关于四种鉴权方式

于 2024-08-19 18:57:52 发布
阅读量503 收藏 11
点赞数 12
分类专栏: 软件测试 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54161774/article/details/141329389
版权

概念

鉴权:验证用户是否拥有访问系统的权利。

传统的鉴权是通过密码来验证的,这种方式的前提是,每个获得密码的用户都已经被授权。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。

鉴权方式

HTTP Basic Authentication

HTTP协议实现的基本认证方式,此方式在客户端会弹出一个登录窗口,由用户输入用户名和密码进行登录,安全性不高。

Session-Cookie 认证

利用服务端的 Session(会话)和浏览器(客户端)的 Cookie 来实现的前后端通信认证模式。

当客户端第一次向服务器发送请求,服务器第一次接收到请求时,为此请求开辟一块内存空间(一个Session对象),服务器会为这个Session对象生成一个唯一的标识sessionID,并在HTTP响应头的 Set-Cookie:JSESSIONID=XXXXXXX 中设置这个sessionID(Session的实现依赖Cookie)。

客户端收到服务端的响应后会解析响应头,根据Set-Cookie将sessionID保存在本地Cookie中,当下次向服务器发送请求时,请求头会自动附上该域名下的 Cookie 信息,而服务端接收客户端请求时会去解析请求头 Cookie 中的sessionID,根据sessionID找到Session对象,从而获取用户信息。

这个 sessionID 一经创建,就在后面的每次 http 请求中,都带在请求头当中。服务器就是靠这种标识,来区别客户端是哪一个的。

但是 sessionID 是基于Cookie存储的方式保存,如果Cookie被截获,用户就容易受到跨站请求伪造的攻击,这是不安全的。

Token 验证

Token实际就是在计算机身份验证中的令牌(临时)的意思。当前端向后端发起数据请求的时候,后端需要对前端进行身份验证,但是我们又不想每次都输入用户名和密码,这是就需要一个标识来证明自己的身份,这个标识就是token。

这种验证是在 App 兴起以后发展起来的,因为在 App 里没有浏览器环境,没有Cookie,那么客户端在进行了权限验证以后,就把这个登录凭证,也就是 Token 直接存在了客户端,并且在每次请求服务器的时候都把它带上。最常用的 Token 验证方式,就是 JWT (Json Web Token) ,JWT是通过对带有相关用户信息的json进行加密,加密的方式比较灵活。

基于Token的身份验证流程:

客户端使用用户名和密码请求登录
服务端收到请求,验证登录是否成功
验证成功后,服务端会返回一个Token给客户端,反之,返回身份验证失败的信息
客户端收到Token后把Token用一种方式存储起来 ( cookie / localstorage / sessionstorage /... )
客户端每次发起请求时都会将Token发给服务端
服务端收到请求后,验证Token合法性,合法就返回客户端所需数据,反之,返回验证失败的信息

OAuth 验证

OAuth(开放授权)是一种开放标准,用于允许用户在不暴露其凭据(如用户名和密码)的情况下,让第三方应用程序访问其资源(如用户的照片、视频、联系人列表等)。OAuth 主要用于授权,而不是身份验证。如网站第三方登录,可以使用 QQ 或者微信登录,小程序微信一键登录。

Session、Cookie、Token

HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录,Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。

Cookie和Session是两种常见的用于跟踪使用者状态和实现使用者认证的机制。Cookies是一种存储在客户端的数据机制,而Session则是一种在服务器端存储使用者信息的机制。

客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,服务器可以利用 Session 存储客户端在同一个会话期间的一些操作记录(用户在浏览网站时,记录用户从进入网站到关闭浏览器所经历的一系列状态和行为)。

Session工作原理:

Cookie工作原理:

Session与Token:作为身份认证,Token安全行比Session好; Session 认证只是简单的把User 信息存储到Session里,因为SID 的不可预测性,暂且认为是安全的,这是一种认证手段。 而Token ,如果指的是OAuth Token 或类似的机制的话,提供的是认证和授权,认证是针对用户,授权是针对App ,其目的是让某App有权利访问某用户的信息。

Token与Cookie:Cookie是不允许垮域访问的,但是Token是支持的, 前提是传输的用户认证信息通过HTTP头传输;Token就是令牌,比如你授权(登录)一个程序时,他就是个依据,判断你是否已经授权该软件;Cookie就是写在客户端的一个txt文件,里面包括你登录信息之类的,这样你下次在登录某个网站,就会自动调用Cookie自动登录用户名。

Cookie与Session区别:Cookie数据存放在客户端上,Session数据放在服务器上;Cookie不是很安全,且保存数据有限;Session一定时间内保存在服务器上,当访问增多,占用服务器性能。

参考:

终于有人把前端鉴权讲明白了

鉴权的基本概念及session和cookie的入门认识

Session、Cookie、Token 【浅谈三者之间的那点事】

Cookie的工作原理和应用详解

session 详解:掌握客户端会话管理

Cookie vs Session:全面对比分析,探讨优点和适用场景

30s 看懂最基础的认证方式: Session-Cookie 认证

Token及Token验证流程

DMiB
关注
  • 12
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前后端常见的几种鉴权方式(小结)
10-16
本文将详细探讨前后端常见的四种鉴权方式:HTTP Basic Authentication、session-cookie、Token验证以及OAuth。 1. **HTTP Basic Authentication** HTTP Basic Authentication是一种简单的身份验证机制,遵循HTTP...
关于Mongodb 认证鉴权你需要知道的一些事
09-09
2. MONGODB-CR:这是3.0版本之前的鉴权方式,已被废弃,因为它不如SCRAM-SHA-1安全。 3. x.509 Certificate Authentication:基于证书的鉴权,适用于SSL/TLS加密连接,可以提供更强的身份验证。 4. LDAP proxy ...
阿里云点播URL鉴权处理流程
11-06
根据不同的应用场景和技术需求,阿里云点播提供了多种URL鉴权方式: 1. **视频ID鉴权**:适用于原生开发的App,通过video_id进行鉴权,这种方式简单且易于实现。 2. **URL鉴权**:适合于使用uni-app等混合应用开发...
WCF 安全性 四种身份验证方式
03-05
WCF 四种身份验证方式 都通过本人测试 qq:574311505 None Windows 自定义证书 自定义用户名密码
QT属性动画--设置样式属性(其他属性)
lizequan的博客
03-02 5457
这里写自定义目录标题故事背景遇到的问题解决过程最终方法感悟 故事背景   最近在制作一个按钮切换的动画特效中接触了属性动画这部分内容,并由此产生了一些思考。 遇到的问题 解决过程 最终方法 感悟 ...
Volatile的其他特性
我想月薪过万的博客
03-03 3958
2.1 volatile总体概览 在上一节中,我们已经研究完了volatile可以实现并发下共享变量的可见性,volatile除了保证可见性外,volatile还具备如下一些突出的特性: volatile的原子性问题:volatile不能保证原子性操作 禁止指令重排序:volatile可以防止指令重排序操作 2.2 volatile不保证原子性 2.3 代码测试 package Ls; /** * 目标:研究Volatile的原子性操作 * <p> * 基本观点:V.
【安卓基础】Android直接通过路径来操作其他应用的私有目录,可以吗?
m0_48179608的博客
03-02 7686
在上篇文章[【安卓基础】一文搞懂Android历代版本文件访问权限变化](https://blog.csdn.net/m0_48179608/article/details/122838494)我们对同一个应用的的文件访问权限做了比较。 那么不同应用之间文件访问又有什么限制呢?我们准备分二到三篇文件来阐述。 这篇文章,主要来看下不同系统版本下,我们直接通过路径来访问其它应用的**内部存储、外部存储私有目录**,看看能不能访问以及不同系统版本的区别。
Silane-PEG-NHS,SIL-PEG-NHS,可以用来修饰蛋白质、多肽以及其他活性基团,NHS-PEG-Silane
qq_39152602的博客
03-03 3595
英文名称:Silane-PEG-NHS 中文名称:硅烷-聚乙二醇-活性酯 分子量:1k,2k,3.4k,5k,10k,20k(可按需定制) 质量控制:95%+ 存储条件:-20°C,避光,避湿 用 途:仅供科研实验使用,不用于诊治 外观: 固体或粘性液体,取决于分子量 注意事项:取用一定要干燥,避免频繁的溶解和冻干 溶解性:溶于大部分有机溶剂,如:DCM、DMF、DMSO、THF等等。在水中有很好的溶解性 取用:现配现用,将包装从冰箱中取出,置于干燥器中缓慢升至室温,打开瓶盖,取用。取用.
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
皮埃尔的博客
03-03 2914
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
探索算法迷宫:揭秘寻找最短路径的神兵利器
08-19
数据结构是计算机科学中的一个基本概念,它指的是数据的组织、管理和存储方式,以及对数据的操作。数据结构使得数据的访问和修改更加高效和有序。常见的数据结构包括: 1. **数组**(Array):一种线性数据结构,可以存储相同类型的元素,并通过索引访问。 2. **链表**(Linked List):一种线性数据结构,由一系列节点组成,每个节点包含数据部分和指向下一个节点的指针。 3. **栈**(Stack):一种后进先出(LIFO, Last In First Out)的数据结构,只能在一端进行添加或删除操作。 4. **队列**(Queue):一种先进先出(FIFO, First In First Out)的数据结构,允许在一端添加元素,在另一端删除元素。 5. **哈希表**(Hash Table):通过键值对存储数据的数据结构,可以快速地通过键来访问数据。 6. **树**(Tree):一种层次结构的数据结构,每个节点有零个或多个子节点,通常用于表示具有层次关系的数据。 7. **图**(Graph):由顶点(节点)和边组成,可以表示复杂的关系和网络结构。 每种数据结构都有其
基于Android习惯养成APP设计与实现.docx
08-19
基于Android习惯养成APP设计与实现.docx
YOLO算法在生物信息学中的创新应用:从基因组到细胞成像
最新发布
08-19
YOLO(You Only Look Once)算法是一种流行的实时目标检测系统,通常用于计算机视觉领域。然而,其原理和效率同样适用于生物信息学领域,特别是在基因组学、蛋白质结构分析和细胞成像等方面。本文将探讨YOLO算法在生物信息学中的多种应用,包括基因组序列识别、蛋白质结构分类和细胞图像分析,并提供相应的代码示例。 YOLO算法在生物信息学领域展现出巨大的潜力,尤其是在需要快速和自动化分析的场景中。随着深度学习技术的不断进步,我们可以预见YOLO算法将在生物信息学中扮演越来越重要的角色。 参考文献 YOLO: Real-Time Object Detection Deep Learning for Bioinformatics 请注意,本文为示例性质,实际编写时需要根据具体主题和要求进行调整和补充。
知识分享辅助工具 - ObsidianPublishToCSDN-V1.1.py
08-19
知识分享辅助工具:ObsidianPublishToCSDN-V1.1.py 简介优化: 告别繁琐,拥抱高效!ObsidianPublishToCSDN-V1.1.py 是专为 Obsidian 用户打造的知识分享利器,旨在将您的笔记内容无缝对接至CSDN平台,让知识分享变得更加轻松快捷。 核心功能亮点: 智能图片提取:自动识别并收集Obsidian笔记中引用的所有图片,一键整理至指定文件夹,无需手动逐一查找,大幅提升发布效率。 Markdown优化转换:精准转换Obsidian的Markdown格式为CSDN兼容格式,保留原有排版与样式,确保内容呈现的专业与美观。 双链处理:特别针对Obsidian的双链特性,提供灵活处理方案,无论是转换为普通链接还是保留注释说明,均可按需配置,让内容更加适应CSDN环境。 高效文档生成:一键生成适用于CSDN发布的Markdown文档,减少手动编辑时间,让您的创意与知识更快触达读者。 持续迭代更新:本工具正处于活跃开发阶段,我们倾听每一位用户的反馈,不断优化功能,修复bug,确保为您提供最稳定、最便捷的使用体验。
电网预测数据集,日期 小时 干球温度 露点温度 湿球温度 湿度 电力负荷 电价
08-19
日期 小时 干球温度 露点温度 湿球温度 湿度 电力负荷 电价
Gen97-RF-Customization-Step-By-Step
08-19
MTK Gen97 关于modem配置流程和文档介绍
植物大战僵尸幼儿园版v0.9安装程序
08-19
”幼儿园版”由菊长大人提供 目前只能算原版PVZ的换皮肤版本,大家就当用一种可爱的方式再玩一遍原版吧。 目前游戏里还有很多BUG,请大家多多包涵。 创作者会在之后的版本继续优化并增加新内容,给大家更好的体验。
基于Android图书馆管理系统APP设计与实现.docx
08-19
基于Android图书馆管理系统APP设计与实现.docx
我们在学习c语言时,我们应该会灵活运用多个编译器,小熊猫c++就是如此
08-19
小熊猫C++是一个面向编程入门和初级用户的C/C++集成开发环境(IDE)。 此安装包已经配置完成,可直接安装,无需配置编译器 已有的C/C++ IDE,要么体积庞大,需要长时间的下载和安装,如VS和Qt Creator
毕业设计,基于SpringBoot+Vue+MySQL开发的海滨体育馆管理系统,源码+数据库+毕业论文+视频演示
08-19
毕业设计,基于SpringBoot+Vue+MySQL开发的海滨体育馆管理系统,源码+数据库+毕业论文+视频演示 本基于Spring Boot的海滨体育馆管理系统设计目标是实现海滨体育馆的信息化管理,提高管理效率,使得海滨体育馆管理工作规范化、高效化。 本文重点阐述了海滨体育馆管理系统的开发过程,以实际运用为开发背景,基于Spring Boot框架,运用了Java技术和MySQL作为系统数据库进行开发,充分保证系统的安全性和稳定性。本系统界面良好,操作简单方便,通过系统概述、系统分析、系统设计、数据库设计、系统测试这几个部分,详细的说明了系统的开发过程,最后并对整个开发过程进行了总结,实现了海滨体育馆相关信息管理的重要功能。 本系统的使用使管理人员从繁重的工作中解脱出来,实现无纸化办公,能够有效的提高海滨体育馆管理效率。 关键词:海滨体育馆管理,Java技术,MySQL数据库,Spring Boot框架 本基于Spring Boot的海滨体育馆管理系统主要实现了管理员功能模块和学生功能模块两大部分,这两大功能模块分别实现的功能如下: (1)管理员功能模块 管理员登录后可对系统进行全面管理操作,包括个人中心、学生管理、器材管理、器材借出管理、器材归还管理、器材分类管理、校队签到管理、进入登记管理、离开登记管理、活动预约管理、灯光保修管理、体育论坛以及系统管理。 (2)学生功能模块 学生在系统前台可查看系统信息,包括首页、器材、体育论坛以及体育资讯等,没有账号的学生可进行注册操作,注册登录后主要功能模块包括个人中心、器材管理、器材借出管理、器材归还管理、校队签到管理、进入登记管理、离开登记管理、活动预约管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值