鉴权机制对比

最新推荐文章于 2024-05-08 17:27:14 发布
最新推荐文章于 2024-05-08 17:27:14 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: Django 文章标签: Ťoken session 验证机制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42684307/article/details/81133468
版权

SESSION验证:


认证方式: HTTP是无状态协议,这意味着如果用户向我们的应用提供了
用户名和密码进行用户验证,那么下次请求时用户还要再一次进行用户认证,http无状态,我们并不知道是谁当发送的请求,所以,为了让我们的应用能识别是哪个用户发出的请求,服务器端也应该存一份用户登录信息,登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

session的认证使应用本身很难得到扩展独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

问题:
session:用户每做一次应用认证,应用就会在服务端做一次记录,以方便用户下次请求时使用,通常来讲session保存在内存中,随着认证用户的增加,服务器的消耗就会很大

扩展性:用户认证之后,服务端做认证记录,如果认证记录都存在内存中的话,就以为着用户下一次还需要在这台服务器上,才能拿到授权的资源,这样的分布式的应用,相应的限制了负载均衡器的能力.着也意味着限制了应用的扩展能力

CSRF: 基于cookie的一种跨站伪造攻击, 基于cookie来进行识别用户的话,用户本身就携带了值,cookie被截获,用户就很容易被伪造
 

 

 

基于Token的鉴权机制:


基于HTTP请求时无状态的不需要再服务器上保留用户的认证信息和会话信息,这意味着基于token认证机制的应用不需要考虑用户在那一台服务器上登录,为扩展提供了便利

用户使用用户名密码等进行请求服务器登录

服务器进行验证用户信息

服务器通过验证并发送一个token给用户

客户端存储token,并在每次请求时附带上这个token值

服务器验证token的值,并返回数值

每次请求的token的值保存在请求头里

 

 

gy_98
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
集成网关后怎么做权限隔离——统一鉴权
09-22 1356
商场停车场景中,除了极少数功能不需要用户登陆外(如可用车位数),其余都是需要用户在会话状态下才能正常使用的功能。上个章节中提到,要在网关层实现统一的认证操作,本篇就直接带你在网关层增加一个公共鉴权功能,来实现简单的认证,采用轻量级解决方案 JWT 的方式来完成。 为什么选 JWT JSON Web Token(缩写 JWT)是比较流行的轻量级跨域认证解决方案,Tomcat 的 Session 方...
一文搞定权限管理!授权、鉴权超详细解析
Viper的程序员修炼手册
06-30 5180
一文搞定权限管理!授权、鉴权超详细解析 授权概览 什么是授权 (Authorization)? 广义上的授权: 是上级将完成某项工作所必须的权力授给部属人员;是领导者通过为员工和下属提供更多的自主权,以达到组织目标的过程。 信息系统中的授权: 是管理员将某些资源的访问、管理、操作等权限赋予用户,达到管理和使用的目的。譬如主机的访问使用权限,某项功能菜单的使用权限亦或是某个数据的读写权限。 本文将对信息系统中的授权进行着重讲解 授权的意义 授权管理是所有业务系统不可缺少的一部分! 企业角度: 1)贴合管理制度
常见的鉴权方式简述
tangsiqi130的博客
05-23 5655
简述常见的鉴权方式
什么是鉴权?一篇文章带你了解postman的多种方式
最新发布
2301_77645750的博客
05-08 941
鉴权也就是身份认证,就是验证您是否有权限从服务器访问或操作相关数据。发送请求时,通常必须包含相应的检验参数以确保请求具有访问权限并返回所需数据。通俗的讲就是一个门禁,您想要进入室内,必须通过门禁验证身份,这就是鉴权,如打开一个网站必须要输入用户名和密码才可以登录进入,这种就是鉴权,还有一些业务需要登录以后才可以进行,因为需要token值,则就可以把token添加到鉴权中,这种也是鉴权。二、postman鉴权方式postman支持多种鉴权方式,如图。
微服务统一鉴权方案
weixin_45594127的博客
10-11 946
user, team, role, role group team就是user的集合,team拥有的角色每个member都会自动拥有 role group就是role的集合,user或者team拥有某个role group就表示他拥有group里面的所有角色。 team的作用:批量把一个角色assign给多个user role group的作用: 批量把多个角色assign给user 统一鉴权中心 authorization_service负责用户登陆,登陆成功以后发给前端token,以后所有用户的请求都携
统一权限-鉴权
JAVAMysql111的博客
04-15 2659
鉴权:即访问控制,控制谁能访问那些资源;进行身份认证后需要分配权限方可访问系统的资源,对于某些资源没有权限是无发访问的,如图所示: 基于资源的权限控制 RBAC基于资源的访问控制是以资源为中心进行访问控制,企业中常用的权限管理方法,实现思路是:将系统操作的每个URL配置在资源表中,将资源对应到角色,将角色分配给用户,用户访问系统功能的Filter进行过滤,过滤器获取到用户访问的URL,只要访问的URL是用户分配的角色中的URL是用户分配角色中的URL则放行继续访问,其具体流程如下: 鉴权流程 Reac
React路由鉴权的实现方法
10-16
在本文中,我们将深入探讨React路由鉴权的实现方法,同时也会简要提及Vue的beforeEach路由守卫作为对比。 首先,让我们理解React路由的基本概念。React Router是一个用于管理React应用程序中URL导航的库,它允许...
基于Springcloud的基础框架,统一gateWay网关鉴权demo
04-04
在实现统一的网关鉴权时,我们可以利用 Gateway 提供的过滤器机制。 1. **过滤器原理**:Spring Cloud Gateway 使用的是 Spring WebFlux 的 Filter 模型,允许开发者自定义过滤器来处理请求和响应。过滤器可以在...
行业分类-设备装置-利用无需基础设施的证书的鉴权方法和系统.zip
09-12
标题中的“行业分类-设备装置-利用无需基础设施的证书的鉴权方法和系统”表明了这个主题主要涉及的是信息技术领域中的设备安全与鉴权技术,特别是那些不依赖于传统基础设施的证书验证机制。这种鉴权方法可能适用于...
华为 NE05E, NE08E V300R005C10SPC100 特性描述 - 命令行接口
04-19
在安全性方面,CLI遵循严格的鉴权机制,每次登录或执行命令时都会通过AAA(Authentication, Authorization, and Accounting)服务器进行身份验证,确保只有具备相应权限的用户才能执行特定操作。 5.2 命令行接口...
WCDMA资料(9篇)
12-14
GSM、WCDMA和LTE之间的鉴权机制有所不同,但都基于SIM(Subscriber Identity Module)或USIM(Universal Subscriber Identity Module)卡。USIM卡提供了更强的安全功能,支持更复杂的鉴权算法,如EAP-AKA...
5G UE鉴权流程详解 UE Authentication
weixin_53022668的博客
03-16 7342
5gUE认证过程,UDM参与认证过程
5G注册流程分级详解(鉴权)Step9
03-03 1万+
*** 欢迎转发,转发请注明出处 。 相关更新会在公众号公布更新,敬请关注。公众号:南山耕夫 *** 目录 9. Authentication/Security流程。 0)准备知识 1) 鉴权流程 A. 鉴权流程(请求阶段): B. 鉴权流程(响应阶段): C. 鉴权流程(鉴权确认和注册绑定部分) 2)5G密钥相关推导图 9. Authentication/Security流程。 0)准备知识 该步骤为UE的5G的鉴权流程,本文以目前使用的5G AKA鉴权方式为例介绍。5G AK...
5G安全管理之认证与鉴权(AKA、EAP-AKA、密钥分发)
热门推荐
BJTUYBYUAN的博客
08-14 1万+
主题:认证与鉴权 简介: 参考: 5G 核心网规划与应用(7.3.1) TS 33.501 5G AKA 博客 5G安全架构、 PDN 作者:ybb 时间:2021年8月14日 7.3.1 7.3.1-2 (1)认证框架 (2)启动认证和认证方法的选择 (3)认证过程 5G AKA认证过程 (TS 33.501 6.1.3.2 Authentication procedure for 5G AKA): 5G AKA通过为归属网络提供来自访问网络的UE的认证成功的证明来增强EPS AKA,G该证明由访问网络在
使用Nginx对静态资源鉴权
码拉松
07-15 5831
使用nginx对静态资源鉴权
一文讲透:2G/3G/4G/5G移动通信的身份认证与鉴权机制
Ango_的专栏
03-26 1万+
通信网的身份认证 运营商移动通信网的接入认证是蜂窝通信的服务基础,为用户接入通信网提供了基础的准入保障。纵观历代移动通信网鉴权技术,从鉴权方向上看主要是两大类:单向鉴权→双向鉴权。这里的单向鉴权主要指通信网络对用户的鉴权,而不是反过来;双向鉴权就是用户和移动通信网络双向鉴权。 一,2G时代的认证与鉴权 第一代模拟通信系统(就是常见的大哥大),基本上是没有安全防护机制的。到了2G GSM时代,模拟通信系统变成了数字通信系统,增加了很多安全能力。包括,空口信息加密、身份认证鉴权、身份标识码和过期用户过滤。
鉴权模型设计
jrlyt
01-21 475
核心思想祈使句就是把角色和权限做关联,实现整体的一个灵活访问,提高我们的系统的安全性和管理型。基于这个模型,我们的开发速度还有粒度的粗细也都是十分好控制的。
【5G系列】NAS层安全流程(4)——初始鉴权
通信小黑的博客
06-30 8153
初始鉴权
微服务架构下鉴权与认证方案对比:Oauth2 VS JWT
chengpingdu7094的博客
08-03 410
转载于:https://my.oschina.net/neverforget/blog/1501559
GSM移动通信鉴权机制解析-CME20鉴权流程
在GSM系统的发展历程中,从最初的模拟系统到数字化的GSM,再到后来的3G和4G,鉴权机制不断演进,提升了通信的安全性。而CME20鉴权过程是GSM系统中实施鉴权的一种具体实现,展示了移动通信技术在保障用户安全方面的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值