谈谈web项目中的凭证与依赖凭证

最新推荐文章于 2024-07-12 16:10:15 发布
最新推荐文章于 2024-07-12 16:10:15 发布
阅读量1.8k 收藏
点赞数
分类专栏: 前端开发 架构设计 文章标签: cookie凭证 客户端缓存信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40882724/article/details/85063643
版权

凭证或者token,是一种认证机制,相当于一把钥匙,有了它,才能打开特定的锁进入对应的门,这相当于增加了一层保护机制,过滤掉那些不合理的操作。

首先介绍下web项目中的一些token或认证类型,再简单举例在React项目中的使用。

web中的认证

还记得大学时期,第一次购物的场景激动的不得了,当时有个叫网盾的东西(建设银行的),usb连上电脑,通过认证才可支付,俗称网银盾。这个盾就提供了一层防护机制,只有环境安全了,才完成支付,就是一种认证。后来支付宝微信等二维码支付的流行也使网银盾,渐渐无人问津退出了主流。

玩过早期的梦幻西游的玩家都知道,梦幻西游在2006年代是相当火爆的,游戏的受欢迎决定账户潜在遭受攻击盗号风险的上升,于是网易出了个游戏令牌,该令牌一经激活就会开启周期性的登录密码随机生成模式。也是一种认证,只不过认证放到了服务端。

本文针对一种普遍的,开发关注比较多的过程:

  • 登录请求至服务端,认证通过后获取token
  • 每次request携带该token至服务端
凭证的存储与使用

拿到Token后需要存储在客户端
客户端的三种存储模式:

  • cookie
    老牌存储机制,特点是可以装载至request header里发送,可以设置过期时间。
  • sessionStorage
    相当于浏览器的一个tab,tab关闭存储即消失,特点是方便,无需关注过期时间。
  • localStorage
    永久存储,没有过期时间,除非手动删除。

我们采用cookie存储,一方面凭证都有时效性,另一方面需要便携性,cookie天然具备这样的特性。

客户端和服务端都能写入cookie,区别是哪一方控制时效的问题。

依赖凭证

所谓依赖凭证是指需要根据一份信息来获取另一份信息,比如:
根据用户id获取该用户名下的所有资源列表

但是仅此还不够,依赖凭证必须是一份有一定时效性的信息,不易变性,当前用户的id不可能随意更改,除非登出logout.(在一个登陆周期内是不变的)

依赖凭证的存储

存入sessionStorage,每次请求依赖数据时:

  • 先检查是否有存储
  • 有直接取出,没有则重新请求,并将请求的结果存储
///user-ready.js
import User from '@/ajax/user'
function ReadyOrNot(){
	return new Promise((res,rej)=>{
		let userInfo = sessionStorage.getItem('userInfo');
		if(userInfo !== null){
			//依赖凭证有存储
			res(userInfo)
		}else{
			User.getUserInfo().then(res=>{
				if(res.statusCode === 200){
					//写入sessionStorage
					sessionStorage.setItem('userInfo',res.userInfo);
					res(res.userInfo)
				}
			})
		}
	})
}

//other.js
import Ready from './user-ready.js'
Ready().then(res => {
	//拿到依赖凭证数据,再请求下一个数据信息
})
总结

分析了两种凭证:一种token凭证,一种数据依赖凭证。

寻梦皮皮虾
关注
专栏目录
项目用到的单点登录技术
qq_44793993的博客
09-05 754
文章目录谈谈单点登录项目用到的单点登录CAS server/client登录流程简述登出流程简述高可用单点登录的安全性 公司项目的登录系统用到了单点登录技术,面试的时候被问到了,现在做个总结 谈谈单点登录 单点登录技术简单说,就是避免用户访问不同子系统二次登录的问题,尤其是大型项目,业务子系统通常都是根据业务模块单独部署服务器的。 对于同一个系统下访问,或者同源系统下的访问,使用cookie传递认证信息就可以实现会话信息的共享,从而实现单点登录。 同源策略是浏览器产品的一种约定,是一种安全策略,如果两
Java开发常见面试题详解(LockSupport,AQS,Spring循环依赖,Redis)
KISS
03-28 3万+
00_前言闲聊和课程说明 教学视频 暖身面试题 Redis默认端口是多少?- 6379 link Spring官网地址 - https://spring.io 经典计算机图书看过吗? 01_字符串常量Java内部加载-上 Returns a canonical representation for the string object. A pool of strings, initially empty, is maintained privately by the class String. Whe
WEB常识 三 什么是凭证(Credentials)
W_H_M_2018的博客
09-22 2748
什么是凭证(Credentials) 实现认证和授权的前提 是需要一种媒介(证书)来标记访问者的身份 在战国时期,商鞅变法,发明了照身帖。照身帖由官府发放,是一块打磨光滑细密的竹板,上面刻有持有人的头像和籍贯信息。国人必须持有,如若没有就被认为是黑户,或者间谍之类的。 在现实生活,每个人都会有一张专属的居民身份证,是用于证明持有人身份的一种法定证件。通过身份证,我们可以办理手机卡/银行卡/个人贷款/交通出行等等,这就是认证的凭证。 在互联网应用,一般网站(如掘金)会有两种模式,游客模式和登录模式
mysql数据库的凭据是什么_mysql – 开发数据库凭据最佳实践?
weixin_30074929的博客
01-21 543
处理内部开发数据库凭据的最佳做法是什么?应用程序和开发人员?目前,我们为每个开发数据库创建单独的用户/密码,并在代码库提交这些凭据.但我们希望不再在我们的存储库存储凭据.问题是我们的开发人员和应用程序都需要访问数据库.>为开发人员提供他们自己的个人帐户是否可以访问所有开​​发人员数据库是一种好习惯?也许甚至所有开发和生产数据库?>开发人员是否应在其开发环境使用自己的个人帐户?或者...
vue 记账清单_vue 的账单样式
最新发布
2401_84435192的博客
07-12 319
alert(‘请输入正确的消费价格’)alert(‘请输入消费名称’)
手动添加管理windows凭据
qq_43240622的博客
11-22 9979
手动添加管理windows凭据 1、进入控制面板,选择“用户账户” 2、进入用户账户,选择管理Windows凭据 3、添加windows凭据,输入地址、用户名、密码 4、单击确定,完成配置。 ...
python使用浏览器保存的身份凭证进行爬虫
qq_41728581的博客
03-17 793
爬虫有时候是需要登录的,如果有复杂的验证码就不方便模拟登录了 这里直接使用浏览器保存的cookie等身份信息进行爬虫,免去登录的过程(如果cookie不是关闭浏览器就失效) 这里使用selenium +chrome,先在chrome上登录好,之后关闭浏览器使用脚本即可 from selenium import webdriver option = webdriver.ChromeOptions() #使用原有chrome的登录信息,注意:需要关闭原chrome option.add_argum
安全基线 web凭据管理器_服务帐户凭据管理:如何改善安全状况
weixin_26752759的博客
09-12 815
安全基线 web凭据管理器 背景 (Background) When you want to make a call to an API to e.g. create a GCS bucket, you use your Google Cloud Platform (GCP) account to be authorized. That account is your identity and i...
web前端面试题(必背面试题)
Z_Gleng的博客
05-25 3万+
自己总结的常见的面试题 总字数13万+ 大概有200+左右道题 会不定期更新
web前端常见的面试题总结
2401_84436095的博客
04-29 649
实现存储功能:Cookie、localStorage、sessionStorage、indexDB| 特性 | Cookie | localStroage | sessionStorage | indexDB || 数据生命周期 | 一般由服务器生成,可以设置过期事件 | 除非被清理,否则一直存在 | 页面关闭时就被清理 | 除非被清理,否则一直存在 || 数据存储大小 | 4kb | 5mb | 5mb | 无限 |
Java Web面试题总结(servlet、jsp、jdbc)
weixin_43106312的博客
10-28 952
Java Web面试题总结(servlet、jsp、jdbc) 1. Servlet的生命周期? Servlet的生命周期:实例化、初始化、处理请求、销毁四个阶段。 这个声明周期由javax.servlet.Servlet接口的init(),service()和destroy方法表达。 Servlet被服务器实例化后,容器运行其init方法,请求到达时运行其service方法,service方法自动派遣运行与请求对应的doXXX方法(doGet,doPost)等,当服务器决定将实例销毁的时候调用其destr
weberp国记账凭证模板
07-14
weberp 4.07用来打印国格式的凭证模块,生成PDF凭证
财务凭证管理系统源码超详细
04-25
财务凭证管理系统主要由【系统管理】、【凭证管理】、【科目信息】、【账目查询】和【报表】等模块组成。进入该系统后,用户可以对系统的财务信息进行添加、修改、删除、查询以及打印等操作。
Windows10访问共享总是提示输入网络凭证不正确
热门推荐
chensn的专栏
07-18 11万+
场景:安装了windows10系统后,访问共享时总是提示输入网络凭证,输入什么都提示不正确。被访问机也是windows 10 操作系统,使用windows7不需要输入密码就可以访问,即使在被访问机上增加新的用户或者用guest账号去登录也会提示出错。在本地访问机修改共享设置、修改组策略都没有用,在网上找了如下方法最终解决登录问题。http://bbs.pcbeta.com/viewthread-16
web漏洞-用户凭据明文传输
qq_35578446的博客
06-13 3738
当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统——甚至可能进入到应用系统后台,一旦进入到应用系统那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。...
web存储
chengzhangdewo的博客
09-27 231
Web存储 1.Cookie存储少量数据,面向服务器的,同一个服务器的cookie是共享的,最大4kb WebStorage 2. sessionStorage会话存储,选项卡选项卡关闭,会话失效--写项目推荐使用 (页面会话在浏览器打开期间一直保持,并且重新加载或恢复页面仍会保持原来的页面会话。 打开多个相同的URL的Tabs页面,会创建各自的sessionStorage。 关闭对应浏览器tab,会清除对应的sessionStorage。) 3.loca...
局域网传文件_Windows 10访问局域网提示“未授予用户在此计算机上的请求登录类型”...
weixin_39654465的博客
12-12 161
最近,因为两台电脑要相互传文件,一台为windows10,一台电脑为windows7,在局域网下,原来两台电脑能相互传文件(同为windows7),但是现在不可以了。方法:1.打开控制面板—切换为小图标—凭据管理器2.点击凭据管理器,可以看到,web凭据:是用来记录我们自动联网的信息的;windows凭据:这时必须动态链接上我们的服务器,或是共享,才能进行局域网办公。3.点击添加windows凭据...
【Springboot+Vue】做一个权限管理后台(六):用户凭证与登出
WuKongHeBaJie的博客
04-18 798
文章目录前言服务端Session和Token客户端cookie、localStorage、 sessionStorage前端保存授权信息: Vuex 前言 当一个用户登录以后,如果做每一件事情都需要再次携带用户名密码访问数据库认证,验证通过以后才可以做,那么无疑增大了数据库的压力。所以我们就得给已经登录的用户一个凭证,让这个用户以后直接带着这个凭证访问我们的控制层。 服务端Session和Toke...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值