使用会话管理和令牌机制减少重复的用户名和密码验证

最新推荐文章于 2024-07-13 18:10:19 发布
最新推荐文章于 2024-07-13 18:10:19 发布
阅读量43 收藏
点赞数 1
文章标签: 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61252852/article/details/134932601
版权

问题引入

每次用户登录都需要查询数据库来验证用户名和密码的匹配性会导致以下缺点:
1、频繁的数据库查询会影响性能。如果登录频率很高,例如在高流量网站上,数据库查询可能会成为瓶颈,并降低整个系统的响应速度。
2、增加数据库负担。查询数据库需要在服务器和数据库之间进行通信,这需要占用网络带宽和服务器资源,可能对数据库产生压力。
3、增加数据库安全风险。每次从数据库检索用户名和密码时,都会向外部发出信号,从而减少数据库的安全性。如果攻击者能够获得数据库访问权限,那么他们通常可以获得用户的全部信息,包括他们的用户名和密码。

解决方法:

使用会话管理和令牌机制可以减少重复的用户名和密码验证。
用户登录成功后,可以为其分配一个唯一的会话标识或令牌,并将其保存在服务器端或客户端的 Cookie 中。后续用户的请求可以通过验证会话标识或令牌来验证身份,而不需要每次都进行用户名和密码的验证。

示例代码:

#include <iostream>
#include <unordered_map>
#include <string>
#include <ctime>
#include <cstdlib>

// 定义用户结构体,存储用户名和密码等信息
struct User {
    std::string username;
    std::string password;
    // 更多用户信息...
};

// 定义会话结构体,存储会话标识和相关用户信息
struct Session {
    std::string sessionId;
    User user;
    // 更多会话信息...
};

// 假设存在用于存储会话信息的全局哈希表
std::unordered_map<std::string, Session> sessionMap;

// 查询数据库,验证用户名和密码,这里使用示例数据
std::unordered_map<std::string, std::string> userCredentials {
    {"user1", "password1"},
    {"user2", "password2"},
    // 更多用户名和密码...
};

// 模拟数据库查询,验证用户名和密码是否正确
bool verifyCredentials(const std::string& username, const std::string& password) {
    auto it = userCredentials.find(username);
    if (it != userCredentials.end() && it->second == password) {
        return true;  // 通过验证
    }
    return false;  // 验证失败
}

// 生成一个唯一的会话标识
std::string generateSessionId() {
    // 这里简单示范一个随机生成会话标识的方法
    std::string sessionId;
    const std::string characters = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
    const int length = 32;
    
    for (int i = 0; i < length; i++) {
        sessionId += characters[rand() % characters.length()];
    }
    
    return sessionId;
}

// 首次用户登录函数,使用会话管理和令牌机制
bool login(const std::string& username, const std::string& password, std::string& sessionId) {
    if (verifyCredentials(username, password)) {
        sessionId = generateSessionId();
        std::cout << "sessionid: " <<sessionId<<std::endl;
        Session session;
        session.sessionId = sessionId;
        session.user.username = username;
        session.user.password = password;
        
        sessionMap[sessionId] = session;
        
        return true;  // 登录成功
    }
    
    return false;  // 登录失败
}

// 验证会话函数,检查会话标识是否有效
bool validateSession(const std::string& sessionId, User& user) {
    auto it = sessionMap.find(sessionId);
    if (it != sessionMap.end()) {
        user = it->second.user;
        return true;  // 会话有效
    }
    
    return false;  // 会话无效
}

int main() {
    srand(time(nullptr));
    
    std::string username, password;
    std::string sessionId;
    
    // 假设用户输入了用户名和密码
    std::cout << "Username: ";
    std::cin >> username;
    std::cout << "Password: ";
    std::cin >> password;
    
    // 用户登录验证
    if (login(username, password, sessionId)) {
        std::cout << "Login successful!" << std::endl;
        std::cout << "Session ID: " << sessionId << std::endl;
        
        // 在后续请求中验证会话
        User user;
        if (validateSession(sessionId, user)) {
            std::cout << "User: " << user.username << std::endl;
            // 其他操作...
        } else {
            std::cout << "Invalid session!" << std::endl;
        }
    } else {
        std::cout << "Login failed!" << std::endl;
    }
    
    return 0;
}

m0_61252852
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
DRF 3.x Authentication 身份验证使用示例和配置方法
Mr数据杨
01-26 3万+
自定义身份验证方案是继承 `BaseAuthentication并重写方法,身份验证成功则会返回一个元组数据(user, auth)`,否则会返回 None。以下是一个自定义身份验证方案的示例,它将对名为X-USERNAME的自定义请求标头中的用户名所指定的用户进行身份验证
六种Web身份验证方法比较和Flask示例代码
热门推荐
xfxuezhang.cn
05-13 1万+
很详细,值得收藏!
Web安全之攻击会话管理机制
Blood_Pupil的博客
05-09 1316
HTTP协议本身是“无状态”,“无连接”的,也就是说HTTP协议本身并不会记住客户端访问的上下文,也无法保存客户端的各种状态,这其中就包括登录状态。如果HTTP不能保存用户的登录状态那就意味着用户在每次访问需要身份验证的网站时都必须填写用户名密码,这里的“每次访问”是指每个单次的HTTP请求包括刷新一次页面。为了解决上述的问题Web应用程序就需要设计会话管理机制,通常是使用Cookie及Ses...
Web安全:会话令牌
weixin_26753891的博客
08-21 902
Web security has turned into a major topic, it plays an important role in building applications that are secure, and don’t suffer external attacks like XSS. Over the years, web security has evolved dr...
浅谈网站失效的认证和会话管理
小太阳~
01-26 7709
身份认证和会话管理:   在进一步解释这种危险的漏洞之前,让我们了解一下身份认证和会话管理的基本知识。身份认证,最常见的是登录功能,往往是提交用户名密码,在安全性要求更高的情况下,有防止密码暴力破解的验证码,基于客户端的证书,物理口令卡等等。   会话管理,HTTP本身是无状态的,利用会话管理机制来实现连接识别。身份认证的结果往往是获得一个令牌,通常放在cookie中,之后对用户身份
Shiro 身份验证、授权、密码会话管理
05-07
用户输入的凭证(通常是用户名密码)会被传递给 Shiro,Shiro 会通过与存储在数据库或其他安全存储中的凭证进行比较来验证用户。如果匹配成功,用户就被认为是已认证的。 2. **授权(Authorization)**: 授权是...
AuthenticationJWT:使用JWT令牌的用户身份验证和授权
02-14
总的来说,C#中的JWT身份验证和授权提供了一种安全、高效的方式管理用户会话。通过理解JWT的工作原理和正确使用C#的相关库,开发者能够构建出符合现代安全标准的Web应用和API。在`AuthenticationJWT-master`这个项目...
jwtDemo:使用Spring和JWT进行基于令牌的API身份验证
05-22
// 验证用户名密码,获取用户信息 // 生成JWT令牌 String token = Jwts.builder() .setSubject(user.getUsername()) // 主题,通常为用户名 .setExpiration(new Date(System.currentTimeMillis() + ...
passport-userapp:使用 UserApp for Passport 的密码令牌认证策略
05-30
userapp 身份验证策略使用用户名密码会话令牌通过对 UserApp 的 REST 调用对用户进行身份验证。 该策略需要一个verify回调,它接受这些凭据并调用done提供用户。 为了能够使用此策略,您需要一个和 。 ...
一个答题软件的demo内含记住密码和自动登录.rar
07-30
- 会话管理使用JWT令牌进行用户身份验证。 - 答题模块:设计题库管理、题目显示、答案提交、结果展示等功能。 - 错误处理:为各种可能出现的问题提供合适的错误提示。 7. **测试与调试**: 由于描述中提到...
初始C++
2302_81016149的博客
07-08 809
在C语言我们学习函数的时候,我们学习过生命周期这个概念。那么,什么是生命周期呢?生命周期通常指的是一个对象或变量从创建到销毁所经历的时间段。那么,命名空间是什么?咱们可以这样理解:在这个空间的生命周期内,对这个空间内的全部标识符起一个名字,可对其进行引用,可类似与C语言中的结构体。#include<stdlib.h>//此处不包此头文件代码可正常运行,那该如何解决此处情况呢?int main()//此处编译不通过原因为:在不包头文件前为变量,包含后为函数。return 0;
set user & password for database 设置数据库 用户和密码
DavidsonGong的博客
07-12 104
USE sbms;
7.10飞书一面面经
东篱君的博客
07-10 1137
B+树的⾮叶⼦节点不存放实际的记录数据,仅存放索引,所以数据量相同的情况下,相⽐存储即存索引⼜存记录的 B 树,B+树的⾮叶⼦节点可以存放更多的索引,因此 B+ 树可以⽐ B 树更「矮胖」,查询底层节点的磁盘 I/O次数会更少。主从复制:单节点Redis的并发能力是有上限的,要进一步提高Redis的并发能力,可以搭建主从集群,实现读写分离。B+ 树有⼤量的冗余节点(所有⾮叶⼦节点都是冗余索引),这些冗余索引让 B+ 树在插⼊、删除的效率都更⾼,⽐如删除根节点的时候,不会像 B 树那样会发⽣复杂的树的变化;
Redis集群和高可用
最新发布
xiaogengtongxu的博客
07-13 307
主从架构无法实现master和slave角色的自动切换,即当master出现redis服务异常、主机断电、磁盘损坏等问题导致master无法使用,而redis主从复制无法实现自动的故障转移(将slave 自动提升为新master),需要手动修改环境配置,才能切换到slave redis服务器,另外当单台Redis服务器性能无法满足业务写入需求的时候,也无法横向扩展Redis服务的并行写入性能。master和slave角色的无缝切换,让业务无感知从而不影响业务使用
mysql笔记1
m0_62975692的博客
07-11 275
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
Redis数据结构-String篇
时间如瑾 代码如诗
07-12 598
对⼀个内部表示成long型的string执行append, setbit, getrange这些命令,针对的仍然是string的值(即⼗进制表示的字符串),而不是针对内部表⽰的long型进⾏操作。因此,在这些命令的实现中,会把long型先转成字符串再进行相应的操作。String 的内部存储结构⼀般是 sds(Simple Dynamic String,可以动态扩展内存),但是如果⼀个String 类型的 value 的值是数字,那么 Redis 内部会把它转成 long 类型来存储,从⽽减少内存的使用
docker-compose安装PolarDB-PG数据库
wnfff的博客
07-12 235
docker-compose安装PolarDB-PG数据库
系统架构设计师教程 第二章 计算机系统基础知识-2.3计算机软件
Remon的专栏
07-09 730
《系统架构设计师教程》清华第二版 2.3计算机软件 章节的详细解读
CH-benCHmark:一个HTAP数据库测试基准
算力测评
07-09 260
这一基准测试,旨在弥合TPC-C(专注于联机事务处理,即OLTP)与TPC-H(侧重于联机分析处理,即OLAP)这两项业界权威但单一的工作负载测试之间的鸿沟。它巧妙地结合了TPC-C的订单录入流程产生的交易负载,以及与之对应的、等同于TPC-H级别的OLAP查询套件,并在单一数据库系统内的同一数据集上并行执行。正因为继承自两个最广泛应用的TPC标准,CH-benCHmark的测试结果不仅对混合负载系统具有重大参考价值,同时也适用于传统的单一工作负载场景。
Servlet会话管理与用户认证.doc
11-24
- 用户提供用户名密码。 - 服务器验证这些凭证,通常是通过查询数据库或其他身份验证服务。 - 验证成功后,服务器创建会话并存储认证信息,如用户的唯一标识。 - 每个后续请求,服务器检查会话中的认证信息以确定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值