接口鉴权之cookie、session和token

最新推荐文章于 2024-08-16 14:07:56 发布
最新推荐文章于 2024-08-16 14:07:56 发布
阅读量1.5k 收藏 6
点赞数 2
文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40747628/article/details/114964929
版权

一、鉴权

含义:鉴权就是指验证用户是否拥有访问系统的权利,即鉴定权限

二、引入cookie、session和token的原因

目前,大部分接口使用的都是HTTP协议,而HTTP协议是无状态的,即本次请求和上一次请求是没有任何关系的,无法共享信息。

比如,像我们现在淘宝下单需要先登录,你登录成功了之后再去下单,服务器怎么知道你是已登录状态呢?

三、cookie和session

1、cookie产生原因:由于HTTP是一种无状态协议,服务器没有办法单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了Cookie(Cookie实际上是一小段的文本信息)

2、cookie工作原理:客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie;客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。

3、session工作原理:客户端发送登录信息给服务器,服务器拿到登录信息后生成sessionID,然后服务器将sessionID发送给客户端,客户端再次访问时携带sessionID给服务器,服务器通过sessionID判断对方是否是真实用户。

4、cookie 和session的区别

1)存放位置:cookie数据存放客户端(浏览器),session存放在服务器

2)安全性:cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,如果主要考虑到安全应当使用session 

3)内存上:session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,如果主要考虑到减轻服务器性能方面,应当使用COOKIE 

4)大小限制:单个cookie在客户端的限制是3K,所以将登陆信息等重要信息存放为SESSION; 其他信息如果需要保留,可以放在COOKIE中

5)共同点:cookie和session都是用来跟踪浏览器用户身份的会话方式

四、session和token(Json web token (JWT))

简单来说:使用token的原因是session ID占服务器内存

解决方法:引入token,token可以直接把锁和钥匙都返回给浏览器,服务器通过算法去验证锁和钥匙是不是同时有效的(防止有人恶意篡改)

 

_cindyfu_
关注
接口鉴权cookiesessiontoken
weixin_40819504的博客
03-12 1014
什么是接口鉴权鉴权就是鉴定权限。在公司开发的一些系统中都会有权限的鉴定。不管是app还是网站的项目,都会有登录模块,而只要有登录模块,他有一些功能,肯定是必须要登录之后才能完成了。比如你在淘宝下单的时候,肯定是要登录的。你每次去做下单的时候,他其实每一次都会去检测你这个用户的信息,是否有效的。所以鉴权接口每次被调用的时候,都需要做一个事情。而我们需要写一些代码或者是通过一些工具,postma...
cookiesessiontoken区别以及鉴权
weixin_42371860的博客
12-02 1756
一. cookie 1. 什么是cookie呢? cookie是服务器产生的保存在客户端的一小段文本信息,格式是字典,键值对。 cookie分类: 会话级cookie:保存在内存,当浏览器关闭会自动消失。 持久化cookie:保存在硬盘,当浏览器关闭不会消失,有自己的失效时间 2. 如何查看cookie以及格式? 查看单个项目的cookie:F12,Expries/Max-Age是过期时间,session的表示会话级cookie,有年月日的表示持久化cookie 查看浏览器中所有cookie: 3.
CookieSession鉴权
m0_47127594的博客
06-09 401
01—引言作为一个测试工程师,做接口自动化时,难免会遇到接口之间的关联以及登录接口等,所以了解cookiesessiontoken是必备的,下面这篇文章来给大家简单介绍Cookie和S...
CookieSession鉴权
m0_47127594的博客
12-16 1583
作为一个测试工程师,做接口自动化时,难免会遇到接口之间的关联以及登录接口等,所以了解cookiesessiontoken是必备的,下面这篇文章来给大家简单介绍Cookie: 一、Cookie 1、什么是Cookie? 目前大部分网络都是采用HTTP协议,那么HTTP协议本身是没有状态的。等同于,服务器无法判断用户的身份,cookie实质是以一个Key-value格式保存的。客户端向服务器发送请求时,response向客户端发送一个cookie,客户端将此cookie保存起来(保存于客户端),当浏览器再次
什么是鉴权?这些postman鉴权方式你又知道多少?
最新发布
百晓生说测试的博客
08-16 1172
鉴权也就是身份认证,就是验证您是否有权限从服务器访问或操作相关数据。发送请求时,通常必须包含相应的检验参数以确保请求具有访问权限并返回所需数据。通俗的讲就是一个门禁,您想要进入室内,必须通过门禁验证身份,这就是鉴权,如打开一个网站必须要输入用户名和密码才可以登录进入,这种就是鉴权,还有一些业务需要登录以后才可以进行,因为需要token值,则就可以把token添加到鉴权中,这种也是鉴权。二、postman鉴权方式postman 支持多种鉴权方式,如图。
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2887
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSessionToken三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSessionToken鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
python接口自动化之cookiesessiontoken鉴权解决方案
????????️的博客
04-28 4189
http协议:简单、快捷、无连接、无状态。多次请求之间是没有关联的,独立的。 一、cookie鉴权 1、什么是cookiecookie是在服务器产生的存储在客户端的一小段文本信息,格式是字典,键值对。 2、cookie的分类 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除 3、如何查看cookie name,value、domain、path、express、size 4、cookie如何实现鉴权(原理) 当客户端第一次访问服务器时,那么服务器就会产生cookie
接口鉴权 - 学习/实践
"代码"的日常搬运
12-09 8725
1.应用场景 “为了保证接口调用的安全性,设计实现一个接口调用鉴权功能,只有经过认证之后的系统才能调用我们的接口,没有认证过的系统调用我们的接口会被拒绝. 如:你正在参与开发一个微服务。微服务通过 HTTP 协议暴露接口给其他系统调用,说直白点就是,其他系统通过 URL 来调用微服务的接口. 2.学习/操作 2.1 介绍 见应用场景 ...
鉴权大全(cookiesessiontoken、jwt、单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1501
鉴权大全(cookiesessiontoken、jwt、单点登录),深入理解和搞懂鉴权
Python使用接口cookietokensession鉴权方式
qq_41130705的博客
07-19 1969
前言:今天咱们来学习下使用Python来做cookietokensession鉴权方式,我们将通过几个简单的例子来快速学习上手
接口鉴权cookiesessiontoken
测试入坑之路
12-25 577
https://www.bilibili.com/video/av81777533/
接口测试】鉴权初了解
黑黑白白君的博客
06-05 4218
文章目录1.1 什么是鉴权?1.2 常见的鉴权方式1、HTTP Basic Authentication鉴权方式HTTP Basic Authentication鉴权方式的认证过程:HTTP Basic Authentication鉴权方式的注销HTTP Basic Authentication鉴权方式的适用范围2、token鉴权方式token鉴权方式流程:token鉴权方式适用场景*JWT(JSON WEB TOKEN)3、session + cookie鉴权方式session+cookie认证流程:*s
OpenAPI鉴权(一)自定义参数鉴权
w_t_y_y的博客
05-26 7826
防止数据泄露和网络攻击,接口一般是需要鉴权控制访问的。如前后端分离项目中,前端带入token等方式。如果接口提供给第三方调用且无需登陆,则需要给该接口加白名单,但是这样会造成安全问题,我们可以约定参数进行鉴权鉴权采用固定参数同样存在安全问题,容易被抓包获取到。可以带入动态的时间戳来鉴权
Web API接口鉴权方式
人间世
02-28 6308
介绍web API接口鉴权方式
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2918
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口的权限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
权限校验—接口检验
一起加油吧~
08-08 3540
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限。
sessiontoken鉴权
Ly_LittleStar的博客
10-17 1146
1.什么是token? 在接口的响应结果中,经常会出现类似这样的返回值: {"msg":"success", "token":"eysdjsdAshdjhfjisjfoisjdiv" } 往往需要在访问下一个接口时传递token数据。 curl -x POST -H Authorization:eysdjsdAshdjhfjisjfoisjdiv <http:127.0.0.1:5000/user> {"alg":"HS256","typ":"JWT"} 所以token
sessiontoken鉴权方式
weixin_40611700的博客
10-19 1189
1.什么是token接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
session的工作原理,及session实现登录验证示例
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 3974
服务器创建 Session: 服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户的 Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
什么是鉴权?一篇文章带你了解postman的多种方式
jj2772367224的博客
08-02 1801
这是一个很有用的功能,当我们对一个集合(collection)进行测试的时候,集合中的每个请求都需要获取token,那么如果我们在集合的根目录把token获取到的话,那么该集合下的所有请求就会自动获取到token,无需任何处理(因为每个请求的Authorization默认选项就是Inheritautofromparent),也就省略了我们对每个token进行处理了。如果您成功从API接收到令牌,则可以看到其详细信息、到期时间以及可选的刷新令牌,当当前令牌过期时,您可以使用该令牌来获取新的访问令牌。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值