鉴权机制对比

SESSION验证:


认证方式: HTTP是无状态协议,这意味着如果用户向我们的应用提供了
用户名和密码进行用户验证,那么下次请求时用户还要再一次进行用户认证,http无状态,我们并不知道是谁当发送的请求,所以,为了让我们的应用能识别是哪个用户发出的请求,服务器端也应该存一份用户登录信息,登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

session的认证使应用本身很难得到扩展独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

问题:
session:用户每做一次应用认证,应用就会在服务端做一次记录,以方便用户下次请求时使用,通常来讲session保存在内存中,随着认证用户的增加,服务器的消耗就会很大

扩展性:用户认证之后,服务端做认证记录,如果认证记录都存在内存中的话,就以为着用户下一次还需要在这台服务器上,才能拿到授权的资源,这样的分布式的应用,相应的限制了负载均衡器的能力.着也意味着限制了应用的扩展能力

CSRF: 基于cookie的一种跨站伪造攻击, 基于cookie来进行识别用户的话,用户本身就携带了值,cookie被截获,用户就很容易被伪造
 

 

 

基于Token的鉴权机制:


基于HTTP请求时无状态的不需要再服务器上保留用户的认证信息和会话信息,这意味着基于token认证机制的应用不需要考虑用户在那一台服务器上登录,为扩展提供了便利

用户使用用户名密码等进行请求服务器登录

服务器进行验证用户信息

服务器通过验证并发送一个token给用户

客户端存储token,并在每次请求时附带上这个token值

服务器验证token的值,并返回数值

每次请求的token的值保存在请求头里

 

 

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值