页面有上百个或者上千个难道每次都要做身份验证吗?!我想这一定是一件十分痛苦的事情。下面介
前后端session同步
weixin_34384915的博客
12-30 1775
会话 传统的web开发采用的一般是会话技术,因为http是一种无状态协议,服务器端要想确定不同的请求是否是由同一个用户发出,采用了会话技术,传统的web开发当中,同一个会话内的所有请求对应着同一个session(session服务器端为用户储存的文件),每个session对应一个id,当用户第一次访问时,服务器将这个session_id写入浏览器的cookie中(注意这个cookie比较特殊,一...
Web应用中基于密码的身份认证机制(表单认证、HTTP认证: Basic、Digest、Mutual)
u012324798的博客
04-20 3397
表单认证(Form-Based Authentication) 优点:允许开发人员定制登录页面和错误页面。 缺点:不够安全。用户、密码以纯文本形式发送,并且目标服务器未经过身份验证。如果有人拦截传输,则用户名和密码信息可以轻松解码。因此,需结合HTTPS使用。 流程: 1、客户端请求访问受保护的资源(目标URL:http://localhost:8000/resource) 2、如果客户端未经身份...
WEB安全(七)Session-Cookie 方案进行身份验证的具体过程
jinyangjie的博客
02-14 1162
概述 每一次web请求,其实是通过sessionId来标识请求会话的。 1、用户端成功请求登录接口并且验证身份通过时,服务端记录该次session信息,并把seesionId返回给用户端,用户端将该信息存入cookie。 2、当同个用户再发起新的请求时,会把sessionId带上,服务端通过对比已有session信息,可识别用户身份。 更详细的描述过程 1、用户向服务器发送用户名、密码、验证码用于登陆系统。 2、服务器验证通过后,服务器为用户创建一个 Session,并将 Session 信息存储起来。 3
基于Session、Token的身份验证小结
NewWent的博客
11-02 671
名词: Cookie 存储在client Session 会话,存储在server,server需要对session进行定期清理 Token 服务端验证成功后根据一定规则签发的一个‘令牌’,server端每次收到请求都用相同的规则再次生成'令牌'与其对比,而无需存储 验证流程: login =>发送http请求,账号密码验证成功 => server端通过r...
sessioncookie身份认证那些事儿
A WAY
11-28 588
cookiesession和token,其实都离不开同一个概念–会话跟踪我们知道,HTTP协议是一种无状态协议。也就是说,客户端和服务器端在一次请求结束后,两者的连接就会被关闭,当客户端再次请求服务器的时候,需要建立新的连接。举个例子来说,客户端就是顾客,服务器端就是商人,请求就是顾客去找商人买东西。这个商人有个特点,只认东西不认人。所以对这个商人来说,没有所谓的“老主顾”,每次来买东西的人对他来
常见的认证机制
weixin_43114485的博客
07-18 506
常见的认证机制 HTTP Basic Auth:每次请求API时都提供用户的username和password,是配合RESTful API 使用的最简单的认证方式但由于有把用户名密码暴露给第三方客户端的风险 Cookie认证机制通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的默认的,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的...
cookie+session认证
最新发布
07-27
CookieSession 是常用的认证机制,用于在 Web 应用中验证用户身份和保持用户会话状态。 Cookie 是一种存储在用户浏览器中的小型文本文件。当用户首次访问网站时,服务器可以在响应中设置一个或多个 Cookie,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值