图文详解,怎样实现登录?--Cookie-or-JWT

最新推荐文章于 2022-10-16 11:42:40 发布
最新推荐文章于 2022-10-16 11:42:40 发布
阅读量167 收藏
点赞数
分类专栏: 程序员 文章标签: 后端 java 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60567881/article/details/119486064
版权
  • 将session的id存储在Cookie中,通过响应头返回到浏览器;
  • 当用户点击其他功能时,向后台发送的请求中会自动带上Cookie;
  • 后台通过Cookie中的jsessionid找到对应的session,开发人员可从session中取出当前会话的登录状态和用户id。

基于Cookie-Session机制的登录实现方式的整体流程就是这个样子。看上去很完美,但还是存在不少问题的,我们来看看这些问题。

分布式会话

上面的示例,我们的后台服务只有一个,一个服务往往很难支撑服务,为了保障可靠性,最少都是部署两个后台服务。但是当部署多个后台服务时,我们的session就会出现问题,看看下面的图,

  • 假如用户登录的请求,分配到了后台服务1,后台服务1的session存了用户的登录状态和用户id。
  • 用户在点击其他功能时,请求分配到了后台服务2,可是后台服务2的session并没有存储登录状态和用户id。

我们怎么解决这个问题呢?其实也很简单,第一,session集中管理,比如使用Redis;第二,所有的后台服务在获取session时,统一从Redis中获取。如下所示,

我们可以使用中间件Spring-Session和Redis就可以解决这个问题。

CORS

使用Cookie实现登录的另外一个问题就是跨域,现在往往都采用前后端分离的方式进行开发,在开发的过程中,前端和后端通常不在一个域下,由于浏览器的同源策略,Cookie不能传入到后端。至于同源策略,不明白的小伙伴可以问一下度娘,这里不过多介绍了。要解决这个问题,在前端、后端都要进行设置,在我的另一篇文章《前后端分离|关于登录状态那些事》中有详细的介绍。总体归纳为:

  • 后端设置CORS允许跨域的域名,并且withCredentials设置为true;
  • 前端在向后端发送请求时,也需要设置withCredentials = true;

这样,我们的Cookie就可以实现跨域了。不进行这些设置,Cookie跨域是不可能的,同源策略保证了我们Cookie的安全。

CSRF

CSRF,这个CORS是不一样的,长的比较像,也比较容易混。CSRF往往和系统的安全扯上联系,也是等保测试中比较重要的测试内容,它也是和Cookie有关的,大体的流程是这样的,

  • 用户登录了A网站,并没有退出;
  • 此时,用户又访问了B网站;
  • 在B网站有个隐藏的请求,请求了A网站的一个重要的接口,比如:转账、支付等。
  • 在请求A网站的同时,带上了A网站的Cookie,所以一些危险的操作就成功了。

关于CSRF的攻防,在我前面的文章《CSRF的原理与防御 | 你想不想来一次CSRF攻击?》中有详细的介绍。总之,使用Cookie实现登录是需要重点防范一下CSRF攻击的。

JWT方式

近年来,由于手机端的兴起,前后端分离开发方式的流行,JWT这种登录的实现方式悄然兴起,那么什么是JWT呢?JWT是英文JSON Web Token的缩写,它由3部分组成,

  • header,一般情况下存储两个信息,1类型,一般都是JWT;2加密算法,比如:HMAC、RSA等;
  • payload,这里就存储登录的相关信息了,比如:登录状态、用户id、过期时间等。
  • signature,签名,这个是将header、payload和密钥的信息做一次加密,后台在接收到JWT的时候,一定要验签,谨防JWT的伪造。

下面咱们看看JWT的登录实现,

我们看到整体的流程和Cookie的实现方式是一样的,只不过是没有用到Cookie、Session。那么它与Cookie-Session的区别是什么呢?

  • 登录状态、用户id并没有存储到session,而是存在JWT的payload里,返回给了前端。
  • 在前端JWT不会自动存储到Cookie中,前端开发人员要处理JWT的存储问题,比如LocalStorage
  • 再次发起请求,JWT不会自动放到请求头中,需前端同学手动设置
  • 后端从请求头中取出JWT,验签通过后,拿到登录状态、用户id,不是从session中取

相比Cookie的方式,JWT的方式需要更多的开发工作量。那么其他的问题存在吗?我们一个一个看。

分布式会话

我们后台部署多个服务,会有分布式会话的问题吗?

无论请求被分配到哪一个后台服务中,登录状态和用户id都是从JWT中取出来的,不会出现分布式会话的问题。我们在后台部署集群的时候,根本不用care这个问题。

总结

就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer! 越努力越幸运!

金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。但很多小伙伴却苦于没有合适的资料来回顾整个 Java 知识体系,或者有的小伙伴可能都不知道该从哪里开始复习。我偶然得到一份整理的资料,不论是从整个 Java 知识体系,还是从面试的角度来看,都是一份含技术量很高的资料。

感兴趣的朋友可以点击这里获得免费领取!

三面蚂蚁核心金融部,Java开发岗(缓存+一致性哈希+分布式)

s://gitee.com/vip204888/java-p7)**

[外链图片转存中…(img-1ILnzCMA-1628317241262)]

程序员哈520
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
小结:使用 JWT 时,Cookie 需要做的配置
A minor
02-17 730
我们先来看看在项目中使用 JWT 时所作的配置(包括 jwtcookie 配置) jwt: secret: xusm@Login(Auth}*^31)&heiMa% # 登录校验的密钥 pubKeyPath: C:\temp\rsa\xusm\rsa.pub # 公钥地址 priKeyPath: C:\temp\rsa\xusm\rsa.pri # 私钥地址 expire: 45 # 过期时间,单位分钟 cookie: domain: bbs.xysmxh.com # lo
jwt+cookie 实现sso
wangjianwangzhefeng的博客
04-22 1107
看图理解JWT如何用于单点登录 阅读目录 前言 方案介绍 方案总结 本文小结 单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT跟单点登录结合起来一起使用,尽量能把两种技术的...
cookie,session登录实现登录状态思路,token +jwt 实现登录思路
weixin_39708283的博客
07-28 263
1浏览器端输入用户名和密码登录 2 服务器端校验用户名和密码成功后,将用户名放到cookie中,通过response.addCookie(username),下一次的请求浏览器就会自动带上这个值 3 因为cookie是敏感的,所以在第2步的基础上,在将用户名也存到session中 有效期应和cookie保持一致。 实现登录 1 拿到cookie中对应的username中的值 2 去session中查询对应的值(session.get(key) key就是cookie中获取到的值),存在表示已经登录过,进入
JWT 实现登录认证 + Token 自动续期方案,这才是正确的使用姿势!
最新发布
Java精选
10-16 560
技术选型区别认证流程优缺点安全性性能一次性无法废弃续签选择JWT或session功能实现Redis工具类业务实现过去这段时间主要负责了项目中的用户管理模块,用户管理模块会涉及到加密及认证流程,加密已经在前面的文章中介绍了,可以阅读用户管理模块:https://juejin.cn/post/6916150628955717646今天就来讲讲认证功能的技术选型及实现。技术上没啥难度当然也没啥挑战,但是...
用户权限校验的两种方式 1.cookie结合session 2.jwt(token)。(cookie与session的认识与作用)
weixin_54000091的博客
01-04 1619
cookie结合session,以及使用jwt。这两种方式解决权限校验问题
lua-resty-jwtJWT为伟大的Openresty
02-03
标题"lua-resty-jwtJWT为伟大的Openresty"表明了本文将探讨如何使用lua-resty-jwt库在Openresty(一个基于Nginx和Lua的高性能Web平台)中处理JSON Web Tokens (JWT)。JWT是一种安全的身份验证和授权机制,常用于...
c-jwt-cracker:用C编写的JWT蛮力饼干
02-06
c-jwt-cracker:用C编写的JWT蛮力饼干
cpp-jwt:C ++的JSON Web令牌库
02-05
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。...通过深入理解JWT的基本原理和cpp-jwt库的API,开发者可以更安全、高效地实现在C++应用中的身份验证和授权功能。
tomcat-jwt-security:基于JWT令牌实现安全阀
05-10
该项目旨在将JWT令牌身份验证功能引入Tomcat 8 ,从而将身份验证过滤器实现为Tomcat Valve。 JWT操作基于项目。 对于Tomcat 7,请使用或克隆。 基于Valve的身份验证应该可以与放置在web.xml文件中的Java标准安全...
sanic-jwt:Sanic的身份验证,JWT和权限范围
04-30
Sanic JWT Sanic JWT向添加了身份验证保护和终结。 它很容易启动和运行,并且对于开发人员来说是可扩展的。 它可以起到保护端点的作用,还可以提供身份验证作用域,所有这些都封装在一个不错的。 |我该怎么办? 这很...
怎样实现登录?| Cookie or JWT
xingduan5153的博客
06-02 485
推荐阅读: 这套Github上40K+star学习笔记,可以帮你搞定95%以上的Java面试 毫不夸张的说,这份SpringBoot学习指南能解决你遇到的98%的问题 最全面试题新鲜出炉:70+算法题、近30种大厂面试笔试常考知识点 先问小伙伴们一个问题,登录难吗?“登录有什么难得?输入用户名和密码,后台检索出来,校验一下不就行了。”凡是这样回答的小伙伴,你明显就是产品思维,登录看似简单,用户...
SPA登录实现+JWT生成Token+cookie携带Token+代码
王某的博客
03-27 8880
理论知识 Token JWT 干货 如何存储token,前后端如何用token进行“交流” 总的思路之文字说明 总的思路之流程图说明 完整代码之token 注意 SPA单页面登录其他代码 参考 ——————————————————- 理论知识 前言:本人承诺,本文是在查阅了大量资料并且实践了之后的用心写作。 Token 理论参考:SSO单点登录使用to...
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1362
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
使用cookie做用户登录的过程详解
923723914
08-07 1万+
不管是游戏,还是网站,最基本的功能,就是用户注册登录。 或许,我们做过多次用户的登陆注册的功能,但我们是否想过,为什么要实现用户的登录。用户怎样做才算登录成功。 对用户而言,登录后,就有了他的一片“天地”,例如,登录CSDN后,就可以管理自己的博客,否则,你没有权利管理。关于是否登录成功的问题,在用户看来,如果用户名和密码输入成功,就算登入成功,否则,登录不成功。 但这一切,在程序中是怎样实...
使用cookie保存用户的登录状态——初步实现
热门推荐
恰西v的前端开发学习笔记
01-09 2万+
保存用户的登录状态是许多网站都会使用,一般会使用session、数据库或者cookie和session相结合的办法,这里我们了解 cookie的方法来保存用户登录状态. Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。无论何时用户链接到服务器,Web 站点都
注册登录流程逻辑以及cookie的总结
An7yu
03-31 4658
总结这两天我到底干了什么事情: 1、验证码实现 2、注册功能完善 3、登录功能完成 4、cookie的创建和删除实现 做了哪些事以及遇到了的问题: 1、正则表达式临时学 2、将截断字符串或二进制数据,数据库报错-》》加长数据库的某个字段的长度即可 3、注册逻辑没有认真分析: 3.1、获取表单元素值(request方法) 3.2、数据值合法性检验(非空校验、确认密码
cookie实现简单的用户登录验证
羽公子的博客
12-06 1万+
一共是两个页面,一个路由 登录页面 -html <form> <label for="username">用户名:</label> <input type="text" name="username" id="username"><br/> <
Cookie,Session,Token和JWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1100
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
用户登录判断前后端交互cookie的使用
Java_yangzhichao的博客
09-14 429
查找数据库 mysql_num_rows(结果集):返回结果拥有的记录数 mysql_fetch_assoc(结果集):返回当前游标指向所有的记录,以对象的方式返回,每执行一次自动下移一行 关闭资源:mysql-close($conn); cookie(会话跟踪技术) 创建:docunment.cookie = "name = 老王" cookie的使用必须有服务器 获取cookie:获取的数据为键值对字符串,两个字符串用分号+空格分开 会话:用户进入网页开始浏览就是一次会话过程 cook
JWT Token实现与用户登录验证详解
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证。JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值