cookie,session和token三种验证机制

最新推荐文章于 2024-03-21 23:56:30 发布
最新推荐文章于 2024-03-21 23:56:30 发布
阅读量1.3k 收藏 3
点赞数
文章标签: node.js javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54089303/article/details/121523097
版权

1.cookie

cookie的特点

1 :服务器生成cookie可以设置cookie有效期等配置,把cookie返回给客户端,每次请求都会把cookie追加请求头里面返回给服务器

2:cookie存储在浏览器端,不安全,

3:浏览器关闭之后,再次打开会记录之前的状态

Cookie的使用

//先随机定义一个字符串作为cookie的值
var userInfo = {} 
// 作为cookie的值
function getRandom(){
  var str = "0123456789qwertyuioplkjhgfdsazxcvbnm"
  var s = ""
  for(var i = 0;i<20;i++){
      s+= str[Math.floor(Math.random()*str.length)]
  }
  return s
}
//在需要的的位置进行在后台设置生成cookie
       //登录成功
       var cookValue = getRandom()  //cookie值
      // 服务器设置cookie maxAge指定cookie的有效时间
       res.cookie("cookid",cookValue,{
        maxAge:10000
       })
      // 先取cookie值,通过cookid来取
      // 再可以userInfo取出req.body.user
       userInfo[cookValue] = req.body.user
//在后端使用cookie进行对比验证
    // 通过req.headers.cookie获取 字符串
    // cookid=8on7w3wnohypjkctn6wi
    if(req.headers.cookie){
      var obj = cookie.parse(req.headers.cookie)
      var cookieValue = obj.cookid
      var user = userInfo[cookieValue]
//利用cookie找到之前登陆的用户
      if(user){
        res.send("欢迎来到"+user+"主页")
      }else{
        res.send("请先登录,亲")
      }
    }else{
      // 不存在cookie
      res.send("请先登录,亲")
    }

2.session

session:存储服务端的缓存技术,基于cookie的,通过express-session模块进行配置session,会话存储,在浏览器关闭之后不会记录浏览器的状态。express-session不是内置模块需要先下载。

//首先要引入模块
var session = require("express-session")


//然后在app.js里使用
app.use(session({
   //秘钥字符串
    secret:"hello kitty",
// 是否重新保存session,如果为true,session的有效期的时间也会重置
    // 如果为false,session有效期就是设置的时间,
    resave:false, 
    // session的有效期
    cookie:{
      maxAge:10000
    },
    // 是否保存一些为初始化的session
    saveUninitialized:false
}))


//在响应请求的时候获取数据名存入session
        // 在请求数据获取session对象  user1是随便创建的属性
        req.session.user1 = req.body.user


//在第二次请求时使用判断session的user1属性是否存在
router.get("/index",function(req,res,next){
   if(req.session.user1){
     res.send("欢迎来到"+req.session.user1+"主页")
   }else{
    res.send("请先登录")
   }
})


//在退出时删除session的user1属性
//退出登录
router.get("/loginout",function(req,res,next){
  if(req.session.user1){
    delete req.session.user1
    res.send("退出登录")
  }else{
    res.send("请先登录")
  }
})

3.token

token 验证机制
var userInfo = {}
// 作为token的值
function getRandom() {
  let str = 'asfykqwesadgdsffsdfsJFGHDSDFGGHFD'
  let s = ''
  for (let i = 0; i < 20; i++) {
    s += Math.floor(Math.random() * str.length) 
  }
  return s 
}



1.服务端在登陆成功之后,生成token,并且以响应头/json数据返回给客户端
 // 获得一个随机的token值
      var token = getRandom() 
      // 在服务器做备份
      userInfo[token] = req.body.user
      // 把token放入响应头中,返回给客户端
      res.setHeader("token",token)
      res.json({code:1,data:"登陆成功"})



2.在客户端登录成功的回调里面拿到token,并且在客户端保存一份
 $.ajax({
   url:"/login",
   data:{
      user:i1.value,
      psw:i2.value
 },
   method:"POST",
success:(res,state,xhr)=>{
//获取服务端响应头的数据
localStorage.setItem("token",xhr.getResponseHeader("token"))
location.href="/index.html"
                }
            })



3.在需要验证的的接口,把token发给服务器,在请求头或请求体发都可以
            $.ajax({
                url:"/index",
                type:"get",
                // 把token放在请求头里发给服务器
                headers:{
                    "token":localStorage.getItem("token")
                },
                success:function(res){
                    console.log(res);
                }
            })



4.服务端在对应接口中得到token返回不同的数据
// 需要验证token
router.get("/index",function(req,res,next){
  // req.headers.token  获取请求头里发来的token
  // console.log(req.headers.token);
  if (userInfo[req.headers.token]) {
    // 成立证明登陆过了
    res.json({
      code:200,
      data:req.headers.token
    })
  }else{
    // 不存在
    res.json({
      code:201
    })
  }
})




5.最后在需要删除的接口中对token删除
// 退出登录
router.get("/loginout",function(req,res,next){
  if (userInfo[req.headers.token]) {
    delete req.headers.token
    res.send("退出成功")
  }else{
    res.send("还没登录,请先登录")
  }
})

哒哒哒Q
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用户登陆验证流程讲解,涉及session,cookie,token,action等概念
12-12
前端登陆验证的流程大致如下: 1前端输入用户名密码给后端 2后端根据userid,密钥,过期时间,HS256算法生成token返给前端 3前端token存入cookiesessionstorage,localstorage 4....
vue+koa2实现sessiontoken登陆状态验证的示例
12-08
Session 登陆与 Token 登陆的区别 1、Session 登陆是在服务器端生成用户相关 session 数据,发给客户端 session_id 存放到 cookie 中,这样在客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户认证。这种认证方式,可以更好的在服务端对会话进行控制,安全性比较高(session_id 随机),但是服务端需要存储 session 数据(如内存或数据库),这样无疑增加维护成本和减弱可扩展性(多台服务器)。 CSRF 攻击一般基于 cookie。另外,如果是原生 app 使用这种服务接口,因为没有浏览器 c
深入理解 Token:生成和校验过程详解
最新发布
weixin_42279822的博客
03-21 1460
标题:深入理解 Token:生成和校验过程详解在网络应用中,Token 是一种常见的身份验证和授权机制,它通过加密技术来确保通信的安全性和用户身份的合法性。在本文中,我们将深入探讨 Token 的生成和校验过程,并提供详细的示例来帮助读者更好地理解。
CookieSessionToken、JWT
07-21
CookieSessionToken、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或其他状态数据。当客户端请求服务器时,会将 Cookie 信息附加在 HTTP 请求的头部中发送给服务器。服务器可以读取和解析 Cookie 来获取用户的身份信息或其他状态。Cookie 可以设置过期时间,可以在多个请求之间保持状态。 SessionSession 是服务器端存储用户信息的一种机制。服务器在用户首次访问时为其创建一个唯一的会话标识符(Session ID),并将该标识符存储在服务器上。客户端在后续的请求中会将该 Session ID 作为 Cookie 发送给服务器。服务器使用 Session ID 来获取对应的用户信息。Session 可以存储敏感数据,且在服务器端存储,相对安全。 TokenToken 是一种无状态的身份验证机制。当用户登录成功后,服务器会生成一个 Token 并返回给客户端,客户端将该 Token 存储在本地
node实现基于token的身份验证
01-02
最近研究了下基于token的身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。 传统的session+cookie身份验证 由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一次用户的请求仍然需要校验身份。为了解决这一问题,需要在服务端生成一条包含用户身份的记录,也就是session,再将这条记录发送给用户并存储在用户本地,即cookie。接下来用户的请求都会带上这条cookie,若客户端的cooki
cookietoken身份验证
逸尘的专栏
12-18 5854
1. cookie身份验证 用户输入登陆凭据; 服务器验证凭据是否正确,并创建会话,然后把会话数据存储在数据库中; 具有会话id的cookie被放置在用户浏览器中; 服务器验证凭据是否正确,并创建会话; 在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; 一旦用户登出,服务端和客户端同时销毁该会话在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理; ...
sessioncookietoken以及JWT
liuyinlong
04-20 341
sessioncookie 现在一般都是sessioncookie一起用,一起提。但是他们俩其实不是一定要在一起。 首先牢记一点,http协议是无状态的。就是说,一个请求过来,服务器不知道这个请求的用户是不是已经登录过了,不知道他的状态。只能再把这个请求重定向到登陆页面。 这样用户就疯了,怎么一直让我登录。 所以,前人想了一个办法,在第一次登录后,在服务器端记录一个会话id(sessi...
登录的两种验证方式的区分:cookietoken
m0_73120712的博客
08-09 1996
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
cookie保存后端传来的token值,请求每一个接口header都带上token
asrbily的博客
01-17 4398
每天进步一点点,兄弟们
CookieToken
qq_43606870的博客
07-25 815
前言 本文将首先概述基于cookie的身份验证方式和基于token的身份验证方式,在此基础上对两种验证进行比较。 最后将介绍JWT(主要是翻译官网介绍)。 概述 HTTP是一个“无状态”协议,这意味着Web应用程序服务器在响应客户端请求时不会将多个请求链接到任何一个客户端。然而,许多Web应用程序的安全和正常运行都取决于系统能够区分用户并识别用户及其权限。 这就需要一些机制来为一个HTTP请求提供状态。它们使站点能够在会话期间对各用户做出适当的响应,从而保持跟踪用户在应用程序中的活动(请求和响...
cookiesessiontoken理解
e1172090224的博客
04-21 1157
Cookie是保存在浏览器上的一些数据,一般通过HTTP响应头set cookie来设置,当然也可以通过JS脚本来直接设置,Cookie是按照网站来进行组织和保存的,每一个网站都可以在浏览器中保存一些Cookie,保存好了之后,浏览器向这个网站发出的请求都会携带这些Cookie,server就可以分析这些Cookiesession是一个抽象概念,指server端生成的能够将用户请求与后台存储的用户状态信息一一对应的会话机制。每一个session都会生成一个唯一的sessionId,并通过cookie传递
基于token的登陆验证机制.docx
06-28
用户通过用户名和密码登陆成功之后,服务器端...下次用户再来访问的话会带着这个cookie中的session_id,服务器拿着这个id去寻找对应的session,如果session中已经有了这个用户的 登陆信息,则说明用户已经登陆过了。
js-cookie设置token过期时间
weixin_43550562的博客
04-14 4110
刚开始是设置1小时 import Cookies from 'js-cookie' const TokenKey = 'token' export function getToken() { return Cookies.get(TokenKey) } export function setToken(token) { return Cookies.set(TokenKey, token,...
【微思探索】【实战】账号系统有了cookie,为什么还需要token
koukou2009的博客
07-22 1356
大家在使用很多网站的过程中,实际上都只需要cookie来管理用户session就够了,然而实际上,笔者认为如果在cookie的基础上,再加入用户的token,两者共同来管理用户的session,那就更加完美了。 以我新上线的网站微思探索为例,我们使用了cookie的同时,也增加了token作为用户的另外一重身份认证机制。 众所周知,cookie存在CSRF窃取session的问题,当然你可以通...
使用 vue-cookies 插件操作cookie,设置token有效期
这世上从不缺让人上头的新鲜感,能顾及你情绪的人实属难得。
07-18 3098
vue-cookies 使用
cookie中储存token令牌】express的应用场景
weixin_48813932的博客
04-18 1821
首先思考一个问题,为什么会出现cookie? 假设一个新闻网站,服务器有一个接口,通过请求这个接口,可以添加发布一篇文章。但是,不是任何人都有权力做这种操作的 服务器如何知道请求接口的人是有权力的呢?只有登录过的管理员才能做这种操作 问题是,客户端和服务器的传输使用的是http协议,http协议是无状态的,什么叫无状态,就是服务器不知道这一次请求的人,跟之前登录请求成功的人是不是同一个人。由于http协议的无状态,服务器忘记了之前的所有请求,它无法确定这一次请求的客户端,就是之前登录成功的那个客户端。
vue+axios请求时设置request header请求头(带上token
热门推荐
sinat_28371057的博客
12-03 1万+
vue+axios请求时设置请求头(带上token) 1.在vue中,向后台发送请求,不管是get或post,url要带上userId,headers要带上token值(本地存储的token,window.localStorage[‘token’]) PS:登录成功后,后台会返回token和userId,存储在本地。但是跳转到其他页面时没有token,会报错undefined,所以每次请求都要带上token值。(每次跳页面, 都要获取新路由对应的html页面, 这时候可以用axios的http拦截每次路
登录、校验之cookiesessionNode.js、Koa2)
终生学习,终生成长
06-07 2389
HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。cookie 存储在客户端。 cookie 是服务器发送到用户浏览器并保存在本地
CookieSessionToken来进行身份认证
IT_Holmes的博客
03-09 1748
1. CookieSessionToken 简单介绍 2. Cookie 3. Session 4. 为什么使用JWT? 5. JWT(JSON Web Token)的实现过程 6. 官方实现JWT的多种方式 7. JWT的实现第一种:java-jwt包的使用 8. JWT的实现第二种:jjwt包的使用 9. 封装JWT的包装类,方便以后使用 10. 后台发送到前端前端如何进行存储? 11. 前端如何将受到的token返还服务器? 12. 设置服务器允许跨域 13. JWT三部分组成详解
cookie sessiontoken的区别
04-26
CookieSession是用于Web应用程序的用户状态跟踪和管理的机制,而Token则是用于身份验证和身份验证机制Cookie是由服务器发送到客户端的小数据文件。 该文件通常包含一个唯一的标识符,以便将客户端与服务器上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值