httpsession cookie 单点登录 顶域

最新推荐文章于 2023-05-06 16:37:12 发布
最新推荐文章于 2023-05-06 16:37:12 发布
阅读量401 收藏 1
点赞数 1
分类专栏: 实习-网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ss123mlk/article/details/116594064
版权

在大部分时候,我们在讨论API的设计时,会从功能的角度出发定义出完善的、易用的API。而很多时候,非功能需求如安全需求则会在很晚才加入考虑。而往往这部分会涉及很多额外的工作量,比如与外部的SSO集成,Token机制等等。对该安全需求,一般有如下方案:

• 基于session的认证鉴权

• 基于token的认证鉴权

基于session

由于HTTP协议本身是无状态的,服务器需要某种机制来区分每个请求。比如在返回给客户端的响应中加入一些ID,客户端再次请求时带上这个ID,这样服务器就可以区分出来每个请求,并完成后续事务性的操作。在传统的Web容器中,这种机制通过Session来实现。Web容器会为每个首次请求创建一个Session,并将SessionID以浏览器Cookie的方式返回给客户端。客户端(常常是浏览器)在后续的请求中带上这个SessionID来表明自己的身份。这种机制同样被用在了鉴权方面,用户登录系统之后,系统分配一个SessionID给它。除非Session过期,或者用户从客户端的Cookie中主动删了SessionID,否则在服务器端看来,用户的信息会和这个Session绑定起来。后台系统也可以随时知道请求某个资源的真实用户是谁,并以此来判断该用户时候真的有权限这么做。

Session的问题及解决方案

这种做法在小规模应用中工作良好,但是随着用户的增多,企业往往需要部署多台服务器形成集群来对外提供服务。在集群模式下,当某个节点挂掉之后,由于Session默认是保存在部署Web容器中的,用户会被误判为未登录,后续的请求会被重定向到登陆页面,影响用户体验。这种将应用程序状态内置的方法已经完全无法满足应用的扩展,因此在工程实践中,我们会采用将Session外置的方式来解决这个问题。即集群中的所有节点都将Session保存在一个公用的键值数据库中。典型的做法就是使用spring session,将原来保存在各服务实例中的 Session 保存到实例共享的同一存储介质中。这样的话,无论请求访问到哪个服务实例,Session 均会对共享存储进行读写,从而达到 Session 共享的目的。目前常用Hazelcast和Redis作为存储session的介质,spring session官方文档对此有详细介绍:https://docs.spring.io/spring-session/docs/current/reference/html5/guides/hazelcast-spring.html和https://docs.spring.io/spring-session/docs/current/reference/html5/guides/security.html 采用外置的方式(比如Redis),Spring会拦截所有对HTTPSession对象的操作,后续的对Session的操作,Spring都会自动转换为与后台的Redis服务器的交互,从而避免节点挂掉之后Session丢失的问题。

基于token的认证鉴权

一般认为基于OAuth和JWT方案都是基于Token的,但OAuth对于不做开放平台的公司有些过于复杂。这里所说基于token的认证鉴权主要指JWT。
微信OAUTH2文章!!!!!!

微信2!!!!!!

下面简单以接入微博开放平台为例
在这里插入图片描述
微博回调地址 跳转回来会携带code
就是一个访问服务器的请求 我们只要在本地写一个controller就能将code获取

如果本次会话的session里没有当前这个loginuser的记录 说明没登陆过
在这里插入图片描述

一个域名下的不同微服务共享会话+一个微服务集群不同服务器共享会话

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
上面这个hash应该是sessionID
在这里插入图片描述
MapSession中持有HashMap类型的变量sessionAtts用于存储Session设置属性,比如调用的setAttribute方法的k-v就存储在该HashMap中。这个和tomcat内部实现HttpSession的方式类似,tomcat中使用了ConcurrentHashMap存储。

其中lastAccessedTime用于记录最近的一次访问时间,maxInactiveInterval用于记录Session的最大闲置时间(过期时间-针对没有Request活跃的情况下的最大时间,即相对于最近一次访问后的最大闲置时间)。
在这里插入图片描述
cookie name 为jsessionid value 为sessionid
请求到服务器时 根据value去查找具体的session
根据session去
https://www.cnblogs.com/lxyit/p/9672097.html

cookie是服务器发送回来的
在一个大业务下比如gulimall.com 是顶域 它下面的其他微服务 比如 auth.gulimall.com 是子域 即使cookie此时已经跨域 我们可以通过服务器代码设置让cookie 的domain 永远是在顶域的 这样就可以做到 访问这些网址的时候 cookie的jessionid名字都相同

最低0.47元/天 解锁文章
多学就会融会贯通
关注
专栏目录
单点登录原理与实现
软件老王
01-16 406
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,必须鉴别浏览器请求,响应合法请求,忽略非法请求;要鉴别浏览器请求,必须清楚浏览器请求状态。既然http协议无状态,那就让服务器和浏
session,cookie,token的详解介绍以及单点登录的介绍
ywn0601的博客
03-10 292
详解session,cookie,token http是一种无状态的协议,即这一次请求和上一次请求是没有任何关系,互不认识,没有管理的,所以需要使用一些手段将其关联起来 session 就是一个会话,服务器用来区分不同客户的"身份标识",客户端请求带上这个标识,服务器就可以通过自己存储的数据知道是哪个客户端,客户端存储这个身份标识的方式一般是用cookie cookie 是浏览器中存储kv数据的一种具体功能,由服务器生成,发给浏览器,每个域的cookie的数量是有限的 token 由于session是存在服
本地模拟顶域和子域实现单点登录
q1050782272的博客
05-09 236
最近要做单点登录,涉及到了主域名和子域名之间的共享和相互修改、删除,不能部署后测试,故在本机模拟顶域和子域 首先找到本机的hosts文件,我的路径为C:\Windows\System32\drivers\etc\hosts 以管理员权限运行记事本,打开hosts文件 添加IP及对应域名,保存后访问对应域名即可 我在配置后访问页面出现这个 Invalid Host header 百度找到方法(vue项目配置) 解决方法参考https://www.xuanmo.xin/details/2869
Cookie顶级域名、二级域名、三级域名共享
supermao1013的专栏
11-07 1万+
文章目录访问顶级域名访问二级域名访问三级域名总结 首先说明一点:cookie在不同域名之间是无法共享的,即跨域问题!但是在顶级域名、二级域名、三级域名中是可以共享的! 准备如下三个域名: 顶级域名:dalomao.com 二级域名:super.dalomao.com 三级域名:big.super.dalomao.com 访问顶级域名 访问顶级域名 dalomao.com,设置如下四种情况的coo...
Cookie + Session登录-Token登录-SSO 单点登录-OAuth 第三方登录
aliven1的博客
11-18 660
登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?今天我们就来介绍几种常用的登录方式。 Cookie + Session 登录 HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判断用户的登录状态。 为了解决 HTTP 无状态的问题
Cookie在域中的读写实现顶级域共享
weixin_30907935的博客
07-31 104
读写COOKIES/**////<summary>///写cookie///</summary>privatevoidWriteCookie(){HttpCookiehcIRMStockCode=newHttpCookie("IRMStockCod...
【No.1】基于Cookie单点登录(SSO)
独学而无友,则孤陋而寡闻
10-14 7691
这篇主要说明基于Cookie单点登录实现,以及Cookie的一些特性以及使用说明。 1、Cookie是什么,如何工作的       在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一个会话的,不能放
零基础上手SSO,Cookie实现单点登录
qq_44619964的博客
06-11 596
文章目录单点登录SSO1、单点登录流程2、代码编写编写login工程编写main工程编写vip工程编写cart工程修改本地hosts文件总结 单点登录SSO SSO(Single Sign On)单点登录 通过cookie实现单点登录 cookie是存储在客户端的数据工具。 1、单点登录流程 在其一个子系统登录,跳转到登录系统,登录系统完成登录,完成登录过后向发起登录的子系统写入一个cookie,保存用于认证用户是否登录的信息(token)其他的子系统要能访问到这个cookie,在其他子系统向服务器发起请求
cookie设置域的说明
weixin_30663471的博客
11-06 396
http://blog.csdn.net/u011679955/article/details/51680081 转载于:https://www.cnblogs.com/lpd1/p/7795075.html
什么是顶级域名?
昔明日
02-12 3259
顶级域 (TLD) 是域名中的最后一段文本,例如 .com 或 .net。顶级域也称为域扩展、域后缀和 URL 扩展。TLD 似乎是一个小问题。但它们是任何在线企业营销策略的重要组成部分。他们看起来像这样:每个网站地址都有一个 TLD。TLD 有助于根据网站的内容、用途或位置识别、组织和分类网站。例如,.com TLD 通常用于商业网站。.edu TLD 用于学校和教育机构。.de 域扩展用于德国网站和在线资源。
前端关于cookie那些事儿
秋来九月八
09-23 1043
主域名不同的cookie是不能数据共享的,但一级域名相同,子域名不同的却可以。 比如 csdn.net 和 blog.csdn.net 和 dengxi.csdn.net 这三种domain的cookie在dengxi.csdn.net这个网站都能拿到。
【状态保持】Cookie解释以及原理分析
weixin_33874713的博客
04-26 118
我们知道web网站在客户端存储数据有三种形式:1. Cookie 2. hidden(隐藏域) 3.QueryString 其中viewstate什么的都是通过第二种方式隐藏域存储滴。 客户端存储数据有三种形式,那服务器端有几种呢? 嘿嘿 服务器端有:1. Session 2. Application 3. database 4.caching(缓存)其中session用的较...
总结一下顶级域名和子级域名之间的cookie共享和相互修改、删除
weixin_33756418的博客
09-18 1662
最近项目中刚好涉及到了主域名和子域名之间的共享和相互修改、删除,也就借此机会总结一下常用的几个场景,这里代码以PHP为例来说明,域名的话就拿顶级域名和二级域名为例,其他的场景都是类似哈! 设置COOKIE 顶级域名 顶级域名只能设置domain为顶级域名,不能设置为二级域名或者三级域名等等,否则cookie无法生成。 如yangbai.c...
前端----cookie的域:domain
nO0b
10-14 6545
cookie的域是用来限制哪些域名能来访问cookie的, 解决同一个主域下的访问问题 domain是cookie的一个属性, 表示的是cookie所在的域,默认为请求的地址 设置domain的格式如下: document.cookie = "username=nO0b; path=/; domain=baidu.com" 这里的域名前可以不带点, 原因下边会介绍  作用域: 规则是...
顶级域名和二级域名共享cookie及相互删除cookie
热门推荐
yx017893的专栏
11-23 2万+
在CSDN看到一个cookie设置domain时,如何删除的问题,自己也只知道domain设置为顶级域名时可以被其他二级域名共享,但是如何删除还是有一点搞不清楚,所以特意测试了下cookie和domain之间的关系,下面是一些测试结果的总结 设置cookie   非顶级域名,如二级域名或者三级域名,设置的cookie的domain只能为顶级域名或者二级域名或者三级域名本身,不能设置其他二级
单点登录原理与实现方式
最新发布
qq_63668886的博客
05-06 608
有了会话机制,登录状态就好明白了,我们假设浏览器第一次请求服务器需要输入用户名与密码验证身份,服务器拿到用户名密码去数据库比对,正确的话说明当前持有这个会话的用户是合法用户,应该将这个会话标记为“已授权”或者“已登录”等等之类的状态,既然是会话的状态,自然要保存在会话对象中,tomcat在会话对象中设置登录状态如下。如果不存储,注销的时候就麻烦了,用户向sso认证中心提交注销请求,sso认证中心注销全局会话,但不知道哪些系统用此全局会话建立了自己的局部会话,也不知道要向哪些子系统发送注销请求注销局部会话。
WEB系统单点登录概要设计文档
本文档主要介绍了基于WEB的权限管理系统中的单点登录(Single Sign-On, SSO)功能的概要设计,旨在为开发人员提供详细的设计规范和流程指导。该系统旨在解决用户在多个相互信任的WEB应用系统之间切换时需要反复登录...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值