Session + JWT + Cookie

于 2024-05-29 17:58:55 发布
阅读量509 收藏 7
点赞数 5
文章标签: 状态模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25919495/article/details/139300584
版权

00:HTTP无状态(为了保持状态,前端好麻烦,又要自己存,又要想办法带出去,于是使用cookie

01:Cookie  将用户信息,在每次请求时候 带给后端(但是自己存储大小有限,同时不太安全,但是是基石)

02:Session 用户登录,后生成一个SessionId(该Id用来映射在服务端用户的信息使用),然后返回给前端,前端请求的时候在将SessionId带给后端,后端根据它再去验证(需要每次查询数据库)(通过cookie将sessionId带过去

03:JWT 通过cookie将sessionId带过去

JWT 生成和验证的过程

1. 用户登录并生成JWT

    用户登录 :          用户通过前端提交登录请求(通常包含用户名和密码)到服务器. 

    验证用户信息:    服务器验证用户名和密码是否正确.

    生成JWT:

        服务器生成JWT的三个部分: Header、Payload、Signature.

        Header: 指定JWT的类型和签名算法.例如:

            {

                "alg": "HS256",

                "typ": "JWT"

            }

        Payload: 包含用户信息和其他声明.例如:

            {

                "userId": "123456",

                "username": "user1",

                "role": "admin",

                "iat": 1623847200,  // 签发时间

                "exp": 1623850800   // 过期时间

            }

        Signature: 使用Header和Payload, 加上服务器的密钥, 按照指定的签名算法生成签名.例如, 使用HMAC SHA-256算法生成签名

    返回JWT给前端:      服务器将JWT(Header + Payload + Signature)返回给前端.
 

2. 前端携带JWT进行请求

   前端存储JWT:       前端将接收到的JWT存储在localStorage、sessionStorage或Cookie中.

   请求时携带JWT:    前端在后续请求的HTTP头部中携带JWT:

3. 服务器验证JWT

    提取并解析JWT:     服务器从请求头中提取JWT, 并将其分成Header、Payload和Signature三部分.

  重新生成签名:           服务器使用Header和Payload, 再次生成签名:

    验证签名:                 服务器比较重新生成的签名和JWT中的原始签名: 

  检查有效期:                服务器检查Payload中的过期时间(exp)是否过期:     

  完成验证:                   如果签名验证通过且JWT未过期, 说明JWT是有效的, 服务器可以信任JWT中的用户信息.

   

前端菜菜
关注
JWT结合Springboot+shiro,session、token同时存在来应对不同的业务场景(物联网设备管理及开放api)...
weixin_34246551的博客
12-09 2597
2019独角兽企业重金招聘Python工程师标准>>> ...
Session+Redis,Token+Redis,JWT+Redis,用户身份认证,到底选择哪种更合适?
最新发布
Java程序员专栏
05-31 1144
在选择用户身份认证方案时,需要根据具体的应用场景和需求进行评估和选择。如果应用需要长时间保持用户登录状态,且对性能要求不是特别高,可以选择Session+Redis方案。如果应用需要频繁验证用户身份,且对性能要求较高,可以选择Token+Redis方案。如果应用是分布式系统或微服务架构,需要实现无状态的身份验证和授权,可以选择JWT+Redis方案。需要注意的是,以上方案并不是孤立的,可以根据实际情况进行组合和优化,以满足特定的业务需求。同时,无论选择哪种方案,都需要确保系统的安全性和稳定性。
【项目实践】一文带你搞定SessionJWT
hayhead的博客
02-18 337
【项目实践】一文带你搞定SessionJWT
SpringCloud下SessionJWT使用
thciwei的博客
12-21 1335
作者Gitee地址 https://gitee.com/thciweicloud 作者项目 面包博客,一个微服务架构的前后端分离博客系统。 前段时间面包博客整合第三方登录时需要获取用户的具体信息,并提供给前端使用,想到了使用session,之后发现对于前后端分离项目并不合理,最后采用了token的方式顺畅解决了问题 Session一致性 因为分布式场景下session容易不一致,父域和子域session不共享,且网络性能更是重要的一环,在此场景下大致有三种解决方案 1.开启tomcat自带的session
分布式Session解决方案_Token + JWT
Gblfy_Blog
02-14 807
文章目录1. 实现流程 1. 实现流程 1.安装redis服务并启动 2.引入Spring Session组件 3.演示同一程序启动8081端口和8082端口模拟2个服务器分布式 4.调用8081登录接口 5.调用8081获取用户信息接口 6.调用8082获取用户信息接口 ...
[java]关于Session&关于Token&关于JWT
YJH000_的博客
06-10 884
从软件技术上,可以使用Session机制来识别客户端的身份,当某个客户端第1次向服务器端发起请求,服务器端会生成一个随机的Session ID(本质上是一个UUID值)并响应给客户端,后续,客户端每次请求时,都会携带这个Session ID来访问服务器端,而服务器端的内存中,使用K-V结构记录每个客户端对应的数据,使用Session ID作为Key,所以,每个客户端在服务器端都有一份属于自己的数据,这个数据就是Session。访问官网的主页,就可以看到JWT的数据表现格式 (下图红色框)。
jwt的认证流程和使用案例(session和token两种方式)
健康平安的活着的专栏
06-25 2961
传统session是保存在服务器内存中的,而JWT是保存在浏览器本地的,使用JWT的好处就是不占用服务器的内存
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
在这个系统中,JWT替代了传统的Session+Cookie认证方式,减少了服务器的压力,同时也使得用户在不同域之间的交互变得更加简单。JWT包含用户信息,并通过签名确保数据的完整性和安全性。 Jedis是Redis的Java客户端,...
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7830
Springsecurity是Spring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和SessionCookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
CookieSessionJWT的详解
miaozy
04-10 1471
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
【身份认证】-----session+jwt
Primary_Insist的博客
10-28 705
目录 一、Session认证机制 Ⅰ.Cookie Ⅱ.Session的工作原理 Ⅲ.在Express中使用session认证 二、JWT认证机制(JSON Web Token) Ⅰ.JWT工作原理 Ⅱ.JWT的组成部分 Ⅲ.JWT使用方式 Ⅳ在Express中使用JWT 如何做反向代理解决跨域问题 本地node服务器开启cors,负责请求的转发和数据接收回传 身份认证 通过一定的手段,完成对用户身份的确认 ①服务器渲染推荐使用Session认证机制 ...
身份认证——session认证机制与JWT认证机制(入门到使用
世界和我们都不该止步于此
04-19 4433
首先我们要了解什么是身份认证(Authentication)? 身份认证也叫身份验证或者鉴权,指通过一定的手段来完成对用户身份的验证 我们会使用sessionJWT认证机制进行开发,那么我们在什么情况下使用这俩个认证机制呢? 推荐在服务端渲染开发情况下使用session认证机制 在前后端分离的Web开发环境下使用JWT认证机制 目录 一.session认证机制 1.HTTP协议的无状态性 2.Cookie突破HTTP无状态的限制 3.Cookie的缺点 4.提高身份认证的安全性 5.
Redis实战之共享session + jwt 实现登录拦截、刷新token
qq_54429571的博客
11-28 2365
Redis实战之共享session + jwt 生成 token、实现登录拦截、刷新token等功能。
sessionjwt 认证机制
u012138854的博客
11-19 616
1.什么是身份认证 身份认证(Authentication)又称“身份验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 ⚫ 日常生活中的身份认证随处可见,例如:高铁的验票乘车,手机的密码或指纹解锁,支付宝或微信的支付密码等。 ⚫ 在 Web 开发中,也涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录、二维码登录等。 2.不同开发模式下的身份认证 ① 服务端渲染推荐使用 Session 认证机制 ② 前后端分离推荐使用 JWT 认证机制 1. Session 认证机制 1. HT
SessionJWT(实现JWT刷新与后端限制授权)
泠青的博客
10-21 6953
后端项目地址就不剥离开了,自己解读(中间件那) 前端项目地址(可能是空的,为还没上传O(∩_∩)O哈哈~)前言Hello World!怕是大多数程序员写的第一句代码了吧。我就是用C语言写的第一个代码就是它了。虽然现在没有从事有关C语言的工作,不过还是受益于学习它所经历的每一行代码。 登录注册怕是写web应用里的Hello World!级存在了。第一份工作做的是j2ee和app,做的第一个模块就算
一篇文章带你了解 cookie+session+jwt+OAuth 四大金刚
qq_43477721的博客
04-08 417
鉴权就是判断用户是否有权利登录该网站 鉴权的过程 常见的鉴权 Session / Cookie 优点 - 较易扩展 - 简单 缺点 - 安全性低 - 性能低,服务端存储 - 多服务器同步 seesion 困难 - 跨平台困难 JWT(JSON Web Token) 优点 - 易扩展 - 支持移动设备 - 跨应用调用 - 安全 - 承...
JWTSession的区别
时光偏执的博客
12-23 1万+
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的...
JWT 是什么?开发中的Session与Token
对未来充满疑惑的人的博客
07-09 199
JWT 是什么? Json Web Token 的缩写 是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑
Shiro禁用Session使用SSM+JWT+Shiro进行无状态RESTful API
热门推荐
tobe27的博客
08-19 2万+
本文源码:github 上一篇Shiro的demo:SpringMVC框架下使用shiro权限管理 最近一直在研究Shiro,因为项目里面要使用Shiro进行权限控制。由于项目不只是在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值