用户密码和cookie,session、token还有AKSK

最新推荐文章于 2024-05-10 08:30:46 发布
最新推荐文章于 2024-05-10 08:30:46 发布
阅读量976 收藏 4
点赞数
分类专栏: 记录 日常编程 文章标签: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35789269/article/details/120423799
版权

背景:认证、授权、鉴权和权限控制:

https://segmentfault.com/a/1190000013258488

认证、授权、鉴权和权限控制 | 滩之南

单点登录的通用架构实现 | 滩之南

https://segmentfault.com/a/1190000013010835

基于JWT的token身份认证方案 - 开拖拉机的蜡笔小新 - 博客园

用户名密码

  • 用户输入账号、密码提交给服务端认证

存在一个问题,万一被泄漏了,就只能改密码或者用户名了,而且还必须销户。那么我们很自然得想到我们需要给用户账号密码认证加密或者是设置有效期。用户名密码还好,如果应用间访问间隔一段时间就要换密码是很痛苦的。而加密呢就涉及到了解密,安全的加密算法,解密一般来说会有性能损耗。(cookie和session都是基于用户名密码)

当然这里涉及到cookie和seesion还有单点登录的方案可以看上文链接

计算机的很多问题:加一个中间层就可以解决了,如果不行,那就多加几层

Token认证

我们能不能先用账号密码访问一个中间层然后从中间层取个带有效时间的对象呢,后续有效期内,我就使用这个对象来进行访问应用。这就是token也叫令牌。

但是如果报文在中途被劫持,那么token就泄露了,这时(token有效期内)黑客就可以构造任意的请求了,这时候我们就又想既然能加时间,我们是不是可以加更多的内容进去,比如你能调哪个api?但是如果每个api都这样搞,那么你需要保存多少token呢?换一个思路用加密,每次请求都要解密,性能上的损耗可能是我们无法接受的。

那么其实在微服务架构下,一般会有微服务网关,我们可能把这层鉴权和token生成放在网关吗?

当然可以。于是jwt应运而生:基于JWT的token身份认证方案 - 开拖拉机的蜡笔小新 - 博客园

aksk(Access Key Id / Secret Access Key)

AK/SK使用机制

公有云下绝大多数使用assk机制来进行认证鉴权

云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相关操作;如果认证字符串不同,系统将忽略该操作并返回错误码。

1.3 流程

判断用户请求中是否包含Authorization认证字符串。如果包含认证字符串,则执行下一步操作。
基于HTTP请求信息,使用相同的算法,生成Signature字符串。
使用服务器生成的Signature字符串与用户提供的字符串进行比对,如果内容不一致,则认为认证失败,拒绝该请求;如果内容一致,则表示认证成功,系统将按照用户的请求内容进行操作。
原理:
  客户端:
    1. 构建http请求(包含 access key);
    2. 使用请求内容和 使用secret access key计算的签名(signature);
    3. 发送请求到服务端。

服务端:
    1. 根据发送的access key 查找数据库得到对应的secret-key;
    2. 使用同样的算法将请求内容和 secret-key一起计算签名(signature),与客户端步骤2相同;
    3. 对比用户发送的签名和服务端计算的签名,两者相同则认证通过,否则失败。
 

人工智
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
Cookie,Session,Token
weixin_47414034的博客
05-14 1415
当浏览器发送 HTTP 请求到服务器时,服务器会响应客户端的请求,但当同一个浏览器再次发送请求到该服务器时,服务器并不知道它就是刚才那个浏览器 通常情况下,用户通过浏览器访问 Web 应用时,服务器都需要保存和跟踪用户的状态。例如,用户在某购物网站结算商品时,Web 服务器必须根据请求用户的身份,找到该用户过往所购买的商品 由于 HTTP 协议是无协议的,无法保存和跟踪用户状态,所以需要其他的方案来解决问此题,它就是会话技术。 什么会话?从打开浏览器访问某个网站,到关闭浏览器的过程,称为一次会话。会话
JWT和HMAC(AK/SK)认证方式的区别和使用场景
Steve Wang's blog
03-21 2500
JWT和HMAC(AK/SK)认证方式的区别和使用场景
web鉴权access_token、AK/SK、session/cookie
最新发布
酌沧
05-10 1341
鉴权是网络安全的关键环节,主要用于确认请求者的身份,并确保其有权限执行请求的操作。本文介绍access_token、AK/SK、session/cookie
用户鉴权之JWT和AKSK
maybe的博客
03-05 6828
JWT和AK/SK JWT和AK/SK都是用于鉴权的。 由于http的无状态性,为了避免每次登录时都去数据库查询用户信息,用户第一次登录后,应用需要保存用户登录信息,以便下次请求客户端时识别用户的身份。 通常我们可以采用session的方式来保存用户登录状态和用户信息。这种方式,会在服务端保存session信息,登录之后返回一个session_id,这样客户端每次请求的时候将session_id传到服务端。 使用session的方式会在服务器保存session信息,这样会占用服务器资源,下面介绍另外两种鉴权
细说API – 认证、授权和凭证
qq_35789269的博客
08-23 1102
认证、授权和凭证
jwt获取token_JWT和HMAC(AK/SK)认证方式使用场景
weixin_39625429的博客
12-03 858
本文主要讨论一下jwt和HMAC(AK/SK)的使用场景jwt一般是由用户先发送用户名、秘密,认证通过后服务器返回jwt,其中包含三段信息:Header,记录jwt元数据 Payload,记录真实要传递的数据 Signature,记录数据签名其中Signature是根据jwt签名算法+服务端自定义的秘钥生成的hash信息关键就是这个服务器自定义秘钥,达到两个效果:完整性验证,如果传输过程中被篡改,...
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
用户通过正确的用户名密码登录后,系统会创建一个Session或设置一个特定的Cookie来标识用户已登录状态。通常,这个标识包含一个唯一的Session ID或Token,服务器端根据这个ID或Token来识别用户。在后续的请求中...
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
授权认证登录之 CookieSessionToken、JWT 详解
热门推荐
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、CookieSession 的区别 五、什么是 Token(令牌) Acesss Token ...
双方API交互:签名及验证-- (AK/SK)认证的实现
王友前的博客
06-11 9387
接口交互不能直接提供一个开发的接口地址和接口文档,不能知道接口地址,知道参数,就模拟请求,就来对接你吧,这很容易被恶意攻击,或篡改参数发起请求等非常多安全性问题。 因此:还需要签名算法规则等内容 ...
API安全之路:从黑客攻防到签名认证体系
qq_47923467的博客
10-01 941
API 签名认证体系,实现简要讲解,如何对公开接口进行无需保存登录态保护
Hadoop安全保护机制(Kerberos&LADP)详解
Pizza_great的博客
10-26 4398
第一章 信息安全理论基础 CIA模型:机密性、完整性和可用性 CIA模型能够帮助建议一些信息安全原则,但该模型并不是一个需要严格遵守的规划 Hadoop平台可能涉及多个CIA模型组件,也有可能一个也涉及不到 1.1、机密性 机密性:信息只应该被期望的接收者看到 身份标识:使A和B参与机密信息传递的属于自己的唯一标志 身份验证:证明自己的身份 加密:将数学算法应用于信息片段,使加密后输出内容对于非预期接收者不可读 解密:只有期望的接收者能对加密消息进行解密,从而得到原始信息 ...
sessionCookie 详解
GoodManS的CSDN
12-09 691
用户第一次访问Servlet时,服务器端会给用户创建一个独立的Session。 并且生成一个SessionID,这个SessionID在响应浏览器的时候会被装进cookie中,从而被保存到浏览器中。 当用户再一次访问Servlet时,请求中会携带着cookie中的SessionID去访问。 服务器会根据这个SessionID去查看是否有对应的Session对象。 有就拿出来使用;没有就创建一个Session(相当于用户第一次访问)。
Web API接口鉴权方式
人间世
02-28 5458
介绍web API接口的鉴权方式
巧用 API 网关构建大型应用体系架构
阿里云云栖号
07-06 1183
近期阿里云重磅发布了BizWorks一体化的云原生应用的开发和运营平台,内置阿里巴巴业务中台构建的最佳技术实践。它已经将API网关作为关键组件融入其中,并且基于API网关为用户提供能力开放平台。那么API网关是如何在BizWorks中起到作用?API网关在实际业务中又起到怎样帮助?...
Cookies 和Session认证机制
conquer_galaxy的博客
03-16 391
Cookies 和Session认证机制
cookie session token区别
06-28
### 回答1: CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对数据,在用户的不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名密码等。 Session Token 是在用户登录时在服务器端创建,并在用户与服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结,Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性和隐私性。在理解三者的区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie 是服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份和记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性和隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份和权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户的浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者的区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性和使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端与服务端的交互;Session更注重用户身份的鉴别与用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域和分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证和信息存储方式,它们之间最大的不同在于其存储的位置和方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie用户登录后会保存用户名密码和一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie,服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同于CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token,服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息和身份的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值