一文搞懂Cookie+Session,Redis+Token,JWT三者的区别

已于 2022-05-26 08:53:36 修改
阅读量3k 收藏 60
点赞数 35
文章标签: http JWT 认证鉴权 web安全 安全架构
于 2022-05-24 20:15:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29843575/article/details/124953778
版权

一文搞懂Cookie+Session,Redis+Token,JWT三者的区别

本文图片部分来自网络

文章目录

一、基于Cookie+Seesion传统的认证机制

1.认证流程

http是无状态协议,比如客户端发送了提交一个用户名和密码的请求进行用户认证,那么当页面关闭后,下一次用户还得再发送一次请求来进行用户认证。

因为http协议是不知道是哪个用户发送的请求,所以只能在服务器上存储一份用户的信息(Session),这份登录信息会在服务器响应的时候发送一个(Sessionid)保存到Cookie中,下次客户端发送请求的时候把这个Sessionid放到Cookie中带给服务器,就可以让服务器识别出我们的请求来自于哪个用户了,这就是传统的基于Cookie+Session的认证机制

在这里插入图片描述

2.暴露问题

2.1服务器开销增大

因为每一个访问请求都会创建一个Session对象,如果当用户数量过多的时候服务器就会放过多的Session,导致服务器开销增大

2.2负载均衡问题

当用户认证成功后,Session对象还保存在服务器内存中,这意味着用户下次的请求必须还是在这一台服务器上,这样才能拿到授权的资源。比如说某个客户端有可能第一次认证的时候session存在了服务器1,但是第二次session被分配到了服务器2,就会找不到session导致后续功能失效。

当然这个问题的解决方法有很多:

1.session复制,每次复制session到每一个服务器中。数据冗余。

2.使用NoSQL数据库,第一次请求服务器的时候把session存放在NoSQL数据库中,以后其他服务器访问的时候,先去NoSQL数据库中寻找是否有session。完全在内存中,速度快,数据结构简单,减少了CPU的压力(但是有个问题NoSQL数据库也是放在服务器上的,如果NoSQL数据库挂掉了,那么所有的用户都需要重新认证,这样并不是很完美)

2.3CSRF(Cross Site Request Forgery)跨站域请求伪造攻击

因为Sessionid是放在Cookie中的,如果Cookie被截获,用户就很容易遭到CSRF攻击

比如:

如果你访问了一个别有用心或病毒网站,这个网站可以在网页源代码中插入js代码,使用js代码给其他服务器发送请求(比如银行的转账请求)。那么因为在发送请求的时候,浏览器会自动的把cookie发送

最低0.47元/天 解锁文章
FatterShday
关注
  • 35
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 20
    评论
springboot+mybatis-plus+jwt+redis的简易后端框架
04-10
一个简单的后端框架,实现步骤可以根据章 ...2.springboot+JWT+redis实现token身份令牌验证(附代码)(超详细) https://blog.csdn.net/pengpm/article/details/124077041?spm=1001.2014.3001.5501
story-admin:Springboot+Shiro+jwt+Redis+Mybatis 有效期内Token刷新方案
05-14
story-admin本项目为前后端分离的Web应用后端程序,采用技术框架如下:springboot v2.1.2.RELEASEshirojwtredismybatis-plus v3.1.2包含代码生成器档swagger2,使用jwt采用token有效期内刷新机制更新Token。...
彻底cookiesessiontokenjwt
酷奇的博客
03-02 1114
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 TokenJWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证TokenJWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、TokenJWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
单点登录的几种实现方式:使用redisjwt区别
weixin_41785851的博客
05-18 592
1、tomcat集群session共享。缺点:有广播风暴;用户量比较大的时候,占用资源比较严重。 一般不推荐 2、Redis存储token。服务端使用UUID随机生成64位或者128位token放到Redis中,然后返回给客户端的cookie里。用户每次访问,服务端去Redis那里,去验证用户是否存在。缺点:网络开销较大。 范例:https://www.cnblogs.com/zzp0320/p/8109327.html 3、JsonWebTokenJWT)。高级版本的实现。 测试中,随...
jwttoken区别
最新发布
lied1663634806的博客
03-27 654
jwttoken区别
全网最细总结-Seesion,Cookie以及JWT区别
qq_42898642的博客
06-14 812
全网最详细,关于sessioncookietoken的用户认证的原理与区别
Spring Security+redis+jwt的简单使用(登入登出及token验证)
weixin_65247941的博客
09-22 1237
​ 自定义的登入接口放行@Autowired//创建BCryptPasswordEncoder 注入容器@Bean //注入IOC容器@Overridehttp//关闭csrf//不通过Session获取SecurityContext.and()// 对于登录接口 允许匿名访问// 除上面外的所有请求全部需要鉴权认证//把token校验过滤器添加到过滤器链中http@Override@Bean//用户认证后的封装@Autowired。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
CYK_byte的博客
10-13 8689
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端商城系统源码
05-13
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统
04-30
基于当前流行技术组合的前后端分离商城系统:SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、优惠券...
CookieSessionTokenJwt详解
weixin_53952534的博客
01-25 838
cookiesessiontokenjwt区别和联系
RedisSession区别
weixin_41953741的博客
10-13 1683
RedisSession区别 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的
CookieSessionTokenJWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1086
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
压测对比JWT解析与Redis取值
帷幄庸者的博客
03-09 1878
压测对比JWT解析与Redis取值 压测心得: 压测下会产生错误java.net.SocketException: Connection reset 首先配置线程组,然后是Http,然后结果分析监听器(主要是Summary Report) 压测的同时可以打开jconsole监控jvm变化 测试前先做一次GC,避免GC对结果产生影响 JWT解析压测 100线程 500线程 1000线程...
JWT 身份认证优缺点分析以及常见问题解决方案
Angus
10-08 1341
JWT 身份认证优缺点分析以及常见问题解决方案 之前分享了一个使用 Spring Security 实现 JWT 身份认证的 Demo,章地址:适合初学者入门 Spring Security With JWT 的 Demo。Demo 非常简单,没有介绍到 JWT 存在的一些问题。所以,单独抽了一篇章出来介绍。为了完成这篇章,我查阅了很多资料和献,我觉得应该对大家有帮助。 相关阅读: ...
JWTcookietoken区别
微微一笑满城空
08-10 8874
一. cookie A) cookie如何认证 1. 用户输入用户名与密码,发送给服务器。 2. 服务器验证用户名和密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器中,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie的认证方式。 3. 后续的请求中,浏览器会发送会话ID到服务器,服务器上如果能找到对应的ID的会话,那么服务...
redistoken(sessionId)时异常
javanewnewman的博客
05-16 695
问题描述:一个用户登录时,会把他的sessiontoken存进redis。 然后另一个用户登录时,取的sessionId是同一个token。查了半天,还没查出是什么原因 。 调试时发现session对象不是同一个,但是sessionId取出来却是一样的。个人认为是session.getId时取是的redis里面的sessionId 正在排查。代码如下 public class RedisSessionDao extends AbstractSessionDAO { private fina.
redis session时,sessionId作为token,可靠实现
weixin_33724659的博客
04-18 2186
场景: 在一些不能使用session,或者session不能保持的情况,通常服务器端产生一个token字符串标识用户登录状态。当前端调用后端接口时,将此token作为参数加入到请求中,这样能够避免依赖浏览器与服务端会话状态。token身份验证可用于多域名间保持用户状态,后端负载均衡非ip hash策略等情况。 实现过程: pom中增加redissession依赖 <de...
基于springboot2+mybatisplus+springsecurity5.7+jwt+redis
08-11
基于SpringBoot2、MyBatisPlus、Spring Security5.7、JWTRedis的开发框架可以提供以下功能和优势: 1. Spring Boot2是一个轻量级的Java开发框架,能够快速构建Web应用程序和微服务。它提供了自动配置和约定大于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 20
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值