【SSO单点登录01】传统会话机制Session&Cookie的弊端

最新推荐文章于 2024-07-26 21:06:50 发布
最新推荐文章于 2024-07-26 21:06:50 发布
阅读量227 收藏
点赞数
分类专栏: SSO单点登录 文章标签: 服务器 servlet java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63546281/article/details/130000239
版权

专栏介绍

SSO单点登录专栏主要对比浏览器-服务端会话机制,阐述实现思路,结合在项目中应用单点登录引发的总结和思考,后续也会不断更新其他实用的知识点~

引言

我们知道,web应用采用browser/server架构,采用http作为通信协议。http是无状态协议,浏览器的每一次请求,都会被服务器独立处理。
但项目的某些资源或请求并不是每个用户都能去访问,需要保存浏览器会话对象。Cookie机制应运而生。

Cookie机制

cookie是浏览器用来存储少量数据的一种机制,数据以”key/value“形式存储,浏览器发送http请求时会自动附带cookie信息。
大体流程

  1. 浏览器在第一次访问后台服务器的时候,后台服务器会在服务端创建session对象,并存储到map中。key是session的id【JSESSIONID】,value是session对象本身.
  2. 服务端在响应后会把session的id通过cookie的方式写到客户端浏览器中.
    而浏览器会把JSESSIONID写入到本地的cookie中.
  3. 在后续的请求中,都会读取本地的cookie中的内容,并在请求的时候带上对应的cookie。即“一次登录,”
  4. 服务端可以通过cookie中的JSESSIONID,找到对应的session对象,相当于找到了浏览器那边的登录状态和身份信息,这样就实现了保持登录状态的作用
    我们可以在服务器端通过这样的设置指定cookie
                HttpSession session = req.getSession();
                session.setAttribute("userId", user.getId());
                //获取sessionid
                String sessionid = session.getId();
                //new一个cookie,cookie的名字是JSESSIONID跟带id的cookie一样
                Cookie cookie = new Cookie("JSESSIONID", sessionid);
                //设置cookie应用范围。getContextPath是获取当前项目的名字。
                cookie.setPath(req.getContextPath());
                // 以秒为单位 设置为1天有效
                cookie.setMaxAge(60 * 60 * 24);
                //用这个cookie把带id的cookie覆盖掉
                resp.addCookie(cookie);

使用Cookie通常会带来以下问题

  • 登录状态保存时间
  • 跨域问题
  • 安全问题
  • 内存占用
    下面我们来逐一论证一下
登录状态

默认情况下 session保存的有效时间为30min 当然 我们可以通过修改有效时间达到诸如7天免登录的效果

 cookie.setMaxAge(60 * 60 * 24);

也可以主动销毁session会话 也就是我们常说的登出

req.getSession().invalidate();

也就是 登录状态可以由我们开发人员简单的设定 就可以实现对登录状态的掌控

跨域问题

cookie携带会话id在浏览器与服务器之间维护会话状态,但cookie会局限于当前网站的域名。相当于每个网页都可以有对应的cookie,但彼此互不相通。

早期工程师多采用同域名共享cookie的方式实现多系统登录。比如设置分级域名如a.baidu.com,映射到顶级域名baidu.com上
可以在cookie中设置域名
cookie.setDomain(“baidu.com”);

但同时 也带来其他方面的困扰 比如

  • 需要在主域名上解析出子域名,但同时也使耦合度更高
  • 各集群服务器要采用同种形式的cookie机制 比如tomcat的key为JSESSIONID 不然可能无法通过其他服务器产生的有效cookie
  • 无法实现跨语言平台 只能使用同种语言
安全问题

cookie本身不安全 有CRSF攻击风险
关于CRSF理解

  • 跨站请求伪造
    跨站请求伪造(英语: Cross-site requestforgery),也被称为 one-clickattack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本 (XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。“
  • 跨站请求攻击
    跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个 I自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。相当于拿到别人的cookie,就拿到了别人的身份证 “为所欲为”。
    CRSF利用了 web 中用户身份验证的一个漏洞: 简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。”
内存占用
  1. 服务端需要存储session,占用内存高
  2. 不同服务器,无法共享session【分布式的场景】,这种情况下通常需要借助redis等数据库来做存储

下篇预告

本篇主要讲述传统会话机制的弊端 下篇将带来SSO的简介和实现思路 我们下篇再见~

For&Get
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSO - 使用cookiesession实现单点登录
江南烟雨却痴缠丶
06-22 3839
什么是单点登录 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的。 cookie+session实现单点登录 之前的文章有记录过使用CAS开源项目来实现单点登录,也有通过JWT来实现
探究Cookie如何实现单点登录
devilzcl的博客
05-30 2021
兄弟萌,单点登录SSO)这个概念或许大家并不陌生,但我想有些兄弟还是没搞清楚什么叫做单点登录,下面我们先来介绍一下什么是单点登录单点登录SSO):用户的一次登录能够得到其它所有系统的信任,便可在其它所有系统中得到授权而无需再次登录。 这个概念理解起来似懂非懂,下面直接用几张图来让大家理解: 登录京东首页,会看到有登录按钮,我们点击它可以登录登录成功后会返回发起登录请求的这个页面 我先不登录,我直接点击一个商品浏览,上方还是有登录按钮 如果我们在商品详情页面登录后,切换到首页发现也已
用户认证机制session认证的原理和缺点
魏波
10-12 1599
当我们第一次访问网站的时候,负载均衡将本地的请求分配到Web服务器A,那么session创建在Web服务器A,第二次访问的时候如果我们不做处理就不能保证还是会落到Web服务器A了。Session数据集中存储:将Session存入分布式缓存集群中,所有服务器应用实例统一从分布式缓存集群中存取Sessionsession机制方式基于cookie,在移动应用上无法有效使用,并且无法跨域,保持住会话的做法非常麻烦。(2)基于session认证的认证方式,可以更好的在服务端对会话进行控制,且安全性较高。
认证中心:基于cookiesession实现单点登陆
最新发布
m0_59925573的博客
07-26 415
当用户退出系统,需要做的是销毁局部会话以及cookie,重定向到认证中心的退出接口,认证中心从会话中获取令牌,销毁全局会话,清除redis中该token的用户信息,调用缓存中系统的退出接口,清除每个客户端的局部会话,接着跳转登录页面。系统2使用该令牌创建与用户的局部会话,返回受保护资源用户登录成功之后,会与sso认证中心及各个子系统建立会话,用户与sso认证中心建立的会话称为全局会话。用户访问系统1的受保护资源,系统1发现用户未登录,跳转至sso认证中心,并将自己的地址作为参数。不同域名之下(不同父域名)
Cookie + Session登录-Token登录-SSO 单点登录-OAuth 第三方登录
aliven1的博客
11-18 653
登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?今天我们就来介绍几种常用的登录方式。 Cookie + Session 登录 HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判断用户的登录状态。 为了解决 HTTP 无状态的问题
【No.1】基于Cookie单点登录SSO
独学而无友,则孤陋而寡闻
10-14 7685
这篇主要说明基于Cookie单点登录实现,以及Cookie的一些特性以及使用说明。 1、Cookie是什么,如何工作的       在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一个会话的,不能放
登陆验证发展史(cookie认证->session认证->token认证->JWT,单系统登陆->多系统单点登陆)
白白胖胖充满希望
01-27 1382
登陆验证发展史有两条主线。在服务部署方式层面,早期的Web服务系统简单一般都是单系统,登陆的话就登陆这一个系统就好了,随着系统复杂性越来越高,一个大的系统往往由很多子系统组成,用户使用这个大系统时不可能一个一个地单独去登陆每个小系统,理想的是只要登陆上了这个大系统或者其中的一个小系统,其它所有小系统都不需要再输密码什么的登陆了,直接访问,所以登陆验证就从单系统登陆演进为多系统的单点登陆。而在验证方式层面,经历了cookie认证->session认证->token认证->JWT的发展史。
IDaaS 技术解析 | 单点登录技术之 Token 认证
nidengxia的博客
09-03 2758
IDaaS 即提供基于云的身份认证和管理服务的平台,确保在准确判定用户身份的基础上,在正确的时间授予用户正确的应用、文件和其他资源的访问权限。IDaaS 能提供多种标准化功能帮助用户实现高效、安全的身份认证管理服务,如单点登录、智能多因素认证、账号生命周期管理等等。由于 IDaaS 在国内尚属于新兴产品形态,很多人对它只有模糊的印象,所以我们计划用一系列文章,深入浅出介绍 IDaaS 相关的技术原理和细节。本文是“IDaaS 技术解析”系列的第一篇。 单点登录在技术上涉及协议对接、认证方式等诸多细节,.
单点登录原理及手写实现
weixin_41300437的博客
07-05 927
1. 单点登录概念 单点登录在大型网站中使用较多,比如阿里旗下的淘宝,天猫,支付宝等,假如我登录天猫,在天猫上面买一件商品,然后要用支付宝进行支付,此时如果还要登录支付宝才能去支付的话,这样的用户体验是极差的,另外各个子系统也会因为这种重复认证的逻辑而疯掉。单点登录就是用户只需要登录一次就可以访问所有相互信任的应用系统,一句话概括就是:一处登录,处处登录,一处注销,处处注销 2. 单点登录演示 (1) 未登录淘宝和天猫时 (2)手机扫码登录淘宝,然后刷新天猫商城页面,可以看到,天猫商城也是登录状态了,此时
经典干货 | Taobao SSO 跨域登录过程解析
Java那些事
05-02 8570
目录基础知识测试过程禁用Cookie分布式Session 的常见解决方案思考Session 劫持与防范本质思考抓包工具介绍我们知道双十一是天猫的主场,双十二是淘宝的主场,你有没有注意到你在登录了淘宝后,访问天猫或者飞猪,你还是处于登录态的,但是我们知道cookie是不能跨域的。那么阿里是如何做到了多域名下的登录态同步呢?接下来我们通过抓包进行请求解析来了解这个过程。基础知识如果忘了Cookie和S...
IM开发基础知识补课(四):正确理解HTTP短连接中的CookieSession和Token
weixin_34014277的博客
04-09 1508
本文引用了简书作者“骑小猪看流星”技术文章“CookieSession、Token那点事儿”的部分内容,感谢原作者。 1、前言 众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种...
单点登录的两种实现方式,分别有啥优缺点
网络技术联盟站
06-02 2372
本文介绍了单点登录的两种实现方式:Cookie-Based SSO和Token-Based SSO,并对其优缺点进行了分析。可以看出,两种方案各有千秋,需要根据具体的需求进行选择。如果应用系统都在同一域名下,并且对安全性没有特别高的要求,则可以采用Cookie-Based SSO,实现方便快捷。如果应用系统之间跨域,并且需要较高的安全性保护,则可以采用Token-Based SSO,虽然实现较为复杂,但可以提供更好的安全和用户体验。
SpringBoot集成redis+cookie实现分布式单点登录
LT19990304的博客
03-29 621
因为涛哥刚进入公司,易哥在开发一个系统的迭代版本。现在有一个问题是考虑到在分布式部署时,移动端和PC sessionid的不同要实行单点登录和数据的共享。让我想想该如何实现,首先我就想到的是用redis,然后又去考虑什么异地登录的情况。结果回来通宵用jwt+redis+cookie集成实现了,刚开始想的也是直接在地址栏输入然后后台界面校验登录状态。后来发现思维有点混乱,想想倒不如重新想想。然后自己理清思路,决定用uuid+redis+cookie来实现。最后也就有了现在的最终版。
单点登录的相关问题?
weixin_42546299的博客
02-21 1630
为什么需要单点登录? 1)提高用户效率 原因:用户不必为多次登录而困扰,用户不必记住很多id和密码,用户忘记密码并求助支持人员的情况减少 2)提高开发人员效率 原因:sso为开发人员提供了一个通用的身份验证框架,实际上sso机制是独立的,开发人员不必为了身份验证而操作,只需对应用程序的请求附带一个用户名,身份验证即可完成 3)简化配置 原因:如果应用程序加入了单点登录协议,应用管理账号的负担就会减轻,简化配置的程度取决于应用程序,因为sso只处理身份验证,因此,应用程序仍然可能需要设置用户属
单点登录SSO)看这一篇就够了
weixin_33725807的博客
09-06 3750
背景 在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 ...
单点登录CAS实现
weixin_46894136的博客
06-04 8299
当用户尝试访问其他应用程序或系统时,这些应用程序或系统会向身份提供者发送身份验证请求,并使用之前获得的授权令牌进行授权。单点登录(Single Sign-On,简称SSO)是一种身份验证技术,它允许用户使用一组凭据(如用户名和密码)登录到多个应用程序或系统中,而无需在每个应用程序或系统中单独登录。当用户尝试访问其他应用程序或系统时,这些应用程序或系统会检查Cookie中的身份验证信息,并使用该信息进行身份验证和授权。使用单点登录技术,员工可以在这些应用程序之间无缝地切换,而无需在每个应用程序中单独登录
深入浅出单点登录---2、解决方案
热门推荐
u014526891的博客
03-14 1万+
设计方案-Cookie 概述 用户登录之后, 将认证信息存储至Cookie,当再次访问本服务或者访问其他应用服务时,直接从Cookie中传递 认证信息,进行鉴权处理。 问题 如何保障Cookie内用户认证信息的安全性? 第一, Cookie内不能存放用户名和密码等敏感信息, 可以生成一串Token进行替代; 第二, 通过加密方式存储Cookie信息,并且采用https加密方式传输,设定Cookie有效期,在服务端设定 Token的有效期,避免攻击者伪造用户身份。 如何解决跨域问题? 在实际应用中, 经常会
SSO 单点登录会话管理
weixin_33919941的博客
07-22 649
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值