登录校验原理过程和统一拦截技术(Cookie、Sesstion 和JWT令牌)

最新推荐文章于 2024-04-15 10:32:37 发布
最新推荐文章于 2024-04-15 10:32:37 发布
阅读量470 收藏
点赞数
分类专栏: 后端 文章标签: servlet java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63144319/article/details/131352137
版权
文章介绍了Web应用中进行登录校验的重要性,以及三种常见的会话管理技术:基于Cookie的客户端会话跟踪,服务端Session,以及JWT令牌技术。Cookie和Session各有优缺点,JWT则能解决集群环境下的认证问题并减轻服务器存储压力。
摘要由CSDN通过智能技术生成

一、登录校验

  • 问题:在未登录情况下,我们也可以直接访问部门管理、员工管理等功能。
  • 由于浏览器与web服务器中的数据交互是通过HTTP协议的,而HTTP协议是无状态的–即每个页面中的请求和响应都是独立的,没有状态存在。
  • 所以我们需要进行登录校验

1.登录校验

  • 每次访问页面的时候可以用if...else...来进行判断用户是否登录。但过程较为繁琐,所以我们设置统一拦截。

二、统一拦截

在这里插入图片描述

1.登录标记

(1).会话技术:

  • 用户登录成功之后,每一次请求中,都可以获取到该标记。
  1. 会话:
  • 用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束在一次会话中可以包含多次请求和响应。
  1. 会话跟踪:
  • 一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据

(2).会话跟踪方案:

  1. 客户端Cookie(传统)
  • 客户端会话跟踪技术:Cookie
import com.mannor.pojo.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@Slf4j
@RestController
public class SessionController {
    //设置cookie
    @GetMapping("/c1")
    public Result cookie(HttpServletResponse response) {
        response.addCookie(new Cookie("login_username", "mannor"));//设置Cookie/响应Cookie
        return Result.success();

    }

    @GetMapping("/c2")
    public Result cookie2(HttpServletRequest request) {
        Cookie[] cookies = request.getCookies();//获取所有的Cookie
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals("login_username")) {//输出name为 login_username 的cookie
                System.out.println("login_username: " + cookie.getValue());
            }
        }
        return Result.success();
    }
}

优点:HTTP协议中支持
缺点:1.移动端APP无法使用cookie不安全,2.用户可以自己禁用,3.Cookiecookie不能跨域。

  1. 服务端Session(传统)
  • 服务端会话跟踪技术:Session,基于cookie开发
import com.mannor.pojo.Result;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@Slf4j
@RestController
public class SessionController {
    //往HttpSession中存储值
    @GetMapping("/s1")
    public Result session1(HttpSession session) {
        log.info("attpSession-s1: {}", session.hashCode());
        session.setAttribute("loginUser", "tom");//往session中存储数据
        return Result.success();
    }

    //从HttpSession中获取值
    @GetMapping("/s2")
    public Result session2(HttpServletRequest request) {
        HttpSession session = request.getSession();
        log.info("HttpSession-s2:{}", session.hashCode());
        Object loginUser = session.getAttribute("loginUser");//从session中获取数据
        log.info("loginUser: {}", loginUser);
        return Result.success(loginUser);
    }
}

优点:存储在服务器,安全性高
缺点:1.在服务器集群的情况下无法直接使用Session; 2.Cookie的缺点(基于Cookie开发)。

  1. JWT令牌技术 (主流技术)
//具体相关内容在下详细介绍

优点:1.支持PC端和移动端 2.解决了集群环境下的认证问题 3.减轻了服务器端存储的压力(不用存储)。
缺点:需要自己实现。

曼诺尔雷迪亚兹
关注
专栏目录
Servlet教科书】JavaWeb中的域对象和会话技术CookieSession、ServletContext、Request知识总结)
奈何的人生
04-19 1817
文章目录@[toc]一、状管理介绍1.1 什么是状管理1.2 为什么需要状管理1.3 状管理的两种常见模式二、状管理之Cookie应用2.1 什么是Cookie2.2 创建Cookie对象2.2.1 关于Cookie生命周期的设置2.2.2 关于Cookie共享范围的设置2.2.3 遍历查询Cookie2.3 Cookie的编码与解码问题2.4 发送Cookie的条件2.5 设置Cook...
HTTP之cookie, session, token
wsl_cnxw的博客
12-21 322
Cookie cookie 指的就是浏览器里面能永久存储的一种数据 HTTP cookie(Web cookie,浏览器cookie)是服务器发送到用户Web浏览器的一小段数据。 浏览器存储它并将其与下一个请求一起发送回同一服务器。 通常情况下,它用于判断两个请求是否来自同一个浏览器 - 例如,保持用户登录。 它记住无状HTTP协议的有状信息。 1.HTTP cookies的3种用途 ...
常见的登录验证方式
最新发布
qq_53207874的博客
04-15 1603
当用户要访问B系统时,B系统将它重定向到SSO,已经登录了,所以SSO直接颁发可以访问B系统的ticket,客户端带着这个ticket就可以访问B系统了。这样就实现了一处登录,全线使用。当用户点击链接时,浏览器会自动发送包含用户认证信息的请求,从而执行攻击者指定的操作。Token 机制是无状的,服务器不需要保存用户的会话状,因此可以降低服务器的负载,特别适用于分布式系统和微服务架构。当业务线越来也多,就会有更多业务系统分散到不同域名下(不同的系统),就需要(一次登录,全线通用)的能力,这就是单点登录
SSM(4) —— 登录验证(拦截
Archer__13的博客
05-27 1274
在没有登录之前,访问其他页面都会被拦截,然后跳转到登录页面。 一. 编写拦截器类 package com.server.interceptor; import com.server.common.Constants; import com.server.pojo.User; import org.springframework.web.servlet.HandlerInterceptor; import javax.servlet.http.HttpServletRequest; import j
SpringBoot进阶(九)登录验证及拦截
白玉梁的专栏
10-26 1386
由于本篇讲解的是初步的拦截和验证,所以比较简单,不涉及角色权限等,以下是我后面讲解Shiro安全框架时所需用到的数据库表,你可以提前创建,也可仅创建user表来进行本篇文章的学习!(前几篇我们创建过一个user表,你可以在此基础上修改,或删除重新创建) 当然,此user表中许多字段是无关紧要的,你可以选择忽略它! User: package com.byl.springboottest.bean; import javax.persistence.*; import java.io.Serializab
前端登录拦截、验证
Mr_Baoge的博客
04-19 2618
前端登录拦截、验证 最主要的就是一个token。 token的作用是这样的,先上图 登录时我们保存后端返回给我们的token,以后做任何事情,都要拿着这个令牌,不然人家不会认识你,处于安全考虑,当然不会给你返回任何数据。 后端验证token,可以使数据库不会被随意操控。而前端的验证,主要是控制用户在未登录应该无法进入到登录以后才可以查看的界面,或者减少相应的请求,那前端应该如何验证呢? 首...
【常用代码09】vue的路由守卫,实战案例,用户未登录无法进入后台页面,监听用户登录
qq_51055690的博客
10-03 1023
路由守卫,监听未登录,跳转登录页面
Springboot Springsecurity 用户身份认证、登录拦截
yh_nick的博客
12-16 8613
springboot应用中可采用spring security实现 用户身份验证,登录拦截,鉴权和攻击防护 功能。
sesstion防跳墙技术
05-23
它通过在用户登录后创建一个session,并在session中保存用户的登录和身份验证信息。当用户进行重要的操作时,Web应用程序将检查session中的信息以确保该用户已经通过身份验证,并且具有执行该操作的权限。如果...
springboot-springsecurity-jwt-demo
01-28
传统的方法是在认证通过后,创建sesstion,并给客户端返回cookie。 现在我们采用JWT来处理用户名密码的认证。区别在于,认证通过后,服务器生成一个token,将token返回给客户端,客户端以后的所有请求都需要在http头...
关闭浏览器触发 sesstion__end 来统计减少了客户端访问人
12-19
有很多网友提到 ,sesstion 到时间会触发 sesstion__end 来统计减少了客户端访问人,对于这样的问题网络上都含糊不清,这里告诉大家一个方法 1 在 config 页面中写入代码 2 建立一个关闭浏览器页面...
常见登录验证机制
weixin_30814223的博客
05-17 430
HTTP Basic Auth HTTP Basic Auth 简单点说明就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,尽量避免采用 HTTP Basic Auth。 OAuth OAuth(开放授权)是一个开放...
登录验证 --会话、会话跟踪技术cookiesession,jwt令牌)、 filter过滤器、interceptor拦截器相关基础知识
z1659079591的博客
05-23 511
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。JWT全称:JSON Web Token (官网:https://jwt.io/)定义了一种简洁的、自包含的格式,用于在通信双方以json数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的。Filter表示过滤器,是JavaWeb三大组件(Servlet、Filter、Listener)之一。过滤器可以把对资源的请求拦截下来,从而实现一些特殊的功能。
项目中注意点(cookie设置登录时效、请求拦截、响应拦截、转换formData、解决跨域、路由守卫、登录记录用户信息)
m0_66970189的博客
07-17 630
在vue.config.js中进行设置devServe。在api文件夹下的index.js中操作如下。
关于JWT登录拦截验证token方式一
weixin_46098310的博客
03-31 1934
SpringBoot+Mybatis-plus+Mysql+JWT
Forms Authentication timeout and Expiration
weixin_34138521的博客
06-22 392
本文不涉及session的timeout 在Forms Authentication里有两处涉及timeout:forms authentication ticket 与 forms authentication cookie 1. 设置 ticket 的 Expiration: var ticket = new FormsAuthenticationTicket( ...
登录校验,会话技术CookieSession,JWT令牌统一拦截技术,过滤器FIlter,拦截器Interceptor,全局异常处理器
暖阳爱学计算机的博客
05-23 155
会话:在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。需要注意的是:会话是和浏览器关联的,当有三个浏览器客户端和服务器建立了连接时,就会有三个会话。同一个浏览器在未关闭之前请求了多次服务器,这多次请求是属于同一个会话。会话跟踪:一种维护浏览器状的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。使用会话跟踪技术就是要完成在同一个会话中,多个请求之间进行共享数据。
登录的两种验证方式的区分:cookie和token
m0_73120712的博客
08-09 2099
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
app的登录认证与安全
热门推荐
MOKA
03-16 2万+
一、登录机制 粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曼诺尔雷迪亚兹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值