鉴权的基本概念及session和cookie的入门认识

最新推荐文章于 2022-03-19 19:04:47 发布
最新推荐文章于 2022-03-19 19:04:47 发布
阅读量3.2k 收藏 8
点赞数 2
分类专栏: session和cookie的入门知识 文章标签: cookie session java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/only_zing/article/details/108296565
版权

说到鉴权,应该有很多人不太清楚鉴权是啥,有什么作用,那么这篇文章就先了解一下什么是鉴权,它有哪几种方式,然后对session + cookie有一个入门的了解

鉴权

鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。

常见的鉴权方式

常见的鉴权方式有以下4种方式:
1)HTTP Basic Authentication
2)token (常用的有JWT)
3)session +cookie
4)OAuth

第一种鉴权是HTTP协议实现的基本认证方式,这种认证方式一般用于对安全要求性不高的系统上。
第二种鉴权,我们常用的JET(JSON WEB TOKEN),JWT是通过对带有相关用户信息的json进行加密,加密的方式比较灵活。
第三种鉴权,session + cookie是通过服务器端的session和浏览器端的cookie来实现前后端的认证,但是sessionid是基于cookie存储的方式保存,如果cookie被截获,用户就容易受到跨站请求伪造的攻击,这是不安全的。
第四中鉴权, OAuth(开放授权)是一个开放标准;OAuth协议是目前最主要的用户身份验证和授权方式。

cookie

基本原理

cookie 是存放在客户端的。第一次访问时,服务器端查找请求头,没有cookie的信息,服务端就会像客户端发送一个cookie;后续的每一次请求中都会带上cookie信息。
从浏览器端到服务器端,cookie是以请求头的方式传递;从服务器端到浏览器端,cookie是以响应头的方式来传递的。

有效期

任何一个cookie,都是有效期,默认情况下:浏览器关闭时,就失效。
但是这个有效期可以设置,有如下两种方式:
1)第一种:

res.cookie('rememberme','1',{expires:new Date(Date.now()+9000),httpOnly:true});

2)第二种:

res.cookie('rememberme','1',{maxAge:90000,httpOnly:true});

90000就是设置的时间,可以根据你想要设置的时间来设置。设置时间后,即使关闭了浏览器之后,只要没超过时间,再打开浏览器,这个cookie仍是有效的。

session

定义

Session是将数据保存在服务器端的一种会话技术,可以将用户信息保存在各自的浏览器中,并且可以在多次请求下实现数据的共享。需要注意的是,session是基于cookie的。

有效期

默认的有效期就是当前会话结束(浏览器关闭)。
原因在于,session是基于cookie的,session的有效期其实就是cookie的有效期。

// 设置时间
cookie:{maxAge:60000}

session的基本使用

主要是两个操作,设置session和获取session。
在express中,要操作session,可以使用第三方的中间件 — express-session。

const express = require("express");
var session = require('express-session')
const app = express();
// 配置session
app.use(session({
    secret: 'wangcai',
    resave: false,
    saveUninitialized: true,
    cookie:{ maxAge:60000*10 }   // 因为session是基于cookie的
}))

app.get("/",(req,res)=>{
    req.session.userName = "xiaoxiao"; // 设置session  session数据保存在服务器
    console.log(req.session.userName) // 获取session
    res.send("学习session");
})
app.listen(3000)

所以在实现会话机制的时候,到底是选择session还是cookie呢?
如果有登录的操作,统一使用session。没有登录的操作,就使用cookie。

session和cookie的区别

1、cookie是基于浏览器端的会话技术,session是基于服务端的会话技术。
2、cookie不是很安全,可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,就会导致在每一次http请求中,都需要携带大量的cookie数据,会造成性能的损失,如果想从减轻服务器性能方面,应当使用cookie。
4、可以将登陆信息等重要信息存放为session,其他信息如果需要保留,可以放在cookie中.

only*z*
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Session-server:Session 鉴权服务
05-07
鉴权server 后端代码部分 相关技术: Koa Redis Cookie 相关设想分享 前端授权逻辑: 前端登陆,服务端返回cookie,颁发token, 有一个接口专门用来处理这个事情,也就是session服务, 前端在其他接口访问的时候将这个token作为authorize头部带给后端校验 cookie用户前端session拿token服务,前端不存取其他用户信息 后端校验,cookie如果存在,token也存在,对得上号,放行,那么假使此时token过期了,再给用户重发一个新的token 数据库vkey在登陆的时候塞回用户cookie,作为access token接口的唯一凭据,如果这玩意过期了或者不对,就定向登陆 cookie向服务端比对vkey的时候,查一次,然后这玩意存redis,再设定一段期限,这样频繁访问的时候稳妥一点 流程: 前端登陆 --> (账号密码) --> 颁
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2413
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSession和Token三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSession、Token鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
前后端鉴权Session-Cookie
zyooooxie的博客
12-28 416
Session-Cookie 认证
Session鉴权【登录】
qq_44182694的博客
03-19 820
我们经常会遇到去一个网站,当你执行一个操作的时候需要登录 那么网站或者app是如何获知我们是否登录的呢? 今天介绍一个比较经典的方法 httpsession Session在HttpServletRequest request //serivce层 //将之前mapper层的注入过来 @Autowried private SysUserService sysusermapper; public Returndata login(Sysuser user,HttpServletRequest reques
前后端鉴权session-cookie
p1967914901的博客
11-10 959
前后端鉴权session-cookie前后端鉴权session-cookie什么是Cookie?什么是SessionSession 的存储方式node.js 下的 session 处理简单实现缺点 前后端鉴权session-cookie 什么是CookieCookie 就是访问者在访问网站后留下的一个信息片段。它存储在客户端(通常来说是浏览器)。你可以把cookie当作一个map,里边是键值对,每个键值对有过期时间、域、路径、脚本可否访问等描述信息;描述信息存储在客户端,客户端请求时,默认会带上
带你了解sessioncookie作用原理区别和用法
08-29
主要介绍了sessioncookie作用原理,区别和用法,以及使用过程中的优缺点,通过列举区别和原理,使读者更能理解两者之间的关系,需要的朋友可以参考下
SessionCookie 的区别.md
01-28
typora笔记
C#CookieSession操作类库工程源码.zip
04-22
清除指定Cookie 获取指定Cookie值 添加一个Cookie(24小时过期) 添加一个Cookie Session 操作类 根据session名获取session对象 设置session 清空所有的Session 删除一个指定的Session 删除所有的session 添加...
JAVA通过SessionCookie实现网站自动登录的技术
最新发布
10-25
JAVA通过SessionCookie实现网站自动登录的技术
SessionCookie的区分与解释
10-30
SessionCookie的区分与解释
JavaWeb使用SessionCookie实现登录认证
08-31
本篇文章主要介绍了JavaWeb使用SessionCookie实现登录认证,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
CookieSession的区别.txt
03-20
介绍CookieSession的区别,适合做技术开发人员
CookieSession和Token三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
php sessioncookie使用说明
12-18
1. PHP的COOKIE cookie 是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制。PHP在http协议的头信息里发送cookie, 因此setcookie() 函数必须在其它信息被输出到浏览器前调用,这和对header() 函数的限制类似...
cookie session 的概念和基本用法
04-12
cookie session 的概念和基本用法 能够创建、发送、接收、删除cookie 能够获取session对象、添加、删除、获取session中的数据
koa2实现session-cookie和token的鉴权
weixin_33841503的博客
05-15 1000
前后端鉴权一直是web开发的常见问题,今天就用一个demo来总结下常见的session和token鉴权方式。session鉴权我们用代码来说明。session-cookie鉴权关键的一点是在服务端保存session,我们这边用redis进行保存,然后给客户端发送cookie。当客户端访问服务端时,携带cookie,而这cookie就是redis保存session的key,能拿到对应的session...
session和token鉴权方式
weixin_40611700的博客
10-19 1118
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
CookieSession鉴权
m0_47127594的博客
12-16 1540
作为一个测试工程师,做接口自动化时,难免会遇到接口之间的关联以及登录接口等,所以了解cookiesession、token是必备的,下面这篇文章来给大家简单介绍Cookie: 一、Cookie 1、什么是Cookie? 目前大部分网络都是采用HTTP协议,那么HTTP协议本身是没有状态的。等同于,服务器无法判断用户的身份,cookie实质是以一个Key-value格式保存的。客户端向服务器发送请求时,response向客户端发送一个cookie,客户端将此cookie保存起来(保存于客户端),当浏览器再次
接口鉴权cookiesession 和token
wtf0712的博客
06-19 2228
一、鉴权 鉴权是指验证用户是否拥有访问系统的权利—鉴定权限 二、cookiesession和token 为什么会有cookiesession和token? 1、 http是无状态协议 什么是无状态呢? 答:当前请求和上一次或者下一次请求是没有任何关系的,好处是速度快,坏处是无法共享信息。 2、 互联网的兴起 以前的网站,基本用来查看些文件或者图片,作为服务器不需要记录谁来放访问...
简述sessioncookie的概念与各自的执行流程
04-14
Sessioncookie是Web应用程序中常用的两个概念,主要用于实现跟踪用户状态和实现持久化登录。 Cookie是一小段文本信息,通过Web服务器发送给客户端(通常是浏览器),然后保存在客户端,每次请求页面时会带上这段信息,用于辨识用户状态。Cookie被广泛应用于记住用户信息、实现购物车等功能。 Session则是一种服务器端的机制,用于存储特定用户会话所需的信息。当用户第一次访问网站时,Web服务器会为该用户创建一个唯一的session ID,用于标识该用户的会话。其后的所有请求都会带上这个session ID,服务器通过这个ID来获取对应该用户的session信息。 执行流程上,Cookie会在服务器端通过Set-Cookie头部信息发送给客户端,客户端收到Cookie后保存在本地,每次请求都会在请求头部带上Cookie信息。Session则是由服务器端负责创建和维护,具体的实现方式有多种,可以存储在内存、磁盘或数据库中,通常会有一个session manager管理所有的session。 当一个请求到达服务器时,服务器会首先判断请求中是否带有Cookie信息或Session ID,如果有,则会根据ID去获取对应的用户信息,否则,就说明用户是第一次访问,需要创建一个Session,并在回复的响应中将Session ID添加到Cookie中,以便下次请求时识别该用户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值