关于cookies、session、token(JWT)的浅薄理解

最新推荐文章于 2024-07-23 09:11:23 发布
最新推荐文章于 2024-07-23 09:11:23 发布
阅读量285 收藏 1
点赞数
分类专栏: JAVA 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31729917/article/details/98599461
版权

关于cookies、session、token(JWT)的浅薄理解

无状态的HTTP

Web应用程序是使用HTTP协议传输数据的,而HTTP是无状态的,在一次数据通信完成后,客户端和服务器端的连接就会关闭,再一次需要通信交换数据就需要重新建立新的连接。也就是说,当前HTTP通信无从得知历史的HTTP通信交换过什么数据,这就是无状态。

Cookies

由于现在大部分的应用中需要前后的操作具有关联性,比如用户先登录了淘宝,这是一次HTTP交换,再点击购物车,这又是一次HTTP通信,但是在第二次通信的时候应用程序并不知道是谁登录了购物车,于是Cookies就出场了。当用户发起第一次HTTP请求的时候,服务器把用户的信息写进Cookie里面返回给客户端,只要这个Cookie没过期,之后每次访问这个网站都会在HTTP的头部携带这个Cookie,这样服务器接收到这个Cookie验证用户信息成功就可以获取用户登录信息而不用再次登录。Cookie是保存在客户端的,并且是不可跨域的,不安全的。

Session

Session则是另一种保存客户状态的机制,与Cookie不同的是,Session保存在服务器。客户端第一次发送HTTP请求到服务器,服务器就会创建一个Session对象,这个对象可以保存K-V组,然后服务器返回一个session_id(这个session_id是写进cookies的)给客户端。之后客户端每次请求这个网站都会通过Cookie携带这个session_id,服务器验证session_id通过就可以获取用户信息而不用再次登录。由于Session会占用服务器资源,因此设置Session过期时间很重要。

JWT(toekn)

Session-Cookies机制存在以下问题

  • 使用服务器集群时,session要同步共享到每台服务器,占用大量服务器资源
  • 前后端分离、跨域访问时,每次请求的session_id不一致
  • 如果是多端共享后端API服务,由于移动端无Cookie,这是短板

token就没有这些问题,并且更轻量级。

JWT解析

在客户端第一次发送HTTP后,服务器把用户的信息和自定义的秘钥加密生成token,然后把token返回给客户端,客户端最好把这个JWT放在HTTP请求头的Authorization字段或者放在POST的请求体中,每次访问服务器都携带这个JWT,服务器接收到JWT后,通过使用秘钥解密JWT,就能得到用户信息。

  • JWT的组成

    JWT由三部分组成:

    • 头部(header,包含类型和算法等信息)
    • 负载(payload,存放有效信息,比如用户信息,不要存放重要信息比如密码)
    • 签证(signature,由BASE64加密后的header和payload连接起来,通过header中指定的加密方式,组合秘钥进行加密形成)

  • Spring Boot的实现

    pom.xml

    <!-- JWT -->
<dependency>
	<groupId>com.auth0</groupId>
	<artifactId>java-jwt</artifactId>
	<version>3.2.0</version>
</dependency>
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.7.0</version>
</dependency>
<!-- JWT需要另外添加的 -->
<dependency>
	<groupId>javax.xml.bind</groupId>
	<artifactId>jaxb-api</artifactId>
	<version>2.3.0</version>
</dependency>
<dependency>
	<groupId>com.sun.xml.bind</groupId>
	<artifactId>jaxb-impl</artifactId>
	<version>2.3.0</version>
</dependency>
<dependency>
	<groupId>com.sun.xml.bind</groupId>
	<artifactId>jaxb-core</artifactId>
	<version>2.3.0</version>
</dependency>
<dependency>
	<groupId>javax.activation</groupId>
	<artifactId>activation</artifactId>
	<version>1.1.1</version>
</dependency>

    JwiUtils.java

    package com.example.test_spring_boot_1.utils;

import com.example.test_spring_boot_1.domain.User;
import io.jsonwebtoken.*;
import org.bouncycastle.util.encoders.Base64;

import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.util.Date;

public class JwtUtils {

    /**
     * 主题
     */
    private static final String SUBJECT = "testJWT";
    /**
     * 生成秘钥的字符串
     */
    private static final String KEYSTRING = "keyItself";

    /**
     * 过期毫秒数
     */
    private static final long EXPIRE = 1000*60*60*24*7;

    /**
     * 生成秘钥的方法
     * @return
     */
    public static SecretKey generalKey(){
        byte[] encodedKey = Base64.decode(KEYSTRING); //base64编码的字符数组
        SecretKey key = new SecretKeySpec(encodedKey,0,encodedKey.length,"AES"); //加密
        return key;
    }

    /**
     * 签发jwt
     * @return
     */
    public static String createJWT(User user){
        //加密算法
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        //当前时间毫秒数
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        Date expDate = new Date(nowMillis+EXPIRE);
        SecretKey secretKey = generalKey();
        JwtBuilder builder = Jwts.builder()
                .setSubject(SUBJECT) //主题
                .claim("name",user.getName()) //用K-V方式保存负载的Json数据
                .setIssuedAt(now) //签发时间
                .setExpiration(expDate) //过期时间
                .signWith(signatureAlgorithm,secretKey); //签名算法及秘钥
        return builder.compact();
    }

    /**
     * 验证jwt
     * @param jwtStr
     */
    public static Claims checkJWT(String jwtStr) throws JwtException {
        SecretKey key = generalKey();
        try{
            final Claims claims= Jwts.parser()
                    .setSigningKey(key) //设置秘钥
                    .parseClaimsJws(jwtStr) //指定要解密的字符串
                    .getBody(); //获取负载的内容
            return claims;
        }catch (JwtException ex){
            System.out.println("token验证失败");
        }
        return null;
    }
}

    CommonText.java

    package com.example.test_spring_boot_1;


import com.example.test_spring_boot_1.domain.User;
import com.example.test_spring_boot_1.utils.JwtUtils;
import io.jsonwebtoken.Claims;
import org.junit.Test;

public class CommonText {
    @Test
    public void testGeneJwt(){
        User user = new User();
        user.setId(999);
        user.setHeadImg("www.xdclass.net");
        user.setName("xd");

        String token = JwtUtils.createJWT(user);
        System.out.println(token);
    }

    @Test
    public void testToken(){
        String token = "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ0ZXN0SldUIiwibmFtZSI6InhkIiwiaWF0IjoxNTY1MDMwMDIzLCJleHAiOjE1NjU2MzQ4MjN9.y2SuulgO88tE-Ets7PkIyiIQF1WjAmai7sVDdkgaAf0";
        Claims claims = JwtUtils.checkJWT(token);
        if(claims != null){
            String name = (String)claims.get("name");
            System.out.println(name);
        }
    }
}
DavidQian谛听
关注
专栏目录
【SpringBoot】44、SpringBoot中整合JWT实现Token验证(整合篇)
Asurplus
02-28 21万+
什么是JWT? Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519),该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 为什么需要JWT? 当我们开发前后端分离项目时,要求我们对用户会话状态要进行一
cookie,session,JWT(token)
书读百遍其意自现
09-20 175
鉴权 鉴权: 判断某用户是否有权访问服务器上的资源 例如; 用户需要登录之后才可以访问一些特定的界面 某些页面需要token才可以访问 HTTP是无状态的 早期的web只需要提供信息给访问者就行了,不需要记录状态,浏览器和服务器不能凭借HTTP协议来辨别请求的上下文 服务器是不能识别浏览器发出的请求是否之前发过 鉴权思路 一种: 将身份信息保存在服务器. 例如: 取快递的时候,报出快递号就可以查看是否有这个快递 快递点就是服务器,自己是客..
Cookie、SessionTokenJWT 、JWE详解
weixin_52438357的博客
01-31 1187
Cookie是由web服务器创建并存储在用户浏览器中的一小段文本信息。当浏览器访问服务器时,服务器会向浏览器发送Cookie。此后,每当浏览器再次访问同一服务器时,浏览器会自动将该Cookie发送到服务器,以此来通知服务器用户之前的活动。无状态的HTTP:HTTP协议本身是无状态的,这意味着每次请求都是独立的,服务器无法从一个请求中了解到另一个请求的信息。因此,需要某种机制来维持一个用户的状态跨多个页面请求或网站访问。会话管理:Session是一种在服务器端保持用户状态的机制。
彻底理解cookie,sessiontoken的区别
兵锅锅的博客
11-18 212
                                            &nb.
php 谈谈我对session, cookiesjwt理解
mengzuchao的专栏
06-05 690
最近在做项目重构,因为核心功能仅以restful风格接口提供,因此对于会话管理这一部分,目前考虑使用jwt(Json Web Token)。本文是我在项目开发过程中对这几种会话管理技术理解的一些总结。不对之处,请指正。为什么我们需要会话管理众所周知,HTTP协议是一个无状态的协议,也就是说每个请求都是一个独立的请求,请求与请求之间并无关系。但在实际的应用场景,这种方式并不能满足我们的需求。举个大家...
网络安全-Cookie 和 JWT
Saki_Python的博客
02-19 1007
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
Cookie、SessionTokenJWT.xmind
01-30
Cookie、SessionTokenJWT.xmind
Spring Session 整合 JWT Token
pomer_huang的博客
12-07 5278
依赖库 pom.xml <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version>1.3.1.RELEASE</version>
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑...综上所述,JWT Token在C#中的实现涉及对标准的理解、使用特定库以及理解安全最佳实践。正确使用JWT能为应用程序提供高效且安全的身份验证机制。
什么是Json web token (JWT),sessiontoken,优点,缺陷
weixin_64875794的博客
02-23 728
JWT ---------------------------------------- Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息。 传统的session认证 基于session认证所显露的问题 Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户
小结:使用 JWT 时,Cookie 需要做的配置
A minor
02-17 770
我们先来看看在项目中使用 JWT 时所作的配置(包括 jwt 和 cookie 配置) jwt: secret: xusm@Login(Auth}*^31)&heiMa% # 登录校验的密钥 pubKeyPath: C:\temp\rsa\xusm\rsa.pub # 公钥地址 priKeyPath: C:\temp\rsa\xusm\rsa.pri # 私钥地址 expire: 45 # 过期时间,单位分钟 cookie: domain: bbs.xysmxh.com # lo
Cookie、SessionTokenJWT、单点登录 详解
最新发布
weixin_68074170的博客
07-23 1299
狭义上,我们通常认为 session 是「种在 cookie 上、数据存在服务端」的认证方案,token 是「客户端存哪都行、数据存在 token 里」的认证方案。对 sessiontoken 的对比本质上是「客户端存 cookie / 存别地儿」、「服务端存数据 / 不存数据」的对比。
Cookie、Session、令牌、JWT令牌技术
2301_77358195的博客
03-26 1326
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是Cookie、Session、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
关于JWT和cookie过期的问题
MakChiKin
12-06 896
1.用户输入正确的账号密码在客户端发送请求登录,通过服务端验证后,服务端会返回一个JWT给客户端,JWT的有效时间由服务端决定 2.客户端需要把收到的JWT保存在cookie里面,并设置有效时间,cookie的有效时间由客户端决定(PS:建议客户端cookie和服务端JWT的有效时间设置为一致) 3.客户端每次请求都会要带上这个cookie,以便服务端验证用户身份和JWT的有效时间 ...
flask使用token机制
Yonggie的博客
10-27 136
查flask jwt extended这个库。
如何安全储存JWT之Cookie与Web Storage
WLsweety的博客
02-12 612
黑客的代码和你的代码一样被用户信任!支持Cookie的开发人员会强烈建议不要将敏感信息(例如JWT)储存在Local Storage中,因为它对于XSS毫无抵抗力,并且批判培训班或者大部分开发人员总是一股脑的选择Local Storage,而忽视了安全这个最大的问题。这种观点是不全面的,Local storage 有着与 Cookie一样的安全机制,只有加了httpOnly 和 secure 的Cookie才更加安全,对于普通的Cookie,它的安全等级与Local Storage并无差别。
Cookie,SessionTokenJWT的基本使用以及区别介绍
qq_43293207的博客
12-26 1143
1. 前言 由于http协议的无状态性。每一次的http请求不会记住和保存任何会话信息,比如上一次的请求发送者和这一次的发送者是不是同一个人?每次请求都是全新和独立的。随着交互式Web应用的兴起, 像在线购物网站,需要登录的网站等,马上面临一个问题,就是要管理回话,记住那些人登录过系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开。 2. Cookie Cookie是浏览器实现的一种数据存储技术。一般由服务器生成,发送给浏览器(客户端也可进行cookie设置)进行存储,下一次请求同一网站时会把
Cookie,SessionTokenJwt详解
weixin_53952534的博客
01-25 897
cookie,sessiontokenjwt的区别和联系
JWT与cookie和token的区别
微微一笑满城空
08-10 8973
一. cookie A) cookie如何认证 1. 用户输入用户名与密码,发送给服务器。 2. 服务器验证用户名和密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器中,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie的认证方式。 3. 后续的请求中,浏览器会发送会话ID到服务器,服务器上如果能找到对应的ID的会话,那么服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值