基于Token的WEB后台认证机制(会话机制)

最新推荐文章于 2024-06-22 08:29:43 发布
置顶 最新推荐文章于 2024-06-22 08:29:43 发布
阅读量5.1k 收藏 12
点赞数 4
分类专栏: session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35923749/article/details/83817442
版权
本文介绍了常见的认证机制,如HTTP Basic Auth、OAuth和Cookie Auth,并详细讲解了基于JWT(JSON Web Token)的Token认证机制。JWT包含头部、载荷和签名三部分,具有跨域访问、无状态等优点,适用于移动应用和API认证。文章还讨论了Token认证过程和注意事项,并提到了JWT在Java中的实现。
摘要由CSDN通过智能技术生成

几种常用的认证机制

HTTP Basic Auth

HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采用HTTP Basic Auth

OAuth

OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一web服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。

OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统(例如,视频编辑网站)在特定的时段(例如,接下来的2小时内)内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容
下面是OAuth2.0的流程:

这种基于OAuth的认证机制适用于个人消费者类的互联网产品,如社交类APP等应用,但是不太适合拥有自有认证权限管理的企业应用;

Cookie认证机制就是为一次请求认证在服务端创建一个Session对象,同时在客户端的浏览器端创建了一个Cookie对象;通过客户端带上来Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认的,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie 的expire time使cookie在一定时间内有效;

Token Auth

Token Auth的优点

Token机制相对于Cookie机制又有什么好处呢?

  • 支持跨域访问: Cookie是不允许垮域访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输.
  • 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token 自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息.
  • 更适用CDN: 可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供API即可.
  • 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你的API被调用的时候,你可以进行Token生成调用即可.
  • 更适用于移动应用: 当你的客户端是一个原生平台(iOS, Android,Windows 8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单得多。
  • CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨站请求伪造)的防范。
  • 性能: 一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算 的Token验证和解析要费时得多.
  • 不需要为登录页面做特殊处理: 如果你使用Protractor 做功能测试的时候,不再需要为登录页面做特殊处理.
  • 基于标准化:你的API可以采用标准化的 JSON Web Token (JWT). 这个标准已经存在多个后端库(.NET, Ruby, Java,Python, PHP)和多家公司的支持(如:Firebase,Google, Microsoft).

基于JWT的Token认证机制实现

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。其

JWT的组成

一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。

将头部进行Base64加密构成JWT token第一部分;

载荷(payload)进行base64加密构成JWT token第二部分 ;

将头部,荷载和签证拼在一起,用HMAC SHA256加密,得到的字符串为JWT token第三部分。

最后,将这三部分拼接在一起就是jwt,即: 头部. 载荷. 签名

头部(Header)
JWT还需要一个头部,头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。

{
"typ": "JWT",
"alg": "HS256"
}

在头部指明了签名算法是HS256算法。
当然头部也要进行BASE64编码,编码后的字符串如下:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9


载荷(Payload)

{ "iss": "Online JWT Builder", 
  "iat": 1416797419, 
  "exp": 1448333419, 
  "aud": "www.example.com", 
  "sub": "jrocket@example.com", 
  "GivenName": "Johnny", 
  "Surname": "Rocket", 
  "Email": "jrocket@example.com", 
  "Role": [ "Manager", "Project Administrator" ] 
}
  • iss: 该JWT的签发者,是否使用是可选的;
  • sub: 该JWT所面向的用户&#x
最低0.47元/天 解锁文章
凌凌小博客
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web基础:Token
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
session 认证机制
是阿瑶的博客呀~
10-11 267
1.HTTP 协议的无状态性 HTTP 协议的无状态性,指的是客户端的每次 HTTP 请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次 HTTP 请求的状态 2. 如何突破 HTTP 无状态的限制 对于超市来说,为了方便收银员在进行结算时给 VIP 用户打折,超市可以为每个 VIP 用户发放会员卡. 注意:现实生活中的会员卡身份认证方式,在 Web 开发中的专业术语叫做 Cook 3. 什么是 Cookei Cookie 是存储在用户浏览器中的一段不超过 ...
会话技术及用户认证-Cookie、Session与 Token
dlut_ppp的博客
04-03 496
前言 最早互联网只是用于简单的浏览文档信息、查看黄页及门户网站等等,并没有交互这个说法。但是随着互联网慢慢发展,宽带、服务器等硬件设施得到了很大的提示,互联网允许人们可以做更多的事情,所以交互式Web逐渐兴起,而HTTP无状态的特点却严重阻碍了其发展。 HTTP 是无状态的协议,每个请求都是完全独立的(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息)。也就是说,无法根据之前的状态进行本次的请求处理——服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次
基于TokenWEB后台认证机制
最新发布
ruky36的专栏
06-22 679
基于Token认证机制通过在客户端和服务器之间传递Token,实现了无状态的用户认证和授权。通过合理的Token管理和验证机制,可以确保Web应用的安全性和扩展性。在现代的Web应用中,基于Token认证机制广泛应用于前后端分离的架构中。1. JWT (JSON Web Token): 一种常见的Token格式,包含Header、Payload和Signature三部分,具有自包含和易于传输的特点。6. 服务器验证Token:服务器验证Token的有效性,并根据验证结果返回相应的资源或错误信息。
后端处理token
Wow 五六 !!! 的博客
03-31 326
后端处理token servlet形式 使用拦截器进行拦截
会话,授权,认证概念解析
分享博主日常学习和使用的一些技术
06-10 689
会话对于客户的第一个请求,服务端会生成一个唯一的会话id,并通过响应把它返回到客户端。客户在以后的每一个请求中都发送这个会话id。当然具体怎么实现由程序员决定,完全可以只有登录用户才会分配会话,通过会话的属性来判定用户使用有某种权限。会话操作会话创建,撤销会话会话属性操作:增加一个属性,删除一个属性,修改一个属性客户端和服务端是怎么交换会话ID信息的?1.最常用的是通过cookie携带这个会话id
session会话_登录认证模块之session会话认证
weixin_39803977的博客
01-30 550
session会话认证定义:Session是应用系统对浏览器客户端身份认证的属性标识。Session中的用户信息会存放在应用系统服务器中。当浏览器客户端使用自身的 Session标识访问服务器时,服务器会根据 Session标识来查找对应的用户身份信息。危害:当系统使用 Session会话授权认证机制配置存在缺陷时,会导致攻击者利用配置缺陷风险进行对用户会话权限的盗取、操控等操作。Ses...
springcloud springboot 基于token的登录认证,redis存放token,filter统一验证登录状态 项目完善04
qq445829096的博客
05-02 2053
springcloud springboot 基于token的登录认证,redis存放token,filter统一验证登录状态 项目完善04
基于 lake-admin 后台管理系统的用户管理模块,实现了用户登陆api的token及jwt双认证.zip
07-23
在本项目中,我们主要关注的是一个基于"lake-admin"后台管理系统实现的用户管理模块,该模块集成了Token和JWT(JSON Web Token)双重身份验证机制。这是一个PHP编程的成果,涉及Web系统的源码开发,适用于MySQL...
Web安全之攻击会话管理机制
Blood_Pupil的博客
05-09 1368
HTTP协议本身是“无状态”,“无连接”的,也就是说HTTP协议本身并不会记住客户端访问的上下文,也无法保存客户端的各种状态,这其中就包括登录状态。如果HTTP不能保存用户的登录状态那就意味着用户在每次访问需要身份验证的网站时都必须填写用户名及密码,这里的“每次访问”是指每个单次的HTTP请求包括刷新一次页面。为了解决上述的问题Web应用程序就需要设计会话管理机制,通常是使用Cookie及Ses...
HTTP---会话机制JWT( JSON Web Token)
qq591009234的博客
04-22 466
3.会话机制JWT( JSON Web Token)会话机制(翻译:令牌) 3.1.JWT是一个非常轻巧的规范 3.2.这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息 3.3.是服务端生成的一串字符串,作为客户端进行请求的一个标识,由三部分组成,它们之间用圆点(.)连接。 3.4.一个典型的JWT看起来是这个样子的:xxxxx.yyyyy.zzzzz 1.头部(Header):用...
浅谈会话技术:Cookie,Session、Token
青春木鱼的博客
12-25 1478
浅谈会话技术:Cookie,Session、Token
什么是认证?什么是会话?什么是授权?
lwjlin的博客
05-29 425
认证:就是判断一个用户的身份是否合法的过程。用户访问系统资源,需要确认身份合法,才能继续访问。 会话:就是认证通过了,创建一个会话会话结束前,一般无需再次认证。实际就是保持用户登录状态的机制。一般通过session方式和token方式。 授权:是认证通过后发生的,授权是为了更细颗粒度对隐私数据进行划分。控制用户能够访问不同的资源。 授权的数据模型 用户----------------角色------------------权限---------------资源 用户角色关系---------
会话机制和登录机制
皮皮狗
05-04 578
本博客为本人学习SSO单点登录时的学习笔记,主要参考了最强SSO单点登录教程(一)多系统的复杂性等系列课程。 一、会话机制 通常是指用户浏览器与服务器进行通信的时间间隔,浏览器和服务器之间的会话是通过浏览器的Cookie和服务器中的Session来进行的。主要过程如下: 1.浏览器第一次访问Tomcat服务器时,服务器会在服务端创建一个Session对象,并存储在服务端维护的map中,其中k...
常用工具类之jwt的学习使用
weixin_53998054的博客
10-22 1252
jwt的使用
JSON Web Token 入门教程
weixin_34067102的博客
07-24 954
2019独角兽企业重金招聘Python工程师标准>>> ...
会话控制(cookie、session、token
L19541216的博客
12-14 1024
所谓的会话控制就是对会话进行控制HTTP是一种无状态的协议,他没有办法区分多次的请求是否来自同一个客户端,无法区分用户,而产品中又大量存在这样的需求,所以我们需要回话控制来解决该问题cookiesessiontoken
Token详解及安全验证
qq_53058639的博客
03-08 1847
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值