无状态登录原理及加密

最新推荐文章于 2023-11-22 10:55:51 发布
最新推荐文章于 2023-11-22 10:55:51 发布
阅读量397 收藏 1
点赞数 1
分类专栏: 笔记记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45042013/article/details/102876594
版权

登录状态介绍:

1、有状态登录

有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。

例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。

缺点:

  • 服务端保存大量数据,增加服务端压力
  • 服务端保存用户状态,无法进行水平扩展
  • 客户端请求依赖服务端,多次请求必须访问同一台服务器
    在这里插入图片描述

2、无状态登录

微服务集群中的每个服务,对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是:服务的无状态性,即:

  • 服务端不保存任何客户端请求者信息
  • 客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份

优点:

  • 客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同一台服务
  • 服务端的集群和状态对客户端透明
  • 服务端可以任意的迁移和伸缩
  • 减小服务端存储压力
    在这里插入图片描述

实现无状态登录

无状态登录的流程:

  • 当客户端第一次请求服务时,服务端对用户进行信息认证(登录)
  • 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证
  • 以后每次请求,客户端都携带认证的token
  • 服务的对token进行解密,判断是否有效。

流程图:
在这里插入图片描述
整个登录过程中,最关键的点是什么?

token的安全性

token是识别客户端身份的唯一标示,如果加密不够严密,被人伪造那就完蛋了。

这里采用JWT + RSA非对称加密

JWT介绍:

JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权。

官网https://jwt.io
GitHub上jwt的java客户端:https://github.com/jwtk/jjwt

数据格式

JWT包含三部分数据:

  • 1、Header:头部,通常头部有两部分信息:

    • 声明类型,这里是JWT
    • 签名算法,自定义

    我们会对头部进行base64加密(可解密),得到第一部分数据

  • 2、Payload:载荷,就是有效数据,一般包含下面信息:

    • 用户身份信息(注意,这里因为采用base64加密,可解密,因此不要存放敏感信息)
    • tokenID:当前这个JWT的唯一标示
    • 注册声明:如token的签发时间,过期时间,签发人等

    这部分也会采用base64加密,得到第二部分数据

  • 3、Signature:签名,是整个数据的认证信息。一般根据前两步的数据,再加上服务的的密钥(secret)(不要泄漏,最好周期性更换),通过加密算法生成。用于验证整个数据完整和可靠性

生成的数据格式如下: 可以看到分为3段,每段就是上面的一部分数据在这里插入图片描述

JWT交互流程

在这里插入图片描述

  • 授权流程
    • 1、用户请求登录,携带用户名密码到授权中心
    • 2、授权中心携带用户名密码,到用户中心查询用户
    • 3、查询如果正确,生成JWT凭证
    • 4、返回JWT给用户
  • 鉴权流程
    • 1、用户请求某微服务功能,携带JWT
    • 2、微服务将jwt交给授权中心校验
    • 3、授权中心返回校验结果到微服务
    • 4、微服务判断校验结果,成功或失败
    • 5、失败则直接返回401
    • 6、成功则处理业务并返回

非对称加密RSA

  • 对称加密,如AES
    • 基本原理:将明文分成N个组,然后使用密钥对各个组进行加密,形成各自的密文,最后把所有的分组密文进行合并,形成最终的密文。
    • 优势:算法公开、计算量小、加密速度快、加密效率高
    • 缺陷:双方都使用同样密钥,安全性得不到保证
  • 非对称加密,如RSA
    • 基本原理:同时生成两把密钥:私钥和公钥,私钥隐秘保存,公钥可以下发给信任客户端
      • 私钥加密,持有私钥或公钥才可以解密
      • 公钥加密,持有私钥才可解密
    • 优点:安全,难以破解
    • 缺点:算法比较耗时
  • 不可逆加密,如MD5,SHA
    • 基本原理:加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,无法根据密文推算出明文。

非对称加密后的授权和鉴权流程:
在这里插入图片描述

MD5:

Md5注册与登录流程

注册:得到用户名和密码,先对密码进行加密,然后保存到数据库。

登录:得到用户名和密码,先对密码进行加密,然后在去数据库直接根据用户名和密码去做查询。

动态加盐加密【SpringSecurity的加密】

注册:得到用户名和密码,先对密码进行加密,然后保存到数据库

登录:得到用户名和密码,先根据用户名去数据库做查询,得到用户对象中的密文,
然后拿原文和密文去调用macths方法来确定密码是否正确。

Charis Chen
关注
专栏目录
MD5加密概述,原理及实现
Oliver_xpl的博客
05-21 11万+
MD5概述: MD5消息摘要算法,属Hash算法一类。MD5算法对输入任意长度的消息进行运行,产生一个128位的消息摘要(32位的数字字母混合码)。 MD5主要特点: 不可逆,相同数据的MD5值肯定一样,不同数据的MD5值不一样 (一个MD5理论上的确是可能对应无数多个原文的,因为MD5是有限多个的而原文可以是无数多个。比如主流使用的MD5将任意长度的“字节串映射为一个128bit的大整数...
加密方式之自己正使用无状态加密内含实现代码
kevink的博客
07-22 235
欢迎大家访问我的博客www.kevink.club ### 传统加密方式-有状态加密 用户登录后,我们分配给用户一个token, 然后将token 放在redis中一份,放在数据库中一份; 当用户携带token 访问接口时,我们一般会做以下判断: > token是否正确 > token是否过期 通过以上的判断,我们可以确认用户的有效性。这中间就涉及到一个问题,我们需要取出自己保存的token, 先从redis中获取,如果redis中key过期或者redis宕机,我们就要从数据库中获取,无.
状态登录
JustinNeil的博客
08-13 1380
状态登录什么是有状态?什么是无状态如何实现无状态 什么是有状态?   有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session。例如登录:用户登录后,我们把用户的信息保存在服务端Session中,并且给用户一个Cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步由浏览器自动完成...
状态登录和无状态登录
最新发布
2201_75855662的博客
11-22 79
状态登录是一种基于会话(Session)的身份验证方式,其中服务器在用户登录后创建一个会话,并将会话ID存储在服务器端。客户端通过将会话ID存储在Cookie中,或者在每个请求中将会话ID作为参数或标头发送给服务器来进行身份验证。缺点:有状态登录需要在服务器端存储会话信息,可能会导致服务器的负载增加,并且需要进行会话管理。优点:无状态登录不需要在服务器端存储会话信息,因此可以方便地进行横向扩展和分布式部署。优点:有状态登录可以方便地撤销会话,服务器可以在需要时立即终止会话。
REST 中如何安全地处理用户登录问题?
permanent_2008的专栏
12-09 954
在设计一个 App 与服务端交互的 REST 风格的 API 时,一直不知道如何处理有关用户登录的各种问题,如: 判定用户是否已经登录如何对每一次 api 请求进行验证服务端与客户端通信时确保用户授权信息不被泄露。 简而言之,如何设计用户登录? 另:有设计过 REST API (最好是已上线的应用)的童鞋,急切地想向您求教 My Email :Fei2037%#gmail.co
登录服务器用户账户限制,当用户有登录到的限制时,远程桌面登录报错的解决...
weixin_32287433的博客
07-31 518
------老朱 2015.3.6一客户对普通域用户能够登录到的计算机有着严格的限制,即在用户账户中进行了登录到的设置,比如张三只能登录到张三的电脑,但对服务器账户没有限制,现在准备限制服务器账户能够登录到的服务器,按原来的方法设置:结果远程桌面登录时却报下面的错误(本地物理登录正常),由于以前个人用户没有进行过远程桌面连接,所以也没碰到这种问题,于是进入此服务器,检查安全类的4625日志,发现居...
数字证书原理,公钥私钥加密原理
08-07
以下是对数字证书原理和公钥私钥加密原理的详细解读。 数字证书是一种安全证书,用来证明某一实体(如个人、服务器或组织)的身份,它是由一个权威的认证机构(CA)签发的。数字证书包含的主要信息有证书拥有者的...
AES加密算法的原理详解与实现分析
10-14
【AES加密算法详解】 AES(Advanced Encryption Standard)是一种广泛应用的对称加密算法,主要用于保护敏感数据的安全传输。例如,微信小程序在进行数据通信时就采用了AES加密算法来确保信息的私密性。对称加密...
修改Zend引擎实现PHP源码加密原理及实践
12-17
通过修改 Zend 引擎,我们可以在代码解析之前对其进行加密,使得源码在传输和存储过程中保持安全状态。虽然这种方法增加了代码的复杂性,但能有效防止未经授权的访问和复制。实践中需要注意的是,加密过程可能会影响...
API接口之安全
weixin_30888413的博客
09-02 1293
APP、前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥、被抓包、被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1、Token授权认证,防止未授权用户获取数据; 2、时间戳超时机制; 3、URL签名,防止请求参数被篡改; 4、防重放,防止接口被第二次请求,防采集; 5、采用HTTPS通信协议,防止数据明文传输; ...
状态WEB HTTP Service安全性方式之一
ksgt00016758的专栏
01-13 2031
在一些环境中,可能需要把Web应用做成无状态的,即服务器端无状态,就是说服务器端不会存储像会话这种东西,而是每次请求时带上相应的用户名进行登录。如一些REST风格的API,如果不使用OAuth2协议,就可以使用如REST+HMAC认证进行访问。HMAC(Hash-based Message Authentication Code):基于散列的消息认证码,使用一个密钥和一个消息作为输入,生成它们的消
使用JWT保护Web应用时涉及到修改密码、注销、token续签解决方案
binzai325的专栏
06-28 1504
1. 更改密码时:当用户更改密码时,请注意用户数据库中的更改密码时间,因此当更改密码时间大于令牌创建时间时,令牌无效。因此可以很快将其它的会话也给注销掉。 2. 当用户注销时:当用户注销时,将令牌保存在单独的数据库(如redis)中(例如:InvalidTokenDB并在令牌过期时从Db中删除令牌)。因此,用户从相应的设备注销,他在其他设备中的会话保持不受干扰。 3.token续签: 生成两个token,分别是access_token【过期时间设置30分钟】、refresh_token【过期时间设置3
状态登录原理以及通过JWT进行实现
qq_44575980的博客
04-21 1459
1.无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户...
密码学中的“盐值 Salt”
xiliang_pan的专栏
04-03 4185
盐(Salt) 在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐”。 以上这句话是维基百科上对于 Salt 的定义,但是仅凭这句话还是很难理解什么叫 Salt,以及它究竟起到什么作用。 第一代密码 早期的软件系统或者互联网应用,数据库中设计用户表的时候,大致是这样的结构: mysql> desc
状态服务
weixin_34197488的博客
03-30 830
数据服务,正如其名,可以向应用提供数据存储与访问的服务。 比如一个游戏场景服务器,可以在玩家进入的时候,向数据服务请求该玩家的数据。逻辑中处理不同玩家的数据交互,修改不同玩家的数据,然后以一定策略再将数据存回数据服务。 同理如一个web应用服务器, client 发一个请求,应用向数据服务请求数据,修改数据,应用向数据服务存回数据。 换言之,如果把服务端看作一个整体,数据服务维护的是client在...
QQ登录功能实现过程和原理
夏增明的博客
06-25 2037
点击按钮跳转到腾讯去登录登录成功回调,跳转到指定URL并携带AuthorizationCode 根据AuthorizationCode获取AccessToken 根据AccessToken获取Openid 根据AccessToken和Openid获取UserInfo ...
微服务统一登陆认证怎么做?JWT ?
u013085496的博客
11-23 1040
状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,...
用户的无状态登录原理(token认证机制)
我能在河边钓一整天的鱼
02-23 1558
什么是有状态状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。传统项目中,在用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 ...
前端登录加密和解密
weixin_43806733的博客
08-12 942
关于在做vue项目时的前端登录加密和解密介绍一种经常使用的crypto-js加密方法 本文章这里介绍一篇AES加密算法,如果对这个算法不熟悉的可以查看一篇 AES加密算法的详细介绍与实现的一篇文章,还有一篇理解AES加密解密的使用方法。 使用方法 首先要引入 crypto-js ,crypto-js 是一个纯 javascript 写的加密算法类库 ,可以非常方便地在 javascript 进行 MD5、SHA1、SHA2、SHA3、RIPEMD-160 哈希散列,进行 AES、DES、Rabbit、RC
加密解密技术详解:原理与应用
2. 节点加密:与链接加密相似,但数据在节点间传递时始终保持加密状态,通过专用的加密硬件进行解密和重加密。这些硬件通常被严密保护,以确保安全性。 3. 首尾加密:数据在进入网络时加密,离开网络时解密,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值