说说web应用程序中的用户认证

最新推荐文章于 2023-04-01 11:37:50 发布
最新推荐文章于 2023-04-01 11:37:50 发布
阅读量902 收藏 8
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/somenzz/article/details/101731409
版权

阅读本文大概需要 3 分钟。

我们都知道 web 应用程序分两个部分,即前端和后端。
前端发送请求,后端返回数据。这里后端是指服务器,前端是指浏览器。
后端只能收到前端发送的请求头,请求参数,及资源定位符(url)。在没有用户认证的情况下,无论前端是谁,只要发送的请求一样,后端返回的数据也是一样的,前端人人平等,后端对他们一视同仁。
随着技术的发展,用户的增加,后端的服务器越来越跑不动了,因为前端的请求太多了,有些资源并不想让所有用户查看,还有些是恶意请求,会导致服务器崩溃(DDoS 攻击)。
因此,后端必须验证前端的身份,根据前端是否拥有相应的权限,来确定是否返回对应的数据。于是很多网站都有用户登陆、注册功能,只有登陆的用户才可能做更多的事情。
但是 http 设计之初是无状态的,也就是说每次请求,服务器都认为这是一个新的请求,之前的请求是否发生过,服务器并不知道。用户登陆时服务器验证通过,但用户的下一次请求时,服务器已不记得用户是否登陆过,这就需要借助一些额外的工具来实现有状态的请求。这就是 cookie(小甜品)。
用户第一次登陆服务器时,服务器生成一些和用户相关联的信息,比如 session_id,token,user_id,可能是一个,也可能是多个,都是经过加密的,把这些信息放在 cookie 中,返回给前端用户,用户下一次请求时,附带上这个 cookie ,服务器拿到这个 cookie,就知道用户之前已经登陆过了,这就变成了有状态的请求。
服务器可以设置相关信息的过期时间,比如 2 个小时,那么用户登陆网站后,2 个小时内未做任何操作,那么 2 个小时后,再次发送请求,服务器就会认为未登陆,需要重新登陆。
登陆后的一系列请求,借助于 cookie,服务器就能确认是哪个用户,然后根据角色、权限确认哪些用户拥有哪些资源的访问权限,这样就实现了用户认证,权限控制等一系列复杂的功能。
那么问题来了,使用 Django Rest Framework 框架实现后端 REST API 时,如何做好用户认证呢?
在 Django Rest Framework 中,认证功能是可插拨的,非常方便。REST框架提供了现成的身份验证方案,如下。并且还允许您实现自定义方案。
1、BasicAuthentication
此身份验证方案使用 HTTP 基本身份验证,该身份针对用户的用户名和密码进行了签名。基本身份验证通常仅适用于测试。
2、TokenAuthentication
此身份验证方案使用简单的基于令牌的 HTTP 身份验证方案。令牌认证适用于客户端-服务器设置,例如台式机和移动客户端。
3、SessionAuthentication
此身份验证方案使用 Django 的默认会话后端进行身份验证。会话身份验证适用于在与您的网站相同的会话上下文中运行的 AJAX 客户端。
4、RemoteUserAuthentication
通过此身份验证方案,您可以将身份验证委派给 Web 服务器。
但是对于需要前后端分离的生产环境来说,方式 1 不适用,官方已经说明仅适用于测试。方式 4 也不适用,没有多少人愿意委派别人来验证自己的用户。方式 2 并不安全,可能导致 XSS 攻击,方式 3 采用 django 默认的会话后端,适用于在与网站相同的会话上下文中运行的 AJAX 客户端,也不适用前后端分离这种方式。
这里必须要自己实现自定义的验证吗?其实不然,这里我推荐使用:
JSON Web Token,也就是 django-rest-framework-jwt 安全加密功夫做得比较足,而且工作原理也清楚明了,使用也简单。适合用于向 Web 应用传递一些非敏感信息,经常用于设计用户认证和授权系统,实现 Web 应用的单点登录。
Json Web Token(JWT)
JWT 是一个开放标准 (RFC 7519),它定义了一种用于简洁,自包含的用于通信双方之间以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。
JWT 使用方法:

  1. 首先,前端通过 Web 表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个 HTTP POST 请求。建议的方式是通过 SSL 加密的传输(https协议),从而避免敏感信息被嗅探。

  2. 后端核对用户名和密码成功后,将用户的 id 等其他信息作为 JWT Payload(负载),将其与头部分别进行 Base64 编码拼接后签名,形成一个 JWT。形成的JWT 就是一个字符串。

  3. 后端将 JWT 字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在 localStorage 或 sessionStorage 上,退出登录时前端删除保存的 JWT 即可。

  4. 前端在每次请求时将 JWT 放入 HTTP Header 中的 Authorization 位。(解决XSS 和 XSRF 问题)

  5. 后端检查是否存在,如存在,则验证 JWT 的有效性。例如,检查签名是否正确;检查 Token 是否过期;检查 Token 的接收方是否是自己(可选)。

  6. 验证通过后后端使用 JWT 中包含的用户信息进行其他逻辑操作,返回相应结果。

阅读原文发表你的看法。

专注于Python技术分享
欢迎订阅、在看、转发
640?wx_fmt=jpeg
somenzz
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
超级有影响力霸气的Java面试题大全文档
07-18
SessionBean在J2EE应用程序被用来完成一些服务器端的业务操作,例如访问数据库、调用其他EJB组件。EntityBean被用来代表应用系统用到的数据。  对于客户机,SessionBean是一种非持久性对象,它实现某些在服务器...
web api对接小程序基本签名认证
weixin_33912453的博客
06-04 820
usingBMOA.Application.System; usingBMOA.Common; usingBMOA.Web.Models; usingNewtonsoft.Json; usingSystem; usingSystem.Collections.Generic; usingSystem.Configuration; usingSystem.Linq; u...
WEB应用的安全的登录认证
weixin_30663471的博客
06-03 115
WEB应用的安全的登录认证 前些日子看到一个关于安全登录认证的博文,不过该文提到的登录认证算法有点复杂,而且仍然存在一些安全缺陷。想到之前了解过的HMAC算法,我觉得完全可以使用基于HMAC算法来进行WEB应用的安全的登录认证。所谓安全,其实主要是解决一个问题:在基于明文传输的HTTP协议下隐藏用户输入的密码。当然,同时还需要考虑到用户密码在服务器端同样不能以明文保存。 也许有人会想到一个最简...
六、python Django REST framework[认证、权限、限流]
黑日里不灭的light
08-15 380
解释:认证有五大认证类: BasicAuthentication 、SessionAuthentication 、TokenAuthentication 、RemoteUserAuthentication,他们都继承了BaseAuthentication认证流程代码: 使用方法:解释:如果配置全局就无需专门写入局部配置,同理配置局部无需专门写入全局,理由(django在APIView父类里面默认会读取全局配置的,如果局部写相当于覆盖全局配置) 局部配置 写入views.py 1.基础认证 1.1
web应用程序的身份验证_Web应用程序的身份验证机制
danpu0978的博客
05-17 1333
web应用程序的身份验证 身份验证是大多数网站的基本要求。 但是,有许多机制可以实现身份验证,并且它们并不是很可互换的。 根据业务需求,开发人员需要为其应用程序选择最合适的身份验证方法。 除非人们很好地了解机制之间的差异,否则这可能不是一件容易的事。 在这篇简短的文章,我想回顾一下实现身份验证的4种流行机制。 还要进行比较和考虑,以选择最合适的方法。 背景 在标准Java Web应用...
Web用户的身份验证及WebApi权限验证流程的设计和实现
热门推荐
上步七星
01-18 5万+
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用
asp.net知识库
06-18
ASP.NET 2.0构建动态导航的Web应用程序(TreeView和Menu ) 体验.net2.0的优雅(3) -- 为您的 SiteMap 添加 控制转发功能 GridView控件使用经验 ASP.NET 2.0:弃用 DataGrid 吧,有新的网格控件了! ASP.NET2.0控件...
java 面试题 总结
09-16
SessionBean在J2EE应用程序被用来完成一些服务器端的业务操作,例如访问数据库、调用其他EJB组件。EntityBean被用来代表应用系统用到的数据。 对于客户机,SessionBean是一种非持久性对象,它实现某些在服务器上...
最新Java面试宝典pdf版
08-31
19、我们在web应用开发过程经常遇到输出某种编码的字符,如iso8859-1等,如何输出一个某种编码的字符串? 90 20.现在输入n个数字,以逗号,分开;然后可选择升或者降序排序;按提交键就在另一页面显示按什么排序...
Java面试宝典2010版
06-27
19、我们在web应用开发过程经常遇到输出某种编码的字符,如iso8859-1等,如何输出一个某种编码的字符串? 20.现在输入n个数字,以逗号,分开;然后可选择升或者降序排序;按提交键就在另一页面显示按什么排序,...
Web应用程序的身份验证:Session认证、Token认证
Waylon_Ma的博客
04-01 3589
用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统认证和授权。① session数据持久化,写入数据库或别的持久层。
web应用常见的用户认证方式分享
GitChat
11-24 871
本场 Chat 分享主要介绍web应用常见的用户认证方式 本场 Chat 内容将涉及如下: cookie/session方式认证 basic 认证 使用jwt认证 oauth认证
DRF五 ---- 认证和权限
zxcvbbnn的博客
08-05 597
认证权限认证还是先创建一个模型类序列化视图路由权限drf里面的源码解决不认证就能修改的问题解决谁认证都可以修改的问题路由里面显示登录的代码DRF提供的四种认证BasicAuthentication在pycharm创建数据对BasicAuthentication身份认证的总结TokenAuthenticationTokenAuthentication的配置TokenAuthentication验证TokenAuthentication的缺点SessionAuthenticationsession验证是怎么生
Web应用程序的身份验证
Mr.Xie的博客
06-08 4746
原文地址:https://docs.spring.io/spring-security/site/docs/4.2.6.RELEASE/reference/htmlsingle/#authorization一个典型的Web应用程序的身份验证过程:您访问主页,然后点击链接。请求发送到服务器,并且服务器确定您已请求受保护的资源。由于您目前没有通过身份验证,因此服务器会发回一个响应,指出您必须进行身份验...
Web总结】用户认证
weixin_34119545的博客
07-16 371
我的原文:www.hijerry.cn/p/61701.htm… 前言 用户认证就是判断一个用户是否为合法用户的过程。 目前用户认证大都是基于Cookie、Session实现的。对于HTTP协议还不熟悉的话,可以参考《HTTP权威指南》。 应用场景 注册、登陆几乎是所有Web站点都具备的两个功能。 以商城系统为例,用户输入登录名、密码进行注册、登陆,这样系统内就可以为用户保存如:购物车、订单、商品...
Web开发常见的认证机制
weixin_33756418的博客
03-13 384
HTTP基本认证(HTTP Basic Auth) 在HTTP,HTTP基本认证是一种允许Web浏览器或者其他客户端在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 简单而言,HTTP基本认证就是我们平时在网站最常用的通过用户名和密码登录来认证的机制。优点HTTP 基本认证是基本上所有流行的网页浏览器都支持。但是基本认证很少...
Java应用程序 身份认证与授权机制(一)
xhh198781的专栏
10-09 1万+
认证与授权 认证用户或计算设备用来验证身份的过程。授权是根据请求用户的身份允许访问和操作一段敏感软件的过程。这两个概念密不可分。没有授权,就无需知道用户的身份。没能认证,就不可能区分可信和不可信用户,更不可能安全地授权访问许多系统部分。 不一定要标识或认证个别实体;在某些情
WEB常识 一 什么是认证(Authentication)
W_H_M_2018的博客
09-22 2311
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网认证用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 ...
Web应用的创建笔记(4)_增加用户认证与授权功能
05-24 3219
Web应用的一个通用的需求是能提供用户认证与授权服务。目前很流行的一个认证授权协议是OAUTH2.0,像我们经常使用的微信,QQ,微博等都是遵循了OAUTH2.0的协议标准,第三方应用可以获得微信,微博的用户授权,读取用户的相关资料。Keycloak是一个遵循了OAUTH2.0协议的一个开源的应用,在本文,我将采用Keycloak来保护我之前创建的WEB前端与后端的应用。首先我们要新建一个Ke...
嵌入式 web应用 程序
最新发布
11-03
嵌入式web应用程序是一种在嵌入式系统运行的Web应用程序。嵌入式系统是一种专门设计和用于特定功能的计算机系统,通常嵌入在其他设备,如家用电器、汽车、工业设备等。嵌入式web应用程序类似于普通的Web应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值