接口鉴权之cookie、session和token

最新推荐文章于 2024-06-18 18:32:44 发布
最新推荐文章于 2024-06-18 18:32:44 发布
阅读量1.4k 收藏 6
点赞数 2
文章标签: cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40747628/article/details/114964929
版权

一、鉴权

含义:鉴权就是指验证用户是否拥有访问系统的权利,即鉴定权限

二、引入cookie、session和token的原因

目前,大部分接口使用的都是HTTP协议,而HTTP协议是无状态的,即本次请求和上一次请求是没有任何关系的,无法共享信息。

比如,像我们现在淘宝下单需要先登录,你登录成功了之后再去下单,服务器怎么知道你是已登录状态呢?

三、cookie和session

1、cookie产生原因:由于HTTP是一种无状态协议,服务器没有办法单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了Cookie(Cookie实际上是一小段的文本信息)

2、cookie工作原理:客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie;客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。

3、session工作原理:客户端发送登录信息给服务器,服务器拿到登录信息后生成sessionID,然后服务器将sessionID发送给客户端,客户端再次访问时携带sessionID给服务器,服务器通过sessionID判断对方是否是真实用户。

4、cookie 和session的区别

1)存放位置:cookie数据存放客户端(浏览器),session存放在服务器

2)安全性:cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,如果主要考虑到安全应当使用session 

3)内存上:session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,如果主要考虑到减轻服务器性能方面,应当使用COOKIE 

4)大小限制:单个cookie在客户端的限制是3K,所以将登陆信息等重要信息存放为SESSION; 其他信息如果需要保留,可以放在COOKIE中

5)共同点:cookie和session都是用来跟踪浏览器用户身份的会话方式

四、session和token(Json web token (JWT))

简单来说:使用token的原因是session ID占服务器内存

解决方法:引入token,token可以直接把锁和钥匙都返回给浏览器,服务器通过算法去验证锁和钥匙是不是同时有效的(防止有人恶意篡改)

 

_cindyfu_
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
接口测试】鉴权初了解
黑黑白白君的博客
06-05 3970
文章目录1.1 什么是鉴权?1.2 常见的鉴权方式1、HTTP Basic Authentication鉴权方式HTTP Basic Authentication鉴权方式的认证过程:HTTP Basic Authentication鉴权方式的注销HTTP Basic Authentication鉴权方式的适用范围2、token鉴权方式token鉴权方式流程:token鉴权方式适用场景*JWT(JSON WEB TOKEN)3、session + cookie鉴权方式session+cookie认证流程:*s
Web API接口鉴权方式
人间世
02-28 5489
介绍web API接口鉴权方式
API接口鉴权
最新发布
06-18 488
鉴权(authentication),鉴权是指对于一个声明者所声明的身份权利,对其所声明的真实性进行鉴别确认的过程。鉴权主要是对声明者所声明的真实性进行校验。若从授权出发,则会更加容易理解鉴权。授权和鉴权是两个上下游相匹配的关系,先授权,后鉴权。授权和鉴权两个词中的“权”,是同一个概念,就是所委派的权利,在实现上即为授信媒介的表达形式。因此,鉴权的实现方式是和授权方式有一一对应关系。对授权所颁发授信媒介进行解析,确认其真实性。
postman 之接口鉴权
zhangleibin的博客
01-04 6360
首先先明确一下接口鉴权的含义:简单来说鉴权就是要确定用户是否有访问系统(这里可以理解成接口)的权限 一般情况下如果发送接口请求的时候返回了 401 错误, 那么一般是接口需要鉴权 鉴权的方式有多种,下面一一列举 1、Inherit auth from parent 从父级继承身份验证 使用方法 点击下图 Collections 右侧的...,然后选择 edit,在 EDIT COLLECTION 中选择 Authorization type 中可以根据实际需要选择下方鉴权方法,比如选
权限校验—接口检验
一起加油吧~
08-08 2770
获取传入用户的信息判断用户信息的权限信息集合中是否含有定义的权限/*** @Description: 自定义权限实现*//** 所有权限标识 *//*** 验证用户是否具备某权限* @param permission 权限字符串* @return 用户是否具备某权限*///判断是否传入权限字符//获取用户信息//判断是否有用户信息,或者用户信息中是否包含权限集合//将权限设置到请求头中//判断是否包含权限/*** 判断是否包含权限。
软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
百晓生说测试的博客
05-17 2525
接口签名就是使用appid,appsecret,nonce(流水号),timestamp(时间戳),以及其他的各种参数按照一定的规则(一般是ASCII排序)组成用来识别你的账号有没有访问api接口的权限的字符串,组成之后再进行加密,这个经过加密的字符串就是sign签名。流水号(nonce)是一串10位以上的随机一组数字或者随机的一组字符串。数字+字符串(guid)。timestamp一般10分钟之内有效。
Session-server:Session 鉴权服务
05-07
cookie用户前端sessiontoken服务,前端不存取其他用户信息 后端校验,cookie如果存在,token也存在,对得上号,放行,那么假使此时token过期了,再给用户重发一个新的token 数据库vkey在登陆的时候塞回用户cookie...
前后端常见的几种鉴权方式(小结)
11-30
本文主要总结了四种常见的前后端鉴权方式:HTTP Basic Authentication、Session-CookieToken验证以及OAuth。 首先,HTTP Basic Authentication是一种基于HTTP协议的基本授权方式。当客户端(通常是浏览器)向...
聊聊鉴权那些事(推荐)
12-09
在系统级项目开发时常常会遇到一个问题就是鉴权,身为一个前端来说可能我们距离鉴权可能比较远,一般来说我们也只是去应用,并没有对权限这一部分进行深入的理解。 什么是鉴权 鉴权:是指验证用户是否拥有访问系统的...
Session相关知识点PDF版本
05-30
尽管CookieSession都有被冒充的风险,但Session通过服务器存储数据,可以避免直接暴露敏感信息,提供了额外的安全层。 6. 需要Session的原因 即使Cookie被盗,由于Session数据在服务器端,攻击者仅能获得Session ...
session的工作原理,及session实现登录验证示例
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 3341
服务器创建 Session: 服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户的 Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
CookieSessionToken、JWT
kagurawill的博客
12-30 1390
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
接口自动化 --- 授权、鉴权 以及实例说明
Monkey__yuan的博客
05-19 2178
一、 接口授权,鉴权相关概念 什么是授权,什么是鉴权 授权: 相当于给一个通行证,由服务器下发 鉴权: 鉴定是否有权限访问(判断有没有通行证) 目前最常用三种认证机制 1) Cookies 2) Session 3) token 二、 实例说明: 接口文档说明 2 实现思路: i) 登录接口:成功登录后获取响应体中的token信息 ii ) 其他接口(请求头Authorization 需要token信息),需要将token信息拼接进请求头中 代码实现示例 1) 登录接口
http(三)接口动态鉴权
w_t_y_y的博客
05-26 7341
一、问题说明:接口如果是被同一个项目的前端项目调用,一般都是加了各种鉴权的,比如springsercurity+token安全机制,shiro 等框架都可以控制接口访问权限。但是如果接口是提供给外部调用,肯定是不需要登录的,所以需要在自身的权限控制中放开 该接口token校验,这样就会造成安全问题,我们一般采取拦截器的方式,和第三方做个鉴权; 二、鉴权方法: 鉴权采用固定参数同样存在安全问题,容易被抓包获取到。所以一般带入动态的时间戳来鉴权,常用的鉴权逻辑是:...
java接口鉴权
我的博客
08-25 2586
项目需要接口添加鉴权,选用token鉴权方式,后端与调用方使用相同的加密算法(key+method).md5作为token------参考demo
接口自动化测试基础之路 03】接口鉴权
alyone的博客
05-23 934
简单的接口鉴权方面的概念
接口鉴权 - 学习/实践
william_n的博客
12-09 8325
1.应用场景 “为了保证接口调用的安全性,设计实现一个接口调用鉴权功能,只有经过认证之后的系统才能调用我们的接口,没有认证过的系统调用我们的接口会被拒绝. 如:你正在参与开发一个微服务。微服务通过 HTTP 协议暴露接口给其他系统调用,说直白点就是,其他系统通过 URL 来调用微服务的接口. 2.学习/操作 2.1 介绍 见应用场景 ...
跨域下每次请求的session为null_程序员必备知识:cookiesession认证
weixin_39538847的博客
11-22 340
用户认证在互联网发展初期,Web基本上只是内容的浏览而已,服务器不需要记住每个浏览请求的状态,换句话说,服务器不需要有任何的状态信息,每次客户端的请求都是新的请求,这也是http无状态一个很明显的表现。随着互联网大潮的到来,尤其是像在线购物等这种和用户关系密切的系统的大量兴起,系统需要辨识出用户,以便进行各种业务操作,这种需求给Http无状态这种特性一个强烈的冲击,所以最终的解决方案就是客户端请求...
session鉴权cookies鉴权token鉴权原理各是什么
06-08
Session鉴权Session鉴权是通过在服务端保存用户的会话信息,来验证用户身份的一种方式。当用户访问某个需要登录的页面时,服务器会生成一...Token鉴权相对于Session鉴权Cookies鉴权,具有更好的安全性和跨平台性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值