session认证机制和JWT token认证机制

已于 2022-02-21 21:15:38 修改
阅读量741 收藏 4
点赞数
文章标签: 前端 服务器
于 2022-02-21 16:39:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42349528/article/details/123044432
版权

目录

1.web开发模式

(1)基于服务器渲染的传统web开发模式

服务器发送给客户端的HTML页面,是在服务器端通过字符串的拼接,动态生成的。
因此,客户端不需要使用Ajax这样的技术额外请求页面的数据。
优点:前端耗时少;有利于SEO(Search Engine Optimization,搜索引擎优化)
缺点:占用服务器资源;不利于前后端分离,开发效率低

(2)基于前后分离的web开发模式 (目前主流的方式

前后端分离的开发模式,依赖于Ajax技术的广泛应用,简而言之,前后端分离的web开发模式,
就是后端只负责提供API接口,前端使用Ajax调用接口的模式。
优点:开发体验好;用户体验好;减轻了服务器端的渲染压力
缺点:不利于SEO。
利用Vue,React等前端框架的SSR(server sider render)技术能够很好的解决SEO问题。

2.身份认证机制

身份认证 authentication又称“身份认证”,“鉴权”,是指通过一定的手段,完成对用户身份的确定。
身份认证的目的,是为了确定当前所声称为某种身份的用户,确实是所声称的用户。
不同开发模式下的身份认证,对于服务端渲染和前后端分离这两种开发模式来说,分别有着不同的身份认证方案:

  • 服务器端渲染推荐使用Session认证机制
  • 前后端分离推荐使用JWT token认证机制

3.Session认证机制

1)http的无状态性

了解http协议的无状态性是进一步学习Session认证机制的必要前提。http协议的无状态性,指的是客户端的每次Http请求都是独立的,连续多个请求之间没有直接的关系,服务器不会主动保留每次HTTP请求的状态

2)Cookie

(1)什么是cookie?

现实生活中的会员卡身份认证方式,在web开发中的术语叫做cookie。
Cookie是存储在用户浏览器中的一段不超过4kb的字符串。它由一个名称(Name)一个值(Value)和其它几个用于控制Cookie有效期安全性使用范围的可选属性组成。
不同域名下的Cookie各自独立,每当客户端发起请求时,会自动把当前域名下所有未过期的cookie一同发送到服务器。
cookie的几大特性: 自动发送;域名独立;过期时限;4kb限制

(2)cookie在身份认证中的作用

客户端第一次请求服务器的时候,服务器通过响应头的形式,向客户端发送一个身份认证的Cookie,客户端会自动将cookie保存在浏览器中。
随后,当客户端浏览器每次请求服务器的时候,浏览器会自动将身份认证相关的Cookie,通过请求头的形式发送给服务器,服务器即可验明客户端的身份。

cookie作用

(3)cookie机制

如果不在浏览器中设置过期时间,cookie被保存在内存中,声明周期随浏览器的关闭而结束,这个cookie简称会话cookie。如果在浏览器中设置了cookie的过期时间,cookie被保存在硬盘中,关闭浏览器后,cookie数据仍然存在,直到过期时间结束才消失。

3)session的认证机制

session用于保存每个用户的专门信息,变量的值保存在服务器端,通过session id来区分不同的客户。
session的认证机制,依赖于cookie,因为session id保存在cookie中。如果禁用cookie,则要使用URL重写,不安全。
session机制
当服务器收到请求,需要创建session对象时,首先会检查客户端请求中是否包含sessionid。如果有sessionid,服务器将根据sessionid返回对应session对象。如果客户端请求中没有sessionid,服务器会创建新的session对象,并把sessionid在本次响应中返回给客户端。通常使用cookie方式存储sessionid到客户端,在交互中,浏览器会默认携带cookie中的sessionid发送给服务器。
当浏览器支持cookie的时候,url不做任何处理。当浏览器不支持Cookie的时候,将会重写url将sessionid拼接到访问地址之后。

  1. 当用户第一次通过浏览器使用用户名和密码访问服务器的时候,服务器对用户名和密码进行验证
  2. 验证成功后,在服务器端生成并保存session数据,通过cookie向浏览器返回sessionid,浏览器将sessionid记录在cookie中。
  3. 当浏览器再次访问时,会默认携带cookie中的sessionid,服务器校验sessionid存在或有效,如果存在就保存会话,不需要登录,返回浏览器所需要的数据。

session的认证机制

4)session的问题

  • 扩展性(最大的问题):用户认证之后,服务器端做认证记录,如果认证记录被保存在内存中的话,这意味着用户下次请求还必须请求在这台服务器,这样才能拿到授权的资源。这样在分布式的应用上,相应的限制了负载均衡器的能力,也意味着限制了应用的扩展能力。
  • session的内存问题:因为session存在服务器内存(缓存,数据应该也可以存但是不好)中,用户过多时,内存开销会比较大。
  • CSRF(cross site request forgery 跨站请求伪造攻击):session基于cookie来进行用户识别的,cookie如果被截获,用户就会很容易收到跨站请求伪造攻击。

4.JWT token认证机制

1)了解session认证的局限性

session认证机制需要配合cookie才能实现。由于cookie默认不支持跨域请求访问,所以,当涉及到前端跨域请求后端接口的时候,需要做很多额外的配置,才能实现跨域session认证。

  • 当前端请求后端接口不存在跨域问题的时候,推荐使用session认证机制。
  • 当前端需要跨域请求后端接口的时候,不推荐使用session身份认证机制,推荐使用jwt认证机制。

2)什么是JWT

JWT(JSON Web Token)是目前最流行的跨域认证解决方案。它借助JSON格式数据作为web应用请求中的令牌,进行数据的自包含设计,实现各安全的信息传输,在数据传输过程中还可以对数据进行加密,签名等相关处理。

3)JWT的工作原理

在这里插入图片描述
总结:用户的信息通过token字符串的形式,保存在客户端浏览器中。服务器通过还原token字符串的形式来认证用户的身份。

4)JWT的组成部分

JWT 通常由三部分组成,分别是Header(头部)Payload(有效载荷)Signature(签名)。三者之间使用英文的"."分隔,格式如下:Header.Palyload.Signature

  • 头部(header):包含token类型和加密算法信息,使用base64编码生产字符串
  • 载荷(payload):payload部分才是真正的用户信息,它是用户信息经过加密之后生成的字符串。
  • 签证(signature):防止jwt token被伪造
  • header和signature是安全性相关的部分,只是为来保证Token的安全性。

5)JWT的使用

客户端收到服务器返回的jwt之后,通常会将它存储在localStoragesessionStorage中。此后,客户端每次与服务器通信,都要带上这个jwt的字符串,从而进行身份认证。推荐的做法是把JWT放在HTTP请求头的Authorization字段中,格式如下:Authorization: Bearer <token>

少吃一口就会少吃一口
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈基于Token的WEB后台认证机制
08-26
基于Token的WEB后台认证机制是一种非常实用的认证机制,它具有许多优点,包括支持跨域访问、无状态、更适合CDN和移动应用等。因此,在选择认证机制时,我们需要根据具体情况选择合适的认证机制,以确保系统的安全性...
node实现后端服务器认证机制练习
02-11
在这个练习中,我们关注的是两种常见的认证方式:Session认证和JSON Web Token (JWT)认证。这两种方法都有其独特的优势和适用场景,下面将详细介绍它们的概念、工作原理以及如何在Node.js环境中进行实现。 1. **...
分布式下的sessiontoken
学渣的博客
08-06 3053
分布式架构下的sessiontoken 我们已经知道session时有状态的,一般存于服务器内存或硬盘中,当服务器采用分布式或集群时,session就会面对负载均衡问题。 负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享session。这个问题也可以将session存在一个服务器中来解决,但是就不能完全达到负载均衡的效果。当今的几种解决session负载均衡的方法。 而t...
Web应用程序的身份验证:Session认证Token认证
Waylon_Ma的博客
04-01 3844
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化,写入数据库或别的持久层。
sessiontokenJWT的一文详细介绍
weixin_45709829的博客
04-06 1524
一、认证Authentication 认证就是验证当前用户的身份,证明身份 认证的应用 用户密码登录 邮箱发送登录链接 手机号接收验证码 二、授权Authorization 授权就是用户授予第三方应用访问用户某些资源的权限 授权的应用 手机第三方app询问是否授权(访问相册、地理位置等权限) 访问微信小程序,登录的时候会询问是否允许授权(获取昵称、头像、地区、性别等个人信息) 实现方式 cookie session token 三、凭证Credentials 实现认证和授权的前提是
sessiontoken、cookie、JWT的区别一定要懂
weixin_45709829的博客
04-07 5673
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授权 授权authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授权模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授权给用户,使得用户具有操作某项资源的权限 RBAC(Role-Base
分布式session解决方案 — — JWT(生成token
weixin_45565886的博客
08-27 1204
分布式session解决方案 — — JWT(生成token
sessionjwttoken
无怨无悔专栏
03-26 260
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该to...
Django+JWT实现Token认证的实现方法
09-19
在Django项目中,我们可能需要同时支持传统的session认证JWT认证。为了实现这个目标,我们可以自定义认证后端,根据请求头中的信息判断使用哪种认证方式。例如,如果请求头中包含JWT,则使用JWT进行认证;否则,...
Cookie、SessionTokenJWT.xmind
01-30
Cookie、SessionTokenJWT.xmind
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题中,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
SpringSecurity整合JWT实现认证和授权
weixin_44909963的博客
04-28 5481
SpringSecurity整合JWT实现认证和授权 文章目录SpringSecurity整合JWT实现认证和授权前言一、SpringSecurity介绍和架构分析及使用流程二、使用步骤1.引入库2.读入数据总结 前言 本文主要讲解l通过整合SpringSecurity和JWT实现后台用户的登录和授权功能,使用到的技术有nacos,dubbo,SpringSecurity,redis. 一、SpringSecurity介绍和架构分析及使用流程 SpringSecurity是一个安全框架,支持自定义需求。
基于session认证和基于Token认证的区别
qq_41635401的博客
10-26 492
一、session的状态保持及弊端 二、token认证机制 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。 弊端: 1、服务器
jwt+token验证
qq_51127361的博客
09-19 1849
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
SessionId认证Token认证
菜鸟的专栏
07-06 906
传统的应用通过Session保存用户登录信息(非前后端分离) 缺点: 1.不能很好支持APP; 2.前后端分离部署架构(下面会讲),浏览器不直接访问应用,通过第三方应用(APP、Web Server)访问Application Server,需要单独编码处理Session、Cookie,开发比较繁琐 3.安全性低客户体验差,有JessionId就默认为登录了 4.有些前段技术不支持cookie,如...
别再使用 JWT 作为 Session 系统!问题重重且很危险。
方志朋的博客
11-24 212
点击关注公众号,Java干货及时送达????来源:learnku.com/articles/22616首先需要说明JWT 坊间流传的优势易于水平扩展?易于使用?更加灵活?更加安全?内置过期时间功能?无需询问用户「本网站使用 Cookies」?防止 CSRF 攻击?更适用于移动端?适用于阻止 Cookies 的用户?JWT 的劣势更费空间更不安全无法单独销毁数据延迟实现库缺乏生产环境验证或压根不存在结论所...
基于JWT验证原理解决分布式系统session一致性问题
嘎嘎的博客
12-15 2802
session一致性问题 在集群或者分布式系统中,用户登录后的,由于服务端是集群环境或者分布式环境,如何保证用户每次与服务器交互都是使用原来的session或者实现单点登录,这里就涉及session一一致性的问题。 解决session一致性问题可以从两种思路实现,一种是session服务端存储,一种是session客户端存储。 session服务端存储 服务端存储session,需要保证用户请求过...
用户认证机制session认证的原理和缺点
魏波
10-12 1572
当我们第一次访问网站的时候,负载均衡将本地的请求分配到Web服务器A,那么session创建在Web服务器A,第二次访问的时候如果我们不做处理就不能保证还是会落到Web服务器A了。Session数据集中存储:将Session存入分布式缓存集群中,所有服务器应用实例统一从分布式缓存集群中存取Sessionsession机制方式基于cookie,在移动应用上无法有效使用,并且无法跨域,保持住会话的做法非常麻烦。(2)基于session认证认证方式,可以更好的在服务端对会话进行控制,且安全性较高。
基于session认证原理是怎样的?
fly_zhaohy的博客
01-14 1804
  用户登录认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。 ...
SpringBoot集成jwt实现token认证
最新发布
05-28
username = jwtTokenUtil.getUsernameFromToken(jwtToken); } catch (IllegalArgumentException e) { System.out.println("Unable to get JWT Token"); } catch (ExpiredJwtException e) { System.out.println...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值