网站的几种识别用户身份的方法(Cookie 机制)

最新推荐文章于 2023-04-06 20:50:33 发布
VIP文章 最新推荐文章于 2023-04-06 20:50:33 发布
阅读量5.2k 收藏 7
点赞数
分类专栏: web 文章标签: http cookie 加密解密 session hash
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55030384/article/details/116996992
版权

在网站应用中,由于 HTTP 协议是无状态的,识别不同用户的主要方法是通过 Cookie,即用户在认证后发送它让浏览器存储,之后每一次请求中再附带这个请求头信息发回服务器,这样服务器便知道是哪位用户发出的请求。

具体实现方法有哪些呢?下面我将为大家介绍几种常见的通过 Cookie 来识别不同用户的方法。

第一类:信息存用户侧

第一类的方法是将用户的部分信息存在浏览器的 Cookie 中(如用户 ID)。那么首要问题就是要防止被人为修改,因此实现方法有两种。

方法一:Base64 数据 + HMAC

首先,我们需要理解 HMAC。

HMAC,即使用哈希算法的消息认证码,简单来说就是使用密钥(准确来说是盐 salt)给数据上一个签名。

由于哈希算法是公开的,所以需要加上一段独一无二的密钥进行签名,如果没有这个密钥,几乎不可能篡改哈希值。

你也可以使用一套简易方法来自己实现消息认证码,比如如下的伪代码:

// 密钥
key = "你的密钥(盐)"

// 消息
msg = "一些数据"

// 使用 SHA256 算法进行签名
sha256(msg + key)

// 输出省略

这样把密钥附加到消息后面,就实现了简单的消息认证码签名。但是还是建议使用现有的 HMAC 算法进行签名。

目前推荐哈希算法使用 SHA-2 系列,具体的有 SHA-224 SHA-256 SHA-384 SHA-512,也许你听说过 MD5,但 MD5 算法已被证明存在碰撞不再安全,SHA-1 也正在被逐渐淘汰,所以直接使用 SHA-2 即可。

接下来,应当使用 Base64 对数据本体进行编码,这么做并不是确保数据安全,因为 Base64 仅仅是一种公开编码规范,并没有加密,主要是确保数据中不会出现违反 HTTP 规范的字符导致出错。

整体流程如下:

  1. 用户登录,服务器已验证用户身份。
  2. 服务器将用户信息进行 Base64 编码。
  3. 服务器将 Base64 编码后的用户信息使用密钥(盐)进行 HMAC 签名。
  4. 将这两个信息与响应同时发送给用户,使用 Set-Cookie 响应头让浏览器自动设置 Cookie
  5. 用户下次请求时,浏览器将会自动将这两个信息发送回来,服务器再次使用相同算法计算用户数据哈希值,与用户发回的签名进行对比,如果一致则说明数据未被篡改,这样就验证了用户的身份。

光看文字可能不好理解,接下来使用伪代码进行解释:

userData = {
   
  "uid": 1,
  // 建议始终写入这个过期时间数据,防止 Cookie 有效期被篡改导致无限登录
  "expireAt": "2021-05-20 00:00:00"
}

// 密钥,密钥生成请使用密码学上的随机数生成器,不要人为指定,建议不少于 16 个字节
secretKey = "这是你的密钥,不要泄露"
最低0.47元/天 解锁文章
摸鱼Script
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Django利用cookie保存用户登录信息的简单实现方法
01-01
本文实例讲述了Django利用cookie保存用户登录信息的方法。分享给大家供大家参考,具体如下: 设置cookie response对象.set_cookie('key','value',多少秒后过期) 获取cookie request对象.COOKIES.get('key') 我们继续前一篇的代码 def hi(request): msg = {'result':''} loginSuccess = False # 是否登录成功标识 if user.userLogin(request.POST.get('username'),request.POST.get('pwd
如何区分不同用户? -- Cookie/Session机制详解
Allen技术小站
07-06 4141
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1 Cookie机制 在程序中,会话跟...
asp.net清空Cookie的两种方法
01-02
asp.net清空Cookie的两种方法 第一种 Cookie.Expires=[DateTime]; Response.Cookies(“UserName”).Expires = 0; 第二种 Response.Cookies[“admin”].Expires = DateTime.Now.AddDays(-1);  您可能感兴趣的文章:php中删除、清空session的方式总结jsp获取action传来的sessionsession清空以及判断Asp.net中安全退出时清空SessionCookie的实例代码
php使用Cookie实现和用户会话的方法
10-24
主要介绍了php使用Cookie实现和用户会话的方法,分析了Cookie的原理、设置与使用技巧,需要的朋友可以参考下
.net 添加Cookie的4种方法
01-21
代码如下://第一种添加Cookie方法        HttpCookie myCookie = new HttpCookie(“userrole”);        myCookie.Values[“a”] = “a”;        myCookie.Values[“”] = “b”;        myCookie.Expires.AddDays(1);        Response.Cookies.Add(myCookie);        //Response.AppendCookie(mycookie);这个也可以添加        //第一种获取Cookie方法       
HTTP:客户端识别技术----cookie
OceanStar的博客
08-12 1502
这些服务器通常要记录下它们与谁交谈,而不会认为所有的请求都来自匿名的客户端 HTTP最初是一个匿名、无状态的请求/响应服务。服务器处理来自客户端的请求,然后向客户端回送一条响应。Web服务器几乎没有什么信息可以用来判定是哪个用户发送的请求,也无法记录来访用户的请求序列。 后来,Web设计者了提供了一些用户识别机制: 承载用户身份信息的HTTP首部 客户端IP地址跟踪,通过用户的IP地址对其进行识别 用户登录,用认证方式来识别用户 胖URL,一种在URL中嵌入识别信息的技术(很少用) cookie,一种.
浏览器用户身份-Cookie【知识篇】
问白的博客
04-06 779
HTTP cookie,简称cookie,是用户浏览网站时由网络服务器创建并由用户的网页浏览器存放在用户电脑或其他设备上的小文本文件。浏览器存储这样的信息之后,会为每个请求添加CookieHTTP请求头。将Cookie发送回服务器。
如何区分不同用户——Cookie/Session机制详解
wuyepiaoxue789的博客
07-04 463
https://www.cnblogs.com/zhouhbing/p/4204132.htmlhttps://www.cnblogs.com/xdp-gacl/p/3855702.html
cookies来跟踪识别用户
gjpdeyx的专栏
07-02 1065
<br />让我们来看看保存在浏览器中的内容。如果你用的是IE5,在windows目录下有一个cookies的目录,里面有很多文本文件,文件名都是类似于这样 的,这就是浏览器用来保存值的cookies了。在以前的IE版本中,coo<br /> 让我们来看看保存在浏览器中的内容。如果你用的是IE5,在 windows目录下有一个cookies的目录,里面有很多文本文件,文件名都是类似于这样的,这就是浏览器用来保存值的cookies了。在以前的 IE版本中,cookies的内容是可以察看的,但现在内容已
Python用 KNN 进行验证码识别的实现方法
12-24
前言 之前做了一个校园交友的APP,其中一个逻辑是通过用户的教务系统来确认用户是一名在校大学生,基本的想法是通过用户的账号和密码,用爬虫的方法来确认信息,但是许多教务系统都有验证码,当时是通过本地服务器去下载验证码,然后分发给客户端,然后让用户自己填写验证码,与账号密码一并提交给服务器,然后服务器再去模拟登录教务系统以确认用户能否登录该教务系统。验证码无疑让我们想使得用户快速认证的想法破灭了,但是当时也没办法,最近看了一些机器学习的内容,觉得对于大多数学校的那些极简单的验证码应该是可以用KNN这种方法来破解的,于是整理了一下思绪,撸起袖子做起来! 分析 我们学校的验证码是这样的:,其实就是简单
python 利用浏览器 Cookie 模拟登录的用户访问知乎的方法
01-01
首先在火狐浏览器上登录知乎,然后使用火狐浏览器插件 Httpfox 获取 GET 请求的Cookie,这里注意使用状态值为 200(获取成功)的某次GET. 将 Cookies 复制出来,注意这一行非常长,不要人为添加换行符。而且 Cookie 中使用了双引号,最后复制到代码里使用单引号包起来。 使用下边代码检验是否是模拟了登录的用户的请求: import requests import re headers = { 'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:53.0) Gecko/20100101 Firefox/53.
java使用Cookie判断用户登录情况的方法
08-28
主要介绍了java使用Cookie判断用户登录情况,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
PHP cookiesession的使用与用户自动登录功能实现方法分析
01-02
本文实例讲述了PHP cookiesession的使用与用户自动登录功能实现方法。分享给大家供大家参考,具体如下: cookie的使用 //生成cookie //注释:setcookie() 函数必须位于 <html> 标签之前。 //setcookie(name, value, expire, path, domain); //名称,值,过期时间,有效路径,有效域名 //path,可选;如果路径设置为 /,那么 cookie 将在整个域名内有效.如果路径设置为 /test/,那么 cookie 将在 test 目录下及其所有子目录下有效。默认的路径值是 cookie 所处的当前
禁用Cookie功能的几种方法
03-04
Cookie实际上是一些小的数据包,里面包含着关于你网上冲浪习惯的信息,可以方便你以后的操作。有必要学会禁用Cookie,以保证上网的安全。本文介绍了禁用Cookie的三种方法,你可根据需要选择使用。
php使用cookie显示用户上次访问网站日期的方法
10-24
主要介绍了php使用cookie显示用户上次访问网站日期的方法,主要通过使用cookie保存访问时间来实现该功能,需要的朋友可以参考下
ASP.NET学习CORE中使用Cookie身份认证方法
01-21
大家在使用ASP.NET的时候一定都用过FormsAuthentication做登录用户身份认证,FormsAuthentication的核心就是Cookie,ASP.NET会将用户名存储在Cookie中。 现在到了ASP.NET CORE的时代,但是ASP.NET CORE中没有Forms...
asp.net利用cookie保存用户密码实现自动登录的方法
10-24
主要介绍了asp.net利用cookie保存用户密码实现自动登录的方法,实例分析了asp.net针对cookie的创建、提取与销毁操作技巧,具有一定参考借鉴价值,需要的朋友可以参考下
网站服务器是如何识别用户身份的?请简述一下用户登录过程
最新发布
06-11
网站服务器通常使用会话(Session)来识别用户身份用户登录过程的一般流程如下: 1. 用户在客户端(如浏览器)中输入用户名和密码,然后点击登录按钮。 2. 客户端将用户输入的用户名和密码封装成HTTP请求,发送给...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值