登录验证基础cookie-session-token

最新推荐文章于 2022-08-29 15:48:04 发布
最新推荐文章于 2022-08-29 15:48:04 发布
阅读量412 收藏
点赞数
分类专栏: JavaWeb基础 文章标签: session token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25929565/article/details/103219164
版权

原理篇

前言:

HTTP是无状态的协议。浏览器先后两次发起请求,服务器不会知道你是同一个人。

但是除去静态的资源库,几乎所有的web应用都需要记录身份。

Cookie:

cookie是存在于浏览器中的一种<K,V>数据结构。cookie有两个关键参数,Age/Path(Domain+Path)。这两个参数决定了存活时间以及访问什么URL会携带cookie

cookie实现验证的过程如下:

  1. 初次登录,request携带username/password
  2. 服务器验证成功,response.addCookie(new Cookie(key,value));
  3. 后续访问,拦截器request.getCookies()。获取健为key的value值~~后续操作

第二步中,如果说验证了用户名密码之后,直接new Cookie("user",username)。拦截器直接获取key="user"的cookie,这其实已经做到了登录验证,不过这个风险太大了。基本没有用

如果保险一点,比如我生成一个UUID,new Cookie("uuid",uuid)。同时将这个UUID存入数据库,table(user,uuid),在拦截器中可以通过select user from talbe where uuid=#{uuid}的方式

Session:

cookie中说的保险一点的方式,其实就是Session的思想。

session实现验证的过程如下:

  1. 初次登录,request携带username/password
  2. 服务器验证成功,request.getSession()    session.addAttribute("user",name)
  3. 后续访问,拦截器request.getSession()  session.getAttribute("user")~~~后续操作

这里没有出现cookie,不过实际仍然用到了cookie。cookie中存放了会话相关的sessionId,下次请求时request.getSession()直接会根据cookie中的sessionId获取

但这个和上面Cookie方式中存入数据库也有区别,这个session信息是存放在内存中的(其实,cookie也可以设计成这种方式),而不是数据库。

Token:

为什么要采用session? 简言之,为了证明你是你。

session的做法是,你初次访问的时候给你取个名字,你自己记住这个名字,服务器也会记住你的名字。后续访问的时候只要服务器中有你的名字就行。

token的做法是,你初次访问的时候根据你的指纹给你取个复杂的名字,并把这个名字给你,但是服务器不会记住你的名字。后续访问的时候再次根据你的指纹获取你的复杂的名字。如果你带来的名字和新生成的名字一样,那验证通过。——即加密

token实现验证的过程如下:

  1. 初次登录,request携带username/password
  2. 服务器验证成功,token=tokenMethod(username)  response.addCookie("token",token).addCookie("user",username)
  3. 后续访问,拦截器获取cookies   realToken=tokenMethod(username)   对比token和realToken~~后续操作

 

 

Demo篇

Cookie

采用cookie+数据库实现登录认证,每一个登录的用户都会将登录信息存入数据库

验证用户/密码等略

@Override
public void addInterceptors(InterceptorRegistry registry){
    registry.addInterceptor(new HandlerInterceptor(){
        @Override
        public boolean preHandle (HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
            //根据request获取cookie与当前会话中的ticket比对
            String t= CookieUtils.getCookie("t",request);
            if(t!=null){
                Ticket ticket=ticketService.getTicket(t);  //数据库中有则代表已经登录
                if(ticket!=null){
                    if(ticket.getExpiredAt().compareTo(new Date())>0){  //登录过期判断
                        User u=userService.getUser(ticket.getUserId());
                        ConcurrentUtils.setHost(u);
                    }
                }
            }
            return true;
        }
    }).addPathPatterns("/**");

Session

session有一个问题。如果说我们的应用做了多实例+负载均衡,用户登录访问了A实例,那在A实例中确实有用户的session,可B实例是没有的。下次用户访问到了B实例,携带了sessionId可是B实例并不认识这个Id

@RestController
public class LoginController {

    Map<String,String> userlist=new HashMap<>();
    {
       for(int i=0;i<5;i++)
           userlist.put("user"+i,"user"+i);
    };

    @RequestMapping("login")
    public String login(@RequestParam("name")String name, @RequestParam("pwd")String pwd, HttpServletRequest request){
        if(userlist.containsKey(name))
            if(userlist.get(name).equals(pwd)){
                HttpSession session=request.getSession();
                session.setAttribute("whoLogin",name);
                return "Welcome You: "+name;
            }
            else return "Wrong Pwd";
        return "Invalid account";
    }

    @RequestMapping("check")
    public String check(){
        return "If you can see me, you already logged in.";
    }
}

//拦截器设置
registry.addInterceptor(new HandlerInterceptor(){
    @Override
    public boolean preHandle (HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
        //根据request获取cookie与当前会话中的ticket比对
        HttpSession session=request.getSession();
        String who=(String)session.getAttribute("whoLogin");
        if(who==null||who.equals(""))
            response.sendError(6666);
        return true;
    }
}).addPathPatterns("/login/check");

Token

由于使用token验证的服务器端并没有保存sessionid等信息,所以即便是在多实例中也不会出现这边登录了那边‘未登录’的情况。不过这样,每次的请求都会做一个加密,会消耗服务器资源

@RestController
@RequestMapping("/token/")
public class TokenController {

    Map<String,String> userList=new HashMap<>();
    {
        for(int i=0;i<5;i++)
            userList.put("user"+i,"user"+i);
    }
    @RequestMapping("login")
    public String login(HttpServletRequest request, HttpServletResponse response) throws IOException {
        String name=request.getParameter("name");
        String pwd=request.getParameter("pwd");
        if(name==null||pwd==null)
            response.sendError(6666,"Please enter username OR password.");

        if(userList.containsKey(name)){
            if(userList.get(name).equals(pwd)){
                String token= DigestUtils.md5DigestAsHex(name.getBytes());
                Cookie cookie=new Cookie("token",token);
                response.addCookie(cookie);
                cookie=new Cookie("username",name);
                response.addCookie(cookie);
                return "Welcome You, "+name;
            }else
                return "Wrong Password";
        }
        return "Invalid Account";
    }

    @RequestMapping("check")
    public String check(){
        return "If you can see me, you already logged in.";
    }
}


//拦截器配置
registry.addInterceptor(new HandlerInterceptor(){
    @Override
    public boolean preHandle (HttpServletRequest request, HttpServletResponse response, Object handler) throws IOException {
        String name=null,token=null;
        for(Cookie cookie : request.getCookies()){
            if(cookie.getName().equals("username"))
                name=cookie.getValue();
            if(cookie.getName().equals("token"))
                token=cookie.getValue();
        }
        if(name==null||token==null){
            response.sendError(6666,"Please login first");
            return false;
        }
        String realToken= DigestUtils.md5DigestAsHex(name.getBytes());
        if(!token.equals(realToken)){
            response.sendError(6666,"Invalid Token");
            return false;
        }
        return true;
    }
}).addPathPatterns("/token/check");

 

参考:

牛客网项目:https://git.nowcoder.com/11000160/BookManager   用的是cookie+数据库验证方式

原理分析:https://www.cnblogs.com/moyand/p/9047978.html    session/token  Demo是根据这个文章的思想写出的

Demo没啥技术含量,如果有新手记不住API可以参考

 

 

namnem
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
// 验证Cookie并决定是否放行请求 // ... } // ... } ``` 2. **注册拦截器** 要使拦截器生效,我们需要在Spring Boot的配置类中注册它。通过实现`WebMvcConfigurer`接口的`addInterceptors`方法,我们可以将...
使用session以及在session中加入token
京北游戏官方
06-10 3万+
通过使用session以及在session中加入token,来验证同一个操作人员是否进行了并发重复的请求,在后一个请求到来时,使用session中的token验证请求中的token是否一致,当不一致时,被认为是重复提交,将不准许通过。 整个流程可以由如下流程来表述: 客户端申请token 服务器端生成token,并存放在session中,同时将token发送到客户端 客户端存储token,在请求提交时,同时发送token信息 服务器端统一拦截用户的所有请求,验证当前请求是否需要被验证(不是所有请求都验证重复
TokenSession 原理及优缺点
Future1994的博客
11-22 4563
转自:TokenSession 原理及优缺点 - 简书 SessionToken的区别 一、cookie http请求时无状态的。就是说第一次和服务器连接并登陆成功后,第二次请求服务器仍然不知道当前请求的用户。 cookie出现就是解决了这个问题,第一次登陆后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当用户第二次返回请求的时候,就会把上次请求存储的cookie数据自动携带给服务器。 如果关闭浏览器cookie失效(cookie就是保存在内存中) 如果关闭浏览器cook
登录的两种验证方式的区分:cookietoken
m0_73120712的博客
08-09 2066
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
使用sa-token 进行权限控制
java大神起床啦
04-11 7144
sa-token
【架构师成长之路】3-零基础搭建单体项目-集成sa-token
chaseLYFHui的博客
08-29 890
集成sa-token 权限框架
token-servlet使用案例.zip
06-06
本案例"token-servlet使用案例.zip"提供了使用Servlet实现Token的一种方法,适用于大多数Java项目的异步登录功能。下面我们将详细探讨Token的原理、如何在Servlet中实现以及它在登录场景中的应用。 1. Token的基本...
Go-HiMagpie管家维护并验证TokenSession和接受推送消息和分发
08-14
综上所述,Go-HiMagpie管家是构建在Go语言基础上的一个服务,它涉及了身份验证的核心组件,包括Token验证Session管理以及OAuth的实现。同时,它还具备处理和分发推送消息的能力,使得整体架构更加完整,能够满足...
node实现基于token的身份验证
01-02
传统的session+cookie身份验证 由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一次用户的请求仍然需要校验身份。为了解决这一问题,需要在...
x-uni-session:单点登录session服务端
05-11
在SSO系统中,session服务端扮演着关键角色,负责管理用户的登录状态和权限验证。本文将深入探讨"X-uni-session",一个基于Java实现的单点登录session服务端解决方案。 首先,我们要理解Java在SSO中的作用。Java...
使用SessionCookie登录验证
u010266988的博客
04-06 1万+
1 背景 作为“自学成才”的野路子程序员,一直忙于CRUD,没有系统地学习CS基础知识,导致面试的时候屡屡被CS专业的同学diss,于是乎知耻而后勇,认认真真地补习基础知识,这篇博客就来学习、总结下啥是Cookie、啥是Session。 以前看过面试宝典,只知道Cookie是保存在客户端、Session保存在服务端,除此之外一无所知,直到昨天晚上躺在床上辗转反侧、思绪万千,看了一篇关于单点...
javaee中session验证_图文详解应用登录验证码的实现方案
weixin_39775428的博客
11-26 475
图文详解应用登录验证码的实现方案在本号的一系列Spring Security文章中,先后介绍了各种登录验证及授权中的知识点,如:spring-security简介并与shiro对比、 formLogin模式登录认证、动态数据登录验证与权限分配、账户多次登录失败锁定、RememberMe记住我功能,等等文章。笔者觉得以上的这些实际上都很简单,我们没有涉及到分布式应用。本节将以分布式的应用背景,讲解验...
Cookie Session Token
weixin_47236538的博客
12-28 105
Cookie 1991年HTTP0.9诞生了,当时只是为了满足大家浏览web文档的要求,所以只有GET请求,浏览完就走,两个连接之间没有任何联系,这也是HTTP无状态的原因,诞生之初是没有这个需求的。 随着交互式Web的兴起,单纯的浏览已经无法满足人们的需求,比如随着网上购物的兴起,需要记录用户的购物车记录,就需要有一个机制记录每个连接的关系,这样我们就知道加入购物车的商品到底属于谁了,于是 Cookie 就诞生了。 Cookie,有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了
整合tokencookie实现登陆及验证,实现跨域前后端分离
四十岁后转行程序员的博客
06-22 1921
session管理支持cookie token两种方式
sessiontoken鉴权方式
weixin_40611700的博客
10-19 1129
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
cookiesessiontoken的基本流程
weixin_55579202的博客
07-30 1658
cookiesessiontoken理解使用
cookie-session-Token
Mainhxj的博客
09-07 118
cookie 客户端向服务器发送请求,服务器如果需要记住客户端信息,就会生成一个cookiecookie里面是key-value形式的数据,存储着信息,然后将cookie返回给客户端,并返回一个set-cookie的字段,客户端收到消息后就会将cookie保存起来,然后每次访问的时候都会带着cookie session session就是会话的意思,比如在当我们想要把某个商品加到我们的购物车中,服务器需要知道我们是谁,A不能把商品加到B的购物车里面,这就需要session来区分了。服务器给每一个用户都生成
小程序笔记 -- 登陆与session_token
lljxk2008的博客
09-03 3104
在小程序确定一个事实: 小程序没有web那种用户与服务器的Session机制 但我们可创建一个'标识'来实现登陆态维护, 这个标识就相当于web中的Session, 用于标识用户 这个标识我命名为: session_token (见下文的第4.点 生成一个会话标识) 在微信小程序中,我们可能涉及到以下三类登录方式: 自有的账号注册和登录 使用其他第三方平台账号登录 使用微信账号登录(即...
为什么使用tokensessiontoken的区别
热门推荐
高岩 is me
11-26 3万+
目录 一、session的状态保持及弊端 二、token认证机制 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从数据...
cookie session token
最新发布
04-28
在web开发中,CookieSessionToken通常用于管理用户身份验证和状态维持。Cookie是最基本的机制,Session提供了更安全的身份验证和数据保存,而Token则对安全性进行了改进,可用于跨浏览器和跨设备使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值