笔记/前后端鉴定权限几种方式

最新推荐文章于 2024-03-05 12:05:35 发布
最新推荐文章于 2024-03-05 12:05:35 发布
阅读量611 收藏
点赞数
分类专栏: 笔记 文章标签: 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37021554/article/details/88579760
版权

参考:

https://blog.csdn.net/wang839305939/article/details/78713124

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Authentication

 1.HTTP Basic

   HTTP 提供一个用于权限控制和认证的通用框架。最常用的HTTP认证方案是HTTP Basic authentication。

当客户端向服务器发送一个请求时,若一开始还未验证,则服务器回返回401未授权,并且返回WWW-Authenticate来告诉客户端如何验证,之后客户端向服务端发送相应证明自己的比如说密码,添加在Authorization字段里,浏览器会自动进行加密,然后服务端会进行解密验证,返回成功,或者未授权。

HTTP Basic一般不是特别安全,不会放比较敏感的内容。

2.session-cookie

  一般用于利用服务器session和浏览器端的cookie实现前后端验证。HTTP请求是无状态,不知道之前的请求来过了没。记录状态可以通过session来进行验证。同一个客户都是一个session。

  客户端首次访问服务端,发送请求时,会创建一个session,然后保存session,并且生成唯一字符串放在响应头里,cookie里,就保存下来。当再次访问时都会带上cookie里的唯一字符串,在服务端对唯一字符串进行认证。

3.Token

类似session+id

客户端发给服务端帐号密码,服务端签发TOKEN,并发回客户端,客户端把token存在内存或者本地,每次请求需要携带token,服务器接受请求时会验证token。

登录以后就只看token了,服务端会拦截所有请求并且验证token的合法性,不合法返回401.

session+id需要有cookie,只有浏览器可以,就是解析cookie。并且session是一直不变的,而token是可以动态改变的。

 

token一般可以用JWT (JSON WEB TOKEN)

三部分,(1)头部:包含类别,加密算法(2)内容:用户信息(3)签名根据加密返回的签名子串

 

4.OAuth

OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息。

过程如图

第一步 用户请求授权第三方

第二步 第三方授权返回用户凭证

第三步 用户凭证请求

第四步 返回对应token

第五步 请求携带token

第六步 返回资源

 

Daisyiko
关注
专栏目录
复试-数据库复习笔记
05-14 535
复试
Linux笔记 Day13---(linux文件系统权限权限位、基本权限ACL、特殊权限SUID和SGID;命令:chmod、chown、setfacl、getfacl、umask、)
weixin_45880055的博客
07-30 502
文章目录一、Linux文件系统权限管理(一)权限对象(二)权限类型二、权限管理命令(一)chmod命令1.chmod命令使用数字修改文件权限2.chmod命令MODE表示法修改文件权限(二)chown命令三、进程安全上下文四、基本权限ACL五、权限掩码umask(一)概述(二)umask的查看(三)权限掩码的设置六、文件特殊权限SUID、SGID(一)Set UID(二)Set GID1.SetGID(SGID)对文件的作用2.SetGID(SGID)对目录的作用 由于绝大多数用户使用的是个人计算机,使用者
关于用户权限判断的实现
Mage_的博客
02-24 1217
#关于用户权限判断的实现 本人最近用gulp+ nodejs+mongodb写了一个小项目。关于权限验证这个问题,查了很多资料,也思考了很久。下面写出了几个自己实验过的方法,基本还是安全可靠的。 (1)种cookie的方法。 简单的说就是第一次判断登录成功返回登录结果时就为responce添加Set-Cookie参数,然后下次访问的时候http协议会自动携带上该cookie,可以通过cookie是...
前后端常见的几种鉴权方式
weixin_34023982的博客
01-24 244
为什么80%的码农都做不了架构师?>>> ...
前后端身份认证:session身份认证,JWT认证
lalala_dxf的博客
05-06 1515
什么是身份认证身份认证(Authentication)又称“鉴权”,是指通过一定的手段,完成对用户身份的确认。生活中常见的身份认证有:高铁的验票乘车、手机密码或指纹解锁,支付宝或微信的支付密码验证等。而在Web开发中,涉及到用户身份的认证,例如:各大网站的手机验证码登录、邮箱密码登录,二维码登录等。为什么要身份认证HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。有些情况下即使是打开同一个网站的不同页面也都要重新登录。
简单权限验证的方法
weixin_33862041的博客
06-01 209
权限验证一直是各类大大小小的系统中核心的问题。如果一个系统权限验证都只有是否两类情况,不存在多值的情况,可以考虑用一个整数保存权限。1。定义好各个功能在权限串中的位置,如 10001 的意义是新增文章权限 1修改文章权限 0删除文章权限 0搜索文章权限 0发送短信权限 1这里有一个限制,只能加,不能减少功能点,也就是在做设计时,必须仔细分析系统对应的功能点,并尽量细化,达到最小颗粒的状态。2。以论...
前后端分离的项目,采用ssm后端接口权限校验
qq_38089964的博客
11-28 3283
前后端分离的项目中,服务端对于每个请求都是一模一样的,对于每个用户的请求识别就需要用到一个统一的方式(jwt),然后在访问每个接口的时候先对这个jwt进行识别,查出这个用户的权限级别,检查是否拥有访问这个接口权限,如果没有,那么将直接返回一个错误信息,表示权限不足,反之放过,继续往下执行。 jwt就是一个包含用户信息的加密字符串:参考:JWT的生成及验证过程 因为对于每个接口都需要进行权...
从零开始学理财读书笔记
最新发布
高调做事,低调做人!
03-05 1187
要想获得财富自由,靠工资还不如靠投资这里的“夜草”和“外财”便是指正常工资积累之外的有效投资。如何抵御通货膨胀对财富的侵蚀?复利,简单地讲就是“利上加利”。即一笔存款或投资获得回报之后,再连本带利进行新一轮投资的方法。计算公式:本利和=本金x(1+投资收益率)n。n为投资的时间。 从这个公式可以看到,投资理财并不复杂,只需要三基本条件,即固定的投资、追求高收益率以及长期持有。 72法则:计算本金翻一倍所需要的时间。 公式:本金翻一倍所需要的时间(年)=72/年平均收益率 “72法则”就是以1%的复利来计算
TCP/IP笔记
lf19960114的博客
07-03 209
TCP/IP 1.TCP连接管理 1.重置报文段 在TCP的头部有其有一个RST位字段。一个将该字段置位的报文段被称作“重置报文段”或简称为“重置”** 一般来说,当发现一个到达的报文段对于相关连接而言是不正确的时,TCP就会发送一个重置报文段。 2.针对不存在的端口连接 通常情况下,当一个连接请求到达本地却没有相关进程在目的端口侦听时就会产生一个重置报文段。之前在“连接被拒绝”的错误消息中已经介绍过这种情况。这些均与TCP协议相关 与UDP的不同: UDP协议规定,当一个数据报到达一个不能使用的目的端
[个人笔记]HCIP-Routing & Switching-IEEP/H12-223
weixin_45235422的博客
09-24 4785
网络规划 网络规划:侧重于调研网络需求以及确认网络实现的外部条件 网络实现:侧重于技术实现。用各种手段实现规划阶段确定的网络需求 网络规划的目标 项目背景:明确网络项目所处的外部条件 确定需求:确定网络项目需要达到的目标 技术方向:选择网路项目的技术路线 项目背景 行业背景与特点:该行业的常规关注点和规范 项目背景与目的:项目发起的原因与目的 业务特点与流程:网络上承载的业务具有的特点与相关业务的流程 项目范围确定 工程边界:与配套工程的分工界面和职责范围 功能边界:项目要实施的具体功能和模块 覆
springboot前后端分离后权限原理浅谈
凡江林的博客
02-05 935
1. 需求描述 最近在梳理springboot前后端分离后的权限管理问题。前段时间,已经把shiro的实现和spring security 的实现进行了初步的了解。如果深入细节,一个篇幅怕是不够。本文仅对权限管理的一些通用原理进行探讨。 2. 权限分类 在前后端分离之后,对于权限方面,主要存在两方面的权限:(1)前端页面访问权限,(2)后台接口访问权限。下面分别以页面权限接口权限两个方面展开讨论。 3. 页面权限管理 页面权限管理,即前端的不同页面需要不同的页面访问权限,比如,某一个页面A,需要超级管理员
微服务前后端分离角色权限认证体系
Arron_hou的博客
05-09 2345
Spring Security:身份验证架构1.接收了Http请求2.根据用户凭据(credentials)创建AuthenticationToken3.为AuthenticationManagager委派创建的AuthenticationToken4.尝试以使用AuthenticationProvider列表进行身份验证5.UserDetailsS​​ervice是否必需?6. and 7. U...
前后端分离,后台页面权限和操作权限的思考
buyue
03-10 1022
后台权限控制都是通过填写路由来达到控制权限,而前端后端的路由又不同, 思路: page路径由前端验证; api路径由后端验证; 方案1 角色路由权限表 新增字段路由类型,包含的页面(page)和接口(api)两种类型,所以可以增加一个路由类型的字段来区分; <?php namespace api\enums; //路由类型 class RouteType extends Enum { const PAGE = 1;//页面 const API = 5;//接口 } 后台菜单栏
一文教你彻底搞定前后端所有鉴权方案,让你不再迷惘
LuckyWinty的博客
11-08 1053
点击上方前端Q,关注公众号回复加群,加入前端Q技术交流群作者:易师傅https://juejin.cn/post/7129298214959710244前言还记得之前在面试的时候,有一位面试官就问了,关于前端鉴权这块,Token、Cookie、Session、JWT、单点登录是什么?有什么作用?你一般是怎么做的?以及你是怎么存储的呢?那你又是怎么保证 它 的安全的呢?一顿连问下来,我是焦头又烂额...
接口自动化测试——接口鉴权的多种情况与解决方案
python全栈
03-28 1289
在基本HTTP身份验证中,请求包含格式为的标头字段Authorization: Basic。其中credentials是ID和密码的Base64编码,由单个冒号连接:。获取session的实例,需要通过session()保持会话。即为认证之后,之后所有的实例都会携带cookie。可以模仿用户在浏览器的操作。
【面试】如何定位问题时前端还是服务端的?
Teamo_mc的博客
09-22 806
第一步: 先判断是前端还是后端的问题,如果是接口请求响应数据是正常的,则进一步定位前端问题 第二部: 后端接口请求异常,则可通过状态码进行判断 400--请求语法错误,也就是前后端语法定义不一致 401--未授权 403--服务端拒绝访问 404--资源不存在 500--服务器内部错误 如果遇到磁盘满了,就需要看应用程序是否活着,如果活着则返回500(服务器处理异常),若是应用程序已经死了,则返回400资源不存在了 ...
后端进阶之路——浅谈Spring Security用户、角色、权限和访问规则(三)
Why_does_it_work的博客
08-04 4331
通过定义用户、角色、权限和访问规则 可以在SpringSecurity中实现灵活的访问控制和权限管理。可以使用内存方式或数据库方式定义用户,设置用户名、密码和角色等信息。角色可以用来组织和控制权限,可以将一组权限赋予特定角色,并将角色分配给用户。权限是指用户可以执行的特定操作或访问的资源,可以细化到每个功能或数据级别。可以使用Ant风格的路径匹配规则或表达式语言编写更复杂的访问规则,以限制用户对特定路径或功能的访问权限。 通过定义这些元素,可以确保系统的安全性和可靠性。
传销站经典案例之篡改cookie进后台
无心的博客
12-03 1040
在传销站发现了一个比较有意思的代码,他的后台登陆是有很大的问题,采用了cookie去判断用户是否登陆 首先,先来看一下它是如何判断登陆的 看到这个,我想,大家应该都明白是什么情况了 它先获取了cookie中‘denglu’中的字段,然后判断其中是否存在’userid‘,如果存在,就提示已经登陆,然后跳转到后台主页面 我们接着往下翻,翻到判断登陆的代码 我们只关注它在登陆成功的时候,做了什么事情...
springboot前后端不分离项目笔记
09-09
Spring Boot是一个用于创建独立的、生产级别的基于Java的应用程序的框架。它的特点是简单、快速、方便,适合用于构建单体应用程序。在传统的Spring Boot项目中,前后端通常没有明确的分离,而是将前端代码和后端代码放在同一个项目中。 下面是一些笔记,可以帮助你理解如何在Spring Boot项目中进行前后端不分离的开发: 1. 项目结构:在项目中创建一个统一的目录结构,将前端后端代码放置在不同的子目录中。可以按照功能或模块来组织代码。 2. 视图层:使用模板引擎(如Thymeleaf)来生成前端页面。在后端代码中编写HTML模板文件,将动态数据注入到模板中,然后将渲染后的HTML页面返回给客户端。 3. 控制器:编写后端的控制器类来处理请求和返回数据。控制器类负责接收前端请求,处理业务逻辑,并将相应的数据返回给前端。 4. 数据交互:使用Spring Boot提供的HTTP请求处理功能来处理前后端之间的数据交互。可以使用@RestController注解标记控制器类,使用@RequestMapping注解标记方法,然后通过方法参数接收请求参数或请求体。 5. 安全性:可以使用Spring Security来保护应用程序的安全性。通过配置安全规则,可以限制访问某些URL或资源的权限。 6. 数据库操作:可以使用Spring Data JPA来进行数据库操作。通过定义实体类和仓库接口,可以方便地进行CRUD操作。 7. 测试:可以使用JUnit或Spring Boot提供的测试框架来编写单元测试和集成测试。通过测试可以确保代码的质量和功能的正确性。 请注意,虽然在前后端不分离的项目中,前端代码和后端代码放在同一个项目中,但仍可以通过组织代码结构和使用合适的技术来实现代码的模块化和可维护性。如果你希望实现前后端分离的开发方式,可以考虑使用前后端分离的框架(如Vue.js、React等)来构建前端,并通过RESTful API来进行数据交互。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值