面试题:常用的认证机制之session认证和token认证

于 2024-07-25 08:55:36 发布
阅读量348 收藏 3
点赞数 9
分类专栏: 面试题 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maizixuetang/article/details/140679365
版权

一、session认证


1、session认证的过程


前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中;
浏览器接下来的操作为:将响应头中的set-cookie字段的值取出来把它放到cookie中,下一次请求接口的时候,浏览器会自动将cookie中的sessionid字段传给后端,而后端将sessionid取出来,去会话表中查找,如果一致登录成功,否则登录失败;如果sessionid时间超时,也会登录失败。

如果没有这种cookies机制,我们不管干嘛都得登录;有cookies机制,只要我们有合法的sessionid,并且sessionid没有过期就可以正常访问。

会话id(session_id)是后端django生成的

2、session认证示意图


3、session认证机制的特点:
session保存在服务端,大量的用户进行登录操作,数据会存放大量的数据;会增加服务器开销
分布式架构中,难以维持session会话同步
csrf攻击风险

二、token认证


1、token认证的过程


a、客户端使用用户名和密码请求登录
b、服务器收到请求,去验证用户名和密码
c、验证成功后,服务器会生成一个token,再把token发送给客户端
d、客户端收到token以后把它存储起来,放到会话存储或者本地存储中(浏览器关掉后,存放在会话存储中的内容被清空,本地存储会永久存放,除非手动删除本地存储内容),
e、客户端每次向服务端请求资源的时候需要带着服务端返回来的token
f、服务端收到请求后,去验证客户端请求里面带着的token,如果验证通过,就向客户端返回响应数据

2、token认证示意图


3、token认证机制的特点


token保存在客户端,不保存在数据库;不会增加服务器开销,性能更好
跨语言、跨平台
拓展性强
鉴权性能高
cookie是专门保存身份信息的

别说我不爱运动
关注
专栏目录
面试题:说说 Cookie、SessionToken、JWT?
xuxu96
12-03 564
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)互联网中的认证:用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
前后端身份认证session身份认证,JWT认证
lalala_dxf的博客
05-06 1533
什么是身份认证身份认证(Authentication)又称“鉴权”,是指通过一定的手段,完成对用户身份的确认。生活中常见的身份认证有:高铁的验票乘车、手机密码或指纹解锁,支付宝或微信的支付密码验证等。而在Web开发中,涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录,二维码登录等。为什么要身份认证HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。有些情况下即使是打开同一个网站的不同页面也都要重新登录。
【SpringSecurity】十三、基于Session实现授权认证
最新发布
llg___的博客
03-19 996
定义三个接口,登录,服务端保存session,登出,让session失效。以及一个资源接口,查看当前是登录访问资源,还是未登录访问资源。客户端下次再请求,就带上sid,服务端校验是否存在对应的session,存在则不要求用户再登录了。服务端返回给客户端session id (sid),被客户端存到自己的cookie中。用户认证成功后,服务端生成用户数据保存在session中。拦截器add并放行/login,只测/r**接口。修改实体类,加个权限字段,存储用户权限。加个测试资源接口/r2。
Session认证机制
weixin_45650502的博客
03-28 5465
不同开发模式下的身份认证: (1)服务端渲染推荐使用Session认证机制; (2)前后端分离推荐使用JWT认证机制
常用认证机制session认证token认证
python全栈
08-13 4442
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中; 浏览器接下来的操作为:将响应头中
Session 认证Token 认证
abc_138的博客
01-02 1227
概念:JWT 全称 JSON Web Token,是一种基于 Token认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
session认证机制和JWT token认证机制
qq_42349528的博客
02-21 1034
session认证机制和jwt token认证机制 web开发模式 身份认证
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3988
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
一次搞明白 Session、Cookie、Token,面试问题全搞定.pdf
04-18
在标签"面试 php session cookie token"中,我们看到提到了PHP语言,这暗示文档可能会涉及PHP在处理Session和Cookie时的特定细节,同时也会讲述Token的使用,这通常与OAuth、JWT(JSON Web Tokens)等认证机制相关。...
TokenSession有什么区别,面试官满意的答案
分享软件测试技术和学习方法
08-11 660
在接口的响应结果中,经常会出现类似这样的返回值。{}往往需要在访问下一个接口时传递 token 数据。所以 token 本质上就是用户信息通过编码转化成另一种形态得到 token, 再通过 token 解码得到用户数据。......
接口测试经典面试题Session、cookie、token有什么区别?
linger7725的博客
12-16 84
HTTP是一个没有状态的协议,这种特点带来的好处就是效率较高,但是缺点也非常明显,这个协议本身是不支持网站的关联的,比如https://ceshiren.com/和https://ceshiren.com/t/topic/9737/7这两个网站,必须要使用别的方法将它们两个关联起来。当用户访问带 cookie 浏览器时,这个服务器就为这个用户产生了唯一的 cookie,并以此作为索引在服务器的后端数据库产生一个项目,接着就给客户端的响应报文中添加一个叫做 Set-cookie 的首部行,格式为 k:v。
前端面试题:Cookie与Token的区别与应用场景
"这篇文档主要讨论了前端面试中常见的技术问题,特别是关于`cookie`和`token`的区别,这是理解Web应用身份验证机制的关键知识点。文档指出,现代前端工程师需要具备广泛的技能,包括移动端、HTTP网络和Node.js等方面...
Cookie、SessionToken认证
糖小喵
04-29 218
前言:HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。不然有些情况下即使是打开同一个网站的不同页面也都要重新登录。而Cookie、SessionToken就是为了解决这个问题而提出来的两个机制 用户通过浏览器登录一个网站,在该浏览器内打开网站其他页面时,不需要重新登录。而HTTP是无状态的协议,那么网站后端是如何判断用户已经登陆了呢?不同的网站,判断用户登...
用户认证Session
weixin_40270125的博客
01-02 996
密码和证书等认证手段,一般仅仅用于登录的过程。当登录成功后,就需要替换一个对用户透明的凭证,就是SessionID。 当用户登录完成后,在服务器端就会创建一个新的会话(Session),会话中保存用户的状态和相关信息。服务器端维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可。为了告诉服务器应该使用哪一个Session,浏览器需要把当前用户持有的Session...
Cookie,sessiontoken机制详解及区别
qq_37635012的博客
04-09 7048
很多时候笔试题就有这道题,Cookie,sessiontoken的区别是什么?什么场景适用于Cookie?什么场景适用于session?今天,我们一起来学习一下。 Cookie 由于HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了Cookie。Cookie实际上是一-小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,服务端就使用...
session身份认证机制
qq_43781887的博客
10-12 882
本博客讲述session身份认证机制,在了解session身份认证机制之前,需要先了解以下内容。前端身份认证主要分为两种,一种是Session身份认证,一种是JWT身份认证。(3)Session身份认证的工作原理(重要!(4)在Express中使用session认证。服务端渲染推荐使用session认证机制。前后端分离推荐使用JWT认证机制。Cookie在身份认证中的作用。Cookie不具有安全性。(1)HTTP无状态性。提高身份认证的安全性。
php session应用实例--登录验证
遇见_缘
02-26 769
<br /> <br /><br /> <html>  <head>  <title>Login</title>  <meta http-equiv="Content-Type" content="text/html; charset=gb2312">  </head>    <body>  <form name="form1" method="post" action="login.php">    <table width="300" border="0" align="center" cellpadd
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值