基于session的验证方式和Token验证方式的区别,以及JWT的具体实现流程

最新推荐文章于 2024-03-27 16:56:34 发布
最新推荐文章于 2024-03-27 16:56:34 发布
阅读量510 收藏
点赞数
分类专栏: JAVA学习 找工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40971025/article/details/119219317
版权

1、传统的cookie认证过程

长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是有状态的(statefull),也就是服务端和客户端都需要保存生成的session,也就是说在服务端需要在数据库中追踪session是否alive,客户端要把session写入cookie中。基本过程如下:
在这里插入图片描述

  • 客户端登陆,一般输入用户名和密码
  • 服务端如果验证通过,就会生成session,并把它存入数据库中
  • 客户端在浏览器上会产生cookie,并把session_id写入
  • 客户端后续有新的请求,都会在请求后携带sessIon_id,发给服务端
  • 如果客户端登陆出去(log out),该生成的session就会在服务端都被销毁,session_id在客户端也会被清除

基于Token 认证和session 认证的比较
基于Session的认证方式

那么这样做有什么问题呢?

  1. 服务端需要保存每个用户的session,这对于很多访问用户的情景来说,服务端的负担很重,需要大量的的资源来存储session
  2. 另一方面不能很好解决跨域资源共享问题Cross-Origin Resource Sharing (CORS)
  3. cookie存储在客户端或者浏览器引入了很多不安全因素,招致了很多专门针对cookie的攻击如上面这个攻击,在Java Guide中有详细的举例描述:JWT 身份认证优缺点分析以及常见问题解决方案
  4. 这个链接中也谈了很多Session的相关缺点:如何理解HTTP的“无连接”和“无状态”

2、Token的认证方式

为了解决以上的问题,我们引入了Token的技术来解决登录验证与用户的状态记录等信息:
15分钟详解 Python 安全认证的那些事儿

minastinis of king
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php实现JWT(json web token)鉴权实例详解
01-03
服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证。基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header...
基于session的认证和基于Token认证的区别
qq_41635401的博客
10-26 459
一、session的状态保持及弊端 二、token认证机制 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。 弊端: 1、服务器压
基于token和基于session用户认证两种方式区别
abde630154071的博客
02-16 2047
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用...
jwttoken区别
最新发布
lied1663634806的博客
03-27 523
jwttoken区别
Session-based authentication
qq_24381917的博客
05-21 393
###Session-based authentication ####Session定义: 参考https://dzone.com/articles/broken-authentication-and-session-management-part Session将用户信息将服务器端保存,服务器会生成Session d,通常,浏览器会将Session id 作为cookie储存并发送到服务器。 基于session身份认证方案 参考资料:https://www.cnblogs.com/xiangkejin/
基于sessiontoken的身份认证方案
weixin_30564901的博客
05-08 214
一、基于session的身份认证方案 1.方案图示 2.比较通用的鉴权流程实现如下: 在整个流程中有两个拦截器。 第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中取user对象,如果session中有,就放user对象到threadlocal中。这是为了业务处理的时候能直接获取用户对象。 第二个拦截器AuthActionInteceptor是...
Web应用中4类登录会话管理机制(基于session、基于cookie、基于token、基于认证)
u012324798的博客
04-18 2541
Web应用中4类登录会话管理机制场景需求背景概念1 基于session的会话管理机制1.1 本质特征1.2 会话过程1.3 优点1.4 缺点2 基于cookie的会话管理机制2.1 本质特征2.2 会话过程2.3 优点2.4 缺点3 基于token的会话管理机制3.1 本质特征3.2 会话过程3.3 优点3.4 缺点4 服务器无状态的会话管理机制4.1 本质特征4.2 会话过程4.3 优点4.4 ...
SpringBoot_Shiro_JWT_Redis:SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新
05-14
SpringBoot整合Shiro、JWT和Redis实现token登录授权验证以及token刷新 前端代码为一个博客页面,使用了Semantic UI框架结合thymeleaf模板 SpringBoot结合JWT+Shiro+Redis实现token无状态登录授权 [TOC] 一、引言 ​ ...
Angular之jwt令牌身份验证实现
11-21
Angular之jwt令牌身份验证 demo https://gitee.com/powersky/jwt 介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(...在讲 JWT 之前一定要讲讲基于 tokensession 的区
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
Nodejs中的JWTSession的使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWTSession 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
基于 session 和基于 token 的用户认证方式到底该如何选择
weixin_33698823的博客
03-09 1070
2019独角兽企业重金招聘Python工程师标准>>> ...
Cookie、SessionToken区别:基于Session验证机制和基于Token验证机制
DongZhaoCheng
03-02 350
Cookie、SessionToken区别 《基于Token的登录流程》 《彻底理解Cookie、SessionToken》 1、Cookie Cookie是一个很具体的东西,就是浏览器里面的一种能永久保存的数据,仅仅是浏览器实现的一种数据存储功能。 Cookie存储在浏览器中,其结构是键值对形式,但值只能存储ASCII码字符 Cookie的大小受浏览器限制,很多是4K大小 Cookie不太安全,容易被恶意查看 2、Session Session是存储在服务器上的用于保存用户信息、会话状态以及相关
基于JWT token认证机制和基于session认证机制
砍柴樵夫
05-23 287
基于session认证机制 http协议本身是一种无状态的协议,而这就意味着如果用户通过应用向服务器提供了用户名和密码进行认证,下一次请求时,用户还要再一次进行用户认证,因为根据http协议,服务器并不知道是哪个用户发出的请求,所以,为了识别是哪个用户发出的请求,这样需要在服务器端存储一份用户登录信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给服务器进行验...
tokenjwt区别
热门推荐
m0_51212267的博客
11-15 2万+
相同:tokenjwt都是用来访问资源的令牌凭证,需要验证来确定身份信息 token验证机制流程: 1.用户输入账户和密码请求服务器 2.服务器验证用户信息,返回用户一个token值 .客户端存储token值,在每次请求都提交token值 4.服务器根据token验证用户信息,验证通过后返回请求结果 token必须要在每次请求时传递给服务端,都保存在header中 缺点: 1.内存级别重启全部失效 2.时效性,无法失效,被非法获取之后可以一直使用 3.集群部署,多台服务器无法共享,在
jwttoken区别
编程技术提升
09-07 2362
需要注意的是,无论是Token还是JWT,都需要注意安全性,例如使用HTTPS来保证传输过程的安全性,以及适当地设置TokenJWT的过期时间,避免被恶意使用。而一般的Token没有这种机制,只能通过验证Token的合法性来确保安全性。JWT是无状态的,即服务端不需要保存任何用户信息,只需验证JWT的签名即可。总的来说,JWT是一种更安全、更灵活、更轻量级的身份验证机制,适用于分布式系统和无状态的API。JWT可以存储更多的信息,例如用户的角色、权限等,而一般的Token只能存储有限的信息。
普通令牌tokenjwt令牌token区别以及使用场景
西京刀客
08-26 8335
文章目录token分类普通令牌JWT令牌 token分类 SpringSecurityOauth2令牌 参考URL: https://www.yuque.com/gaoxi-dj1fr/fxgaxe/ivvpqc 1.普通令牌的作用:唯一标识存贮在数据库或内存中的用户信息,在认证时,SpringSecurity拿着普通令牌去数据库中查询用户信息使用 2.jwt令牌的作用:jwt令牌中本身存储着用户信息,在认证时,SpringSecurity从jwt令牌中解析出用户信息即可,不需要借助数据库等进行存储 普通令
彻底理解coookie、sessiontoken
学Java,找哪吒
05-04 2011
一、发展史 1、很久很久以前,web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的,这段时间就很嗨皮。 2、但是随着交互式web应用 ...
JWTtoken区别
赛赛
06-24 2386
JWT是json web token缩写。它将用户信息加密到token里,服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证
分析jwt 方式比着cookie 方式session 方式的优点
05-30
5. 可扩展性:JWT 方式是基于标准的 JSON Web Token (JWT) 协议进行构建的,因此可以很容易地扩展到其他系统和平台。 总体来说,JWT 方式具有更好的可伸缩性、跨域支持和安全性,因此在分布式系统和跨域应用程序中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值