介绍前端面试常问的三大登录方式

最新推荐文章于 2024-03-19 13:27:51 发布
最新推荐文章于 2024-03-19 13:27:51 发布
阅读量1.7k 收藏 9
点赞数 4
分类专栏: 计算机网络 文章标签: jwt cookie session http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43510829/article/details/119298522
版权

面试被问了无数次,值得总结一番

主要有以下三种方式

  • Cookie + Session 登录
  • Token 登录
  • SSO 单点登录

Session 登录

初识
  • HTTP 是无状态协议,每次和后端重新建立连接的话,后端无法判断请求是否每次来自于同一个用户,所以诞生了 cookie,会随 HTTP 请求一起发送
  • cookie 携带了用户信息,但后端还需要验证,得通过 session 对象。而 session 存储了一些用户信息,存在后端是避免前端存储敏感数据。通常存在缓存里,比如 jvm 本地缓存、redis 分布式缓存
流程

  • 首次登录:用户输入账号密码,前端发 HTTP 请求,后端验证时会创建 sessionId,并保存 sessionId 和 session 的映射关系,然后通过 Set-Cookie 头将 sessionId 种到 Cookie 中,存到前端

  • 后续登录:请求携带包含了 sessionId 的 cookie 到后端,后端比较 sessionId 即可判断是哪个用户发的请求

  • 浅谈响应首部 Set-Cookie 用法(知道可跳过)

    // 基本用法
Set-Cookie: <cookie-name>=<cookie-value>

// MDN 用例
// 告诉前端存 cookie
HTTP/2.0 200 OK
Content-Type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: tasty_cookie=strawberry

[path content]

// 每次前端发起请求,携带的 Cookie 头
GET/sample_page.html HTTP/2.0
Host: www.example.org
Cookie: yummy_cookie=choco;tasty_cookie=strawberry
缺点
  • 存储了大量 session,一旦访问量激增,服务器压力大,维护成本高

Token 登录

该登录完美解决了后端压力大的问题,因为 token (令牌)与 session 相反,保存在前端

初识
  • token 是后端生成的一串字符串。第一次登录时,后端生成一个 token 返回给前端,前端后续访问时携带 token 进行身份验证即可
流程
  • 首次登录:用户输入账号密码,前端发 HTTP 请求,后端收到后(一般)以 JWT 形式生成 token,然后返还给客户端,前端收到存储在本地(cookie、localStorage)
  • 后续登录:请求会携带 token
token 详解

  • 先得讲讲 JWT(JSON Web Token)

    • 一个很长的字符串,由 “.” 分隔成三个部分——Header(头部)、Payload(负载)、Signature(签名),拼凑成如 xxxx.yyyy.zzzz

    • // 官方举例
// Header JSON对象
{
	"alg": "HS256", // 签名算法
	"typ": "JWT" // JWT 类型(一般)
}

// Payload JSON对象  可以存一些信息,有7个官方字段,也可以自定义字段
{
	"sub": "1234567890",
	"name": "John Doe",
	"admin": "true"
}

// Signature 是对前两部分的签名,一般用 HMAC SHA256 算法
// 同时还得提供一个密钥,只有后端知道,然后按如下方式签名
HMACSHA256(
	base64UrlEncode(header) + "." +
	base64UrlEncode(payload),
	secret)

    • 更详细的可以参考官网JSON Web Token Introduction - jwt.io

  • token 可以放在 cookie 里发送,但这样没法跨域,更好的方法是放在请求头字段 Authorizatoin 里(或者放在 POST 请求的数据体里)

    • Authorization: Bearer <token>
优缺点
  • 优点
    • 可以避开同源策略
    • 避免 CSRF 攻击
    • token 无状态,多个服务器可共享
  • 缺点
    • 后端无法将 token 作废,只能等 token 达到设定的过期时间

浅谈SSO 单点登录

具体实现还是有些复杂的,而且方式也不止一种,展开说可以再写一篇文章了

初识
  • 在多个应用系统中,用户只需登录一次,即可访问所有相互信任的应用系统。举例:阿里巴巴旗下有阿里巴巴、淘宝、阿里妈妈等应用,登录淘宝之后,再访问另外的应用无需再次登录
流程
  • 首次登录
    • 用户首次访问网站 a.com 页面,未登录则携带地址参数重定向到 sso 认证中心,用户输入账号密码验证成功,则认证中心生成令牌 token 通过 Set-Cookie 种入 cookie,返回 a.com
    • a.com 收到 token 后会再去认证中心确认一次是否为真(防篡改),为真则登录成功,同时后端会将登陆信息写入 cookie 返回给前端,此时前端保存了 a.com 和 sso 的登录态
  • 后续登陆
    • 若用户访文 a.com 下的页面,则会直接登录成功
    • 若用户访问 b.com,cookie 被携带跳转到认证中心,会检测出已登录状态,则直接下发 token 并返回 b.com,实现登录

如果觉得对你有帮助的话,点个赞呗~

反正发文又不赚钱,交个朋友呗~

如需转载,请注明出处foolBirdd

foolBirdd
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端面试题--前端登录流程(项目描述)
weixin_59907064的博客
08-28 2322
对于网站商城项目的登录流程的简要介绍
前端应该学习的 Token 登录认证知识,前端面试题合集
最新发布
2401_84092068的博客
04-05 697
核心竞争力,怎么才能提高呢?成年人想要改变生活,逆转状态?那就开始学习吧~万事开头难,但是程序员这一条路坚持几年后发展空间还是非常大的,一切重在坚持。为了帮助大家更好更高效的准备面试,特别整理了《前端工程师面试手册》电子稿文件。
一道关于https进行登录验证的前端面试
weixin_34034670的博客
09-12 179
问题: 假设目前网站的登录实现是,在http协议下,使用XHR方式调用http协议下的后端接口实现登录。现需求变更如下:为了提高站点登录的安全性,登录接口要修改为ssl加密方式,请简述修改会带来的问题并出实现方案(要求:实现方案需兼容所有主流浏览器)。 补充说明: 请从浏览器的同源策略及HTTP安全角度作答。 答案: 既然是前端面试题,答案的范围自然就限定在了前端领域。 浏览器的同源策...
基础面试1:单点登录 vs 多点登录
热门推荐
water Wang
11-04 1万+
原来做过SSO单点登录,但是在某次面试过程中,面试官问到“多点登录”当时没有回答出,遂记录之; SSO(单点登录)的概念:在一个多系统共存的环境下,用户在一处登录后,就不用再其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任。 SSO(单点登录)的应用场景:单点登录在大型网站使用非常频繁,例如阿里巴巴网站,在网站的背后是成白上千的子系统,用户的一次操作可能涉及到几十个子系统的协作,如果每个子系统都需要用 户验证,不仅用户会疯掉,各系统也会为这种重复授权搞疯。 需要解决的两点:解决如何产生和.
前端面试】常见问题小结
weixin_45779841的博客
08-13 512
1、如何在node中操作MongoDB数据库 node端常见用来操作MongoDB数据库的两个驱动程序(插件)是mongodb和mongoose mongodb插件使用时需要写终端中使用的增删改查语句,使用起来相对繁琐 mongoose插件则在终端命令的基础上进行了封装,通过定义一个model模型的方式,在模型的基础上调用封装好的增删改查API对数据库进行操作,从而代码更加简洁,可读性更好。 使用mongoose时需要注意的是,对于查询到的mongoose对象,若想往该对象中新增属性,必须提前在model中
前端面试题总结
王三六博客
05-09 2631
一、前端登录案例和实现 1.Cookie + Session 用户首次登录时,输入账号和密码登录,服务端验证账号和密码无误后,会创建sessionid,然后将该sessionid保存到session中,服务器端响应这个http请求,通过set-cookie,将sessionid写入到cookie中,后续访问请求都会携带的cookie中的id,服务端比对cookie中的sessionid和session中的id是否一致进行验证。 由于 SessionId 存放在 Cookie 中,所以无法避免 CSRF
前端面试常问总结.docx
08-06
前端面试常问总结 本文档总结了前端面试中常见的问题和概念,涵盖了 JavaScript、Vue、Git 等多个方面的知识点以下是本文档的摘要信息: 一、JavaScript 基础 * 二叉树的特点:每个结点最多有两棵子树,左子树和...
前端面试题(常问-概念篇)
01-08
... httphttps使用的是完全不同的连接方式,用的端口也...2、前端世界的安全防护 跨站脚本攻击(XSS) 跨站脚本攻击其实说白了就是通过一些方式把JavaScript代码注入到用户的dom中并执行,从而实现一些盗取用户cookies
前端面试常被问到的小程序问题整理到一起了 .pdf
02-06
前端面试常被问到的小程序问题-整理到一起了。
vue前端面试题汇总(常问-进阶篇)
01-20
vue中computed和watch的区别 1.computed的用法 是一个计算属性,类似于过滤器,对绑定到view的数据进行处理。computed上面的属性不可在vue data中声明,不能做异步处理 data: { firstName: 'Foo', ...
前端开发面试、笔试常问题及分析解答
12-16
最全软件开发面试、笔试常考题目及分析解答,基于java,C++等语言
两次阿里面试总结出来的登录问题,我来教你这么回答
m0_49068745的博客
04-05 472
两次阿里面试总结出来的登录问题,我来教你这么回答 前言 面试的时候,总是被问到登录问题,看到很多面经,基本上都是点到为止,其实关于这方面的话,面试官总是在我简单的答完之后,继续抛出一个问题或者讲明出现的一种情况,由此来判断你的深度,你的全局关,你的项目的层次等。 下面我将讲一下两次面试的时候我的答案和总结 First 登录问题 用户第一次输入用户名和密码之后,会向服务器发送一个post请求,服务器接收到请求的时候会生成一个session,然后会把sessionid复制一份,也就是JESSONID,接着
初识前端面试
qq_45742774的博客
03-04 129
一、['1','2','3'].map(parseInt)输出什么 [1,NaN,NaN] 1、parseInt(str,radix) ·解析一个字符串,并返回十进制整数 ·第一个参数str,既要解析的字符串 ·第二个参数radix,基数(进制),范围2-36 2、未传递radix参数 ·当str以'0x'开头,则按照16进制处理 ·当str以'0'开头,则按照8进制处理(但是ES5取消了) ·其他情况按照10进制处理 3、分析代码 ['1','2','3'].map(parseInt
前端面试题详解
weixin_46820017的博客
03-19 1196
使用数据摘要算法(如MD5、SHA-256等)对数据进行哈希处理,生成一个固定长度的摘要值。这个摘要值可以用于验证数据的完整性,防止数据在传输过程中被篡改。使用方式前端对发送的数据进行哈希处理,将摘要值和加密后的数据一起发送给后端。后端收到数据后,对解密后的数据进行相同的哈希处理,比较生成的摘要值是否与前端发送的摘要值一致。前端接口加密是保障数据传输安全的重要手段之一。在选择加密方式时,需要根据实际应用场景和安全需求进行权衡。同时,结合其他安全措施,可以进一步提高接口的安全性。
几种登录模式
classOurself的博客
03-25 2541
1. 正常登录 收集用户信息、校验、请求接口后台校验得到token 2. 委托登录 初始登录模式相同,中间加了一层,初始登录请求来主账号信息(含token)及委托人数组,再使用委托人信息登录(委托人token)或者跳过(主账号token)。验证码通过transform、rotato实现。 3. 验证码登录 点击发送验证码将对应手机号发送到第三方,第三方会将验证码转发给手机及相应后台,点击登陆验证对应手机号及验证码信息。 4. 扫码登录 二维码登录原理主要基于token的认证机制+二维码状态变化
前端开发面试问题及答案整理
飞鸟Blog
11-08 5095
说说你对闭包的理解 使用闭包主要是为了设计私有的方法和变量。闭包的优点是可以避免全局变量的污染,缺点是闭包会常驻内存,会增大内存使用量,使用不当很容易造成内存泄露。 闭包有三个特性: 1.函数嵌套函数 2.函数内部可以引用外部的参数和变量 3.参数和变量不会被垃圾回收机制回收 请你谈谈Cookie的弊端 cookie虽然在持久保存客户端数据提供了方便,分担了服务器
前端面试常见的问题(呕心沥血的总结)
weixin_43714543的博客
03-22 2274
直通金三银四,你学废了吗?1. JS的数据类型哪些?2. 变量的命名规则3.转换规则4. this的指向5.改变this指向的方式6.new操作符做什么?7.什么ajax,它的5个步骤8. get与post请求的区别?9. 什么cookie?10. cookie localStorage,sessionStorage 的区别?11. 闭包?12. 原型和原型链13. ES5 新增了哪些特性?14.es6有哪些新特性,你喜欢哪些特性? (重点的重点)15.什么是回调函数16.面向对象16.设计模式 GoF1
前端面试 - Http Session问题,记录我愚蠢的回答=。=
evan2916的专栏
06-16 1890
今天去面试前端开发,做完一张卷子后,面试官开始针对我卷子上的回答提问。 第一大块是说cookiesession的区别。 第一个问题session是什么 我很从容的回答了说session是用来给无状态的http增加有状态的识别信息。 抽抽的地方来了,面试官问我session是怎么获取的? 我竟然说了一句根据userId获取,很感谢当时两位面试官竟然没有笑场=。= 现在回想,真是肠子都
前端面试常问问题
09-17
前端面试常问问题有很多,以下是一些常见的问题: 1. 请介绍一下你对前端开发的理解和经验。 2. 你在项目中遇到过哪些难点,你是如何解决的? 3. 请问你对HTML、CSS和JavaScript的了解程度如何?可以举例说明你在项目中如何应用它们吗? 4. 你对浏览器兼容性有何了解?在项目中,你是如何保证网页在不同浏览器上的兼容性的? 5. 请解释一下什么是响应式设计,你是如何实现响应式设计的? 6. 你对前端性能优化有何了解?可以分享一些你在项目中优化性能的经验吗? 7. 在前端开发中,你是如何进行代码管理和版本控制的? 8. 在你的项目中,你是如何进行团队合作和沟通的?有什么经验和教训可以分享吗?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值