基于session的认证和基于Token认证的区别

最新推荐文章于 2023-04-01 11:37:50 发布
最新推荐文章于 2023-04-01 11:37:50 发布
阅读量469 收藏 2
点赞数 2
文章标签: 服务器 运维
原文链接:https://blog.csdn.net/mydistance/article/details/84545768
版权

一、session的状态保持及弊端

二、token认证机制

一、session的状态保持及弊端

当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。

在这里插入图片描述

弊端:

1、服务器压力增大

通常session是存储在内存中的,每个用户通过认证之后都会将session数据保存在服务器的内存中,而当用户量增大时,服务器的压力增大。

2、CSRF跨站伪造请求攻击

session是基于cookie进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

3、扩展性不强

如果将来搭建了多个服务器,虽然每个服务器都执行的是同样的业务逻辑,但是session数据是保存在内存中的(不是共享的),用户第一次访问的是服务器1,当用户再次请求时可能访问的是另外一台服务器2,服务器2获取不到session信息,就判定用户没有登陆过。

二、token认证机制

token与session的不同主要在①认证成功后,会对当前用户数据进行加密,生成一个加密字符串token,返还给客户端(服务器端并不进行保存)

②浏览器会将接收到的token值存储在Local Storage中,(通过js代码写入Local Storage,通过js获取,并不会像cookie一样自动携带)

③再次访问时服务器端对token值的处理:服务器对浏览器传来的token值进行解密,解密完成后进行用户数据的查询,如果查询成功,则通过认证,实现状态保持,所以,即时有了多台服务器,服务器也只是做了token的解密和用户数据的查询,它不需要在服务端去保留用户的认证信息或者会话信息,这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,解决了session扩展性的弊端。

在这里插入图片描述

Zxy_true
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie、SessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
基于token和基于session用户认证两种方式区别
abde630154071的博客
02-16 2056
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用...
SessionToken区别
热门推荐
love_onefly的博客
06-19 2万+
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求和上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。2. session生成方式?答:浏览器第一次访问服务器服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将sessionid...
基于sessiontoken的身份认证方案
weixin_30564901的博客
05-08 214
一、基于session的身份认证方案 1.方案图示 2.比较通用的鉴权流程实现如下: 在整个流程中有两个拦截器。 第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中取user对象,如果session中有,就放user对象到threadlocal中。这是为了业务处理的时候能直接获取用户对象。 第二个拦截器AuthActionInteceptor是...
sessiontoken验证的差异
lanseali的博客
03-08 278
传统的session认证 http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。 但是这种基于
node实现基于token的身份验证
01-02
最近研究了下基于token的身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。 传统的session+cookie...
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z ...SpringBoot整合security实现基于验证码的登录认证和动态角色管理,在此基础上集成JWT采用token代替session, 并将token存储到redis。
GROAuth2SessionManager:基于 AFNetworking 的 AFHTTPSessionManager 的 OAuth2 认证助手
06-12
GROAuth2SessionManager是延期 ,大大简化了认证针对的过程提供商。 它基于 ,但进行了一些更改以支持 AFNetworking 2。 示例用法 NSURL *url = [ NSURL URLWithString: @" http://example.com/ " ]; GROAuth2...
vue+koa2实现sessiontoken登陆状态验证的示例
12-08
这种认证方式,可以更好的在服务端对会话进行控制,安全性比较高(session_id 随机),但是服务端需要存储 session 数据(如内存或数据库),这样无疑增加维护成本和减弱可扩展性(多台服务器)。 CSRF 攻击一般基于 ...
在ASP.NET Core中实现一个Token base的身份认证实例
01-20
而基于Token的身份认证就是应对这种变化而生的,它更开放,安全性也更高。 基于Token的身份认证有很多种实现方式,但我们这里只使用微软提供的API。 接下来的例子将带领大家完成一个使用微软JwtS
Cookie、SessionToken区别:基于Session的验证机制和基于Token的验证机制
DongZhaoCheng
03-02 357
Cookie、SessionToken区别 《基于Token的登录流程》 《彻底理解Cookie、SessionToken》 1、Cookie Cookie是一个很具体的东西,就是浏览器里面的一种能永久保存的数据,仅仅是浏览器实现的一种数据存储功能。 Cookie存储在浏览器中,其结构是键值对形式,但值只能存储ASCII码字符 Cookie的大小受浏览器限制,很多是4K大小 Cookie不太安全,容易被恶意查看 2、Session Session是存储在服务器上的用于保存用户信息、会话状态以及相关
Cookie、SessionToken认证
糖小喵
04-29 200
前言:HTTP是一种无状态的协议,为了分辨链接是谁发起的,需要浏览器自己去解决这个问题。不然有些情况下即使是打开同一个网站的不同页面也都要重新登录。而Cookie、SessionToken就是为了解决这个问题而提出来的两个机制 用户通过浏览器登录一个网站,在该浏览器内打开网站其他页面时,不需要重新登录。而HTTP是无状态的协议,那么网站后端是如何判断用户已经登陆了呢?不同的网站,判断用户登...
SessionToken认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3860
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3652
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
Cookie、SessionToken认证区别联系
whoim_i的博客
02-22 4305
目录发展史cookiecookie分类session认证token认证session认证token认证区别 对于cookie、sessiontoken大家应该都不陌生,虽然了解,但总感觉说不清楚,于是通过查找资料学习,这里对此总结记录一下。 发展史 在web发展初期,基本上就是一些文档的浏览,所以服务器不需要记录谁在某一时段里都浏览了什么文档,每次请求都是一个新的http协议,也就是请求加响...
session认证机制和JWT token认证机制
qq_42349528的博客
02-21 712
session认证机制和jwt token认证机制 web开发模式 身份认证
常用的认证机制之session认证token认证
python全栈
08-13 4201
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中; 浏览器接下来的操作为:将响应头中
基于JWT token认证机制和基于session认证机制
砍柴樵夫
05-23 287
基于session认证机制 http协议本身是一种无状态的协议,而这就意味着如果用户通过应用向服务器提供了用户名和密码进行认证,下一次请求时,用户还要再一次进行用户认证,因为根据http协议,服务器并不知道是哪个用户发出的请求,所以,为了识别是哪个用户发出的请求,这样需要在服务器端存储一份用户登录信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给服务器进行验...
SessionToKen区别
weixin_46406553的博客
10-21 3017
HttpSession概述 session也是一个域对象之一,它的范围是在一个会话范围之类有效,session既然是域对象,那么当然就要有getAttribute()和setAttribute()系列的方法了 Token概述 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第
cookie、sessiontoken的意思和区别
最新发布
06-01
Cookie、SessionToken都是用于客户端和服务端间认证和授权的机制。它们的意思和区别如下: 1. Cookie(也称为HTTP Cookie)是一个小的文本文件,存储在用户的计算机上,由服务器发送到用户的浏览器并保存在本地。每次浏览器向服务器发送请求时,会自动携带相应的Cookie信息。Cookie通常用于记录用户的登录状态、购物车商品、网站偏好等信息。 2. Session是指服务端为每个用户创建的一个会话对象,用于存储该用户的状态信息。当用户第一次访问网站时,服务器会创建一个Session对象,并为其生成一个唯一的Session ID,将Session ID 存储在Cookie中,以便在后续的请求中进行验证。Session通常用于存储用户的登录状态、权限信息、购物车商品等重要信息。 3. Token是指一种用于身份验证的字符串,由服务端生成并返回给客户端。客户端在后续的请求中,需要携带该Token进行身份验证。Token通常使用JWT格式,包含了用户的身份信息以及Token的过期时间等信息。Token通常用于移动端或前后端分离的Web应用,可以避免Cookie的跨域、CSRF等问题。 总的来说,Cookie和Session都是基于服务器端的认证机制,Token则是基于客户端的认证机制。Cookie和Session通常用于Web应用的身份验证和授权,而Token则更适合用于API接口的身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值