一文搞懂cookie,session,token,JWT到底是怎么进行验证的???

最新推荐文章于 2024-05-15 21:50:30 发布
最新推荐文章于 2024-05-15 21:50:30 发布
阅读量1.4k 收藏 25
点赞数 40
文章标签: cookie session token JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66925868/article/details/137377163
版权

文章目录

HTTP 协议是一种无状态协议,每次服务端接收到客户端的请求时,都是一个全新且独立请求,这样就无法获取历史请求的记录,为了解决这种机制,让某个域名下的所有网页能够共享某些数据,就引出了cookie和session。

cookie

Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下一次向同一服务器再发起请求时被携带并发送到服务器上,服务器通过读取 Cookie 信息,就可以判断该请求来自哪个客户端以及其他的信息。由于他是存储在客户端的,所以很容易被查看和修改,不是很安全,于是引入了session。

  1. 客户端发送请求
  2. 服务端返回响应,并在请求头中添加cookie
  3. 之后客户端再请求时,携带cookie
  4. 服务端验证cookie并响应

session

Session是一种在服务器端存储用户状态的机制。与Cookie不同,Session数据存储在服务器上,而不是客户端。

一般情况下cookie和session都是一起使用:

  1. 客户端发送请求
  2. 服务端创建一个session,并再返回响应时把sessionid添加到请求头中的cookie中。
  3. 客户端发送其他请求时,携带cookie,服务端用它包含的sessionid找到session
  4. 服务端验证session后响应

session 是基于 cookie 实现的,在set_cookie时添加了sessionid(一段没有规律的乱码),所以即使客户端的cookie泄露了也不会被理解,所以就更加安全。

但是,这样又会很占用服务器的资源,但同时有很多人需要验证的时候,需要服务端一个一个根据传过来的sessionid到数据库验证。

如果使用集群部署的话,如果在创建session是在A服务器,但是下一次由于负载均衡可能就到另一台服务器了。

token

Token是一种安全机制,通常用于API的身份验证和访问控制。Token通常是一个加密的字符串,代表用户的身份和权限。

JWT就是token的一种实现方式,并且基本是java web领域的事实标准。JWT全称是JSON Web Token。基本可以看出是使用JSON格式传输token。

JWT

JWT的根本其实就是进行签名,把信息通过一种加密方法(密钥)得到加密过后的签名,把原信息和加密过后的签名一起发送给客户端,当客户端再次访问的时候携带它们,服务端只需要通过自身拥有的密钥验证一下信息是否被篡改。如果客户端发送的信息通过密钥得到的签名与服务端自身保存的签名不一致说明信息被篡改了。

在这里插入图片描述

JWT实际上就是一段经过base64编码(非加密)过后的字符串,由三部分组成:

  • 头部(Header):包含了签名算法和类型,用于指定如何对有效载荷进行编码和签名
  • 载荷(Payload):包含了用户的身份信息和其他自定义数据
  • 签名(Signature):是对标头和有效载荷进行签名后得到的值,用于验证token的完整性和真实性

把Header.Payload通过一种密钥加密后生成签名,签名在经过base64编码生成的Signature。将三者用点号相连并返回给客户端,密钥永远不会传递给客户端,密钥只保存在服务端。客户端在访问时携带JWT,JWT包含的这三部分,可以通过密钥判断信息是否被篡改和伪造。

其实你会发现JWT整个过程中不涉及加密,不过就是经过了base64编码,可以被轻松的解码,所以其实整个过程就是明文传输,在使用JET的时候不应该传输密码这样的重要的信息。

在这里插入图片描述

  1. 客户端发送登录请求
  2. 服务端生成Token,包含用户的信息,返回响应时将Token作为相应的一部分
  3. 当用户再次访问时,在请求Authorization头部中包含这个Token
  4. 服务器验证Token并响应

比较

CookieSessionToken
存储位置客户端服务器端客户端
生命周期根据设置,可长可短通常与用户会话相关,会话结束时失效可设置过期时间,过期后需重新认证
安全性较低,可被客户端脚本访问较高,数据存储在服务器端依赖于签名和加密算法,但需注意保护密钥
传输方式每次HTTP请求自动发送仅在用户登录时创建,后续请求通过Session ID引用每次请求需显式携带
性能影响频繁读写可能影响性能服务器端存储大量会话可能影响性能无状态,性能影响较小,但需考虑Token解析和验证
跨域支持受同源策略限制通常不支持跨域支持跨域,但需确保安全传输(如使用HTTPS)
适用场景适合小型会话数据和个性化设置适合需要服务器跟踪用户状态的场景适合无状态应用、API认证和跨域请求
防篡改能力较弱,易受XSS和CSRF攻击较强,因为数据不在客户端通过签名算法提供较强的防篡改能力
优点跨页面共享信息 - 用户体验好,无需重复登录- 信息安全,存储在服务器端 - 适合保持状态 - 适合分布式部署- 无状态,适合RESTful API - 跨域请求支持 - 用户信息存储在Token中,减轻服务器压力 - 支持自定义负载和声明
缺点- 安全性较低,易受攻击(如CSRF、XSS) - 隐私泄露风险 - 可能影响性能,尤其是大量小文件传输- 会占用服务器资源 - 分布式部署时存在问题,需要额外机制如Redis共享Session- 密钥管理复杂,一旦泄露可能导致安全问题 - 过期后需要重新认证,可能导致用户体验下降 - 需要服务器和客户端的配合,配置不当可能导致安全问题

若有错误与不足请指出,关注DPT一起进步吧!!!

叫我DPT
关注
cookiesessionToken的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 534
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
一文详解jwt token以及sprig boot如何整合实现 jwt token操作
念兮为美
09-26 1784
一文详解jwt token以及sprig boot如何整合实现 jwt token操作。
什么是 JWT? 如何基于 JWT 进行身份验证
JavaMonsterr的博客
07-08 3585
JWT (JSON Web Token) 是目前最流行的跨域认证解决方案,是一种基于 Token 的认证授权机制。从 JWT 的全称可以看出,JWT 本身也是 Token,一种规范化之后的 JSON 结构的 TokenToken 自身包含了身份验证所需要的所有信息,因此,我们的服务器不需要存储 Session 信息。这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。可以看出,JWT 更符合设计 RESTful API 时的「Stateless(无状态)」原则 。并且, 使用 Token 认证可以有
服务器如何验证jwt,使用JWT实现前后端权限验证
weixin_33007509的博客
07-30 8105
本帖最后由 菜肉果蔬 于 2018-11-26 16:23 编辑一、JWT简介JWT是json web token缩写。是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,如下所示,登录时发送如下信息:...
JWT 接口验证
join_null的博客
08-16 1930
https://blog.csdn.net/qq_40081976/article/details/79046825
.NET 实现 JWT 登录验证
qq_45798312的博客
04-15 1535
本篇博文通过一个简单的案例,介绍了如何使用 C# .NET 实现 JWT 登录验证,并处理用户信息的加密、刷新 Token、各种验证规则等功能。
服务器验证JWT_token的过程
ThinkStu的博客
02-14 6507
最后总结一下,这种验证方式最主要的安全措施就是把哈希运算的盐值secret_key始终保存在各大服务器中,并不对外公布。但是如果盐值泄露则会造成不可挽回的损失,即其他人也可以拿着盐值对任意用户进行签名,伪造登录。那么如何才能避免这种情况呢?使用非对称加密加强JWT验证
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
Fatter$hday的博客
05-24 3537
一文搞懂Cookie+Session,Redis+TokenJWT三者的区别
一文读懂CookieSessionTokenJWT
htong521的博客
02-23 213
什么是认证(Authentication) 什么是授权(Authorization) 什么是凭证(Credentials) 什么是 Cookie 什么是Session CookieSession 的区别 什么是 Token(令牌) TokenSession 的区别 什么是 JWT TokenJWT 的区别 常见的前后端鉴权方式 常见的加密算法 常见问题 ...
一文读懂】 Http之Cookie SessionToken
zyq8514700的博客
10-21 353
来源引用链接{本文仅用于笔记} 【WHY】Http是一个无状态协议 什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是假如我们想要把www.zhihu.com/login.html和www.zhihu.com/index.html关联起来,必须使用某些手段和工具。 现在我们来想一个复杂的场景,如在购物网站上买...
SpringBoot使用JWT进行身份验证
无心
07-16 1435
如果你修改了负载中的数据(这是 JWT 中包含的实际信息,如用户 ID、过期时间等),那么这些数据可能无法被正确解析,或者可能导致验证错误(例如,如果你把过期时间改为了过去的时间,那么 JWT 将被视为已经过期)。:如果你修改了 JWT 的格式(例如,删除了某个部分,或者改变了部分之间的点号分隔符),那么 JWT 可能无法被正确解析,这将导致错误。:如果 JWT 过期了,服务器可能会返回一个新的 JWT 给用户,或者让用户重新登陆,以便他们可以继续发送合法的请求。:服务器接收到请求验证用户名和密码。
JWT的大概验证流程
ly0712__的博客
10-11 570
JWT + Spring Security 安全认证流程
JWT的认证过程
最新发布
zcBaluga的博客
05-15 195
2.后端核对账号密码成功后,把用户id等其他信息作为JWT 负载,把它和头部分别进行base64编码拼接后签名,形成一个JWTtoken)。因为Token是作为JSON加密的形式保存在客户端,所以JWT是跨语言的,原则上是任何web形式都支持。通过JSON形式作为在web应用中的令牌,可以在各方之间安全地把信息作为JSON对象传输。传统的token验证需要在服务端保存一份tokenJWT不需要保存只需要在服务端进行验证。5.验证通过后后端使用JWT中包含的用户信息进行其他的操作,并返回对应结果。
JWT 的认证流程
生命不息,挖坑不止
06-28 1513
4、用户将 JWT 存储在本地,通常是 cookie 或者 localStorage。6、服务器会验证 JWT ,如果验证通过,则会处理请求,返回数据。3、一旦凭据验证成功,服务器会创建一个 JWT 并返回给用户。5、用户每次向服务器发送请求时,都会在请求头中包含 JWT。7、如果用户注销或者 JWT 过期,服务器会拒绝请求。1、用户使用用户名和密码登录。2、服务器验证用户凭据。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
基于jwttoken验证、原理及流程
z_ssyy的博客
05-31 7608
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
如何使用JWT进行身份验证与授权
dotNET跨平台
05-05 2231
简介JWT定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。工作流程1、用户使用账号、密码登录应用,登录的请求发送到认证服务器。2、认证服务器进行用户验证,然后创建JWT字符串返回给客户端。3、客户端请求接口时,在请求头带上JWT。应用服务器验证JWT合法性,如果合法则继续调用应用接口返回结果。数据结...
一文彻底搞懂cookiesessiontokenjwt
酷奇的博客
03-02 1248
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 TokenJWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证TokenJWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、TokenJWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
JWT 登录认证
国内某知名游戏公司小菜鸡工程师
07-04 5186
分布式跨域认证的解决新方案
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。...jwt:是一种基于token的身份验证和授权机制,使用JSON格式存储用户信息和有效期限等信息,具有安全性高、可扩展性强等优点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叫我DPT

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值