session+cookie-->token 演变

于 2022-12-06 08:33:59 发布
阅读量197 收藏 1
点赞数 1
文章标签: 服务器 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/try_go_go/article/details/128196334
版权

session+cookie–>token 演变

HTTP协议是无状态的,无状态意味着,服务器无法给不同的客户端响应不同的信息。这样一些交互业务就无法支撑了

cookie:

  • Cookie保存在客户端中,分为内存Cookie和硬盘Cookie,内存Cookie由浏览器维护,保存在内存中,浏览器关闭后消失,硬盘Cookie保存在硬盘中,有一个过期时间,存在时间是长期的
  • 同时HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器在下一次请求被携带并发送到服务器上。

Cookie的传递会经历这4步

 1.Client发送HTTP请求给Server
 2.Server响应,并附带Set-Cookie的头部信息
 3.Client保存Cookie,之后请求Server会附带Cookie的头部信息
 4.Server从Cookie知道Client是谁了,返回相应的响应
  • Server拿到Cookie后,通过什么信息才能判断是哪个Client呢?服务器的SessionID。

session :机制将用户所有的活动信息,上下文信息,登录信息等存储在服务端生成一个唯一标识ID发送给客户端,后续交互没有重复的交互信息,取而代之的是唯一标识ID.

  • 客户端第一次请求,服务器会为客户端创建一个session,算出一个id标识session对象,返回给客户端,并由客户端保存;浏览器下次请求别的资源,浏览器会将sessionID放置请求头,服务器接受请求会解析sessionID,服务器接收sessionID确定请求方的身份信息和上下文信息。

  • 弊端:

    • Session信息存到服务器,必然占用内存。用户多了以后,开销必然增大。为了提高效率,需要做分布式,做负载均衡。因为认证的信息保存在内存中,用户访问哪台服务器,下次还得访问相同这台服务器才能拿到授权信息,这就限制了负载均衡的能力。而且SeesionID存在Cookie,还是有暴露的风险,比如CSRF(Cross-Site Request Forgery,跨站请求伪造)。
  • 解决方法:token

token: 服务器接收客户端信息(用户名、密码)后生成一次token和响应数据一同发送给客户端,客户端保存这个token。下次请求数据时带上token。服务器校验token。通过后再到数据库查找数据,返回给客户端

  • Token不需要再存储用户信息,节约了内存。其次,由于不存储信息,客户端访问不同的服务器也能进行鉴权,增强了扩展能力。然后,Token可以采用不同的加密方式进行签名,提高了安全性。
  • Token传递的过程跟Cookie类似,只是传递对象变成了Token。用户使用用户名、密码请求服务器后,服务器就生成Token,在响应中返给客户端,客户端再次请求时附带上Token,服务器就用这个Token进行认证鉴权。

Token虽然很好的解决了Session的问题,但仍然不够完美。服务器在认证Token的时候,仍然需要去数据库查询认证信息做校验。为了不查库,直接认证,JWT出现了。

JWT

  • JWT的英文全称是JSON Web Token。JWT把所有信息都存在自己身上了,包括用户名密码、加密信息等,且以JSON对象存储的。

总结

cookie+session 与 token

cookie 和 session 一般一起使用:
  • 客户端发起第一次请求==》服务器验证通过,生成一个session==》将session的sessionID 在cookie中携带,发送给客户端==》客户端保存cookie,
  • 客户端发起第二请求,携带cookie==》服务器验证cookie中的seeionID,验证验证通过继续执行服务端操作。
token
  • 用户输入用户名+密码 发送第一个请求到服务器==》服务器验证用户身份==》通过 生成token,执行服务器操作…返回数据是token到客户端==》客户端保存token。
  • 客户端发起第二次请求,携带token 将Token作为请求头放入Headers中发送到服务器==》服务器端接收请求头中的Token,将用户参数按照既定规则再进行一次签名,两次签名若一致则认为成功,反之数据存在篡改请求失败。

本章内容,部分借鉴了其他博主 和 个人的归纳 有诸多遗漏,请各位大牛评点,万分感谢

拼接猿
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro将session认证改成token认证_源码分析shiro认证授权流程
weixin_31286719的博客
01-12 542
1. shiro介绍Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理等功能: 认证 - 用户身份识别,常被称为用户“登录”;授权 - 访问控制;密码加密 - 保护或隐藏数据防止被偷窥;会话管理 - 每用户相关的时间敏感的状态。对于任何一个应用程序,Shiro都可以提供全面的安全管理服务。并且相对于其他安全框架,Shiro要简单的多。2. shiro源码概况...
sessiontoken
a450972459的博客
05-24 181
这几天在搞小程序涉及到登陆。 然后想起了很早以前自己看的一篇文章。 《干掉状态:从sessiontoken》链接:http://weixin.niurenqushi.com/article/2017-03-20/4794863.html 该文提出了以下几点观点:1、session是有状态的,每次登陆时候给客户端返回一个随机码,客户端每次请求带上这个随机码来标识自己的身...
SessionCookietoken 的前世今生
qq_25096741的博客
03-26 208
引入:我们都知道 http 协议本身是一种无状态的协议,一个普通的http请求简单分为三步: 客户端发送请求request 服务端收到请求并进行处理 服务端将结果respond给客户端 对于服务端来说 服务端如何知道当前请求的客户端是哪个用户 如何保证每次请求,服务器都知道是哪个用户 一、cookie 什么是cookie cookie 就是存储在客户端的一段数据,采用的是在客户端保持 HTTP 状态信息。 cookie 的产生背景 随着互联网的发展,已经不仅仅是浏览网页了,越来越多的交互式网站兴起,如在线购
JWT简介:从SessionToken
ordinary_brony的博客
11-21 688
JWT,全称Json Web Token。我们平常所说的token实际上就是说JWT技术中的T。本篇将说SessionToken的对比。
sessioncookietoken以及JWT
liuyinlong
04-20 364
sessioncookie 现在一般都是sessioncookie一起用,一起提。但是他们俩其实不是一定要在一起。 首先牢记一点,http协议是无状态的。就是说,一个请求过来,服务器不知道这个请求的用户是不是已经登录过了,不知道他的状态。只能再把这个请求重定向到登陆页面。 这样用户就疯了,怎么一直让我登录。 所以,前人想了一个办法,在第一次登录后,在服务器端记录一个会话id(sessi...
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台源代码
06-16
基于SpringBoot+Vue+sa-token前后端分离的科研项目管理平台 前端采用Vue、Element UI 后端采用Spring Boot、Redis & Jwt。 Sa-Token:一个轻量级 java 权限认证框架,让鉴权变得简单、优雅! 权限认证使用Jwt,支持...
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
Springboot+Mybatis-plus+ SpringMvc+Shiro+Redis企业级报表后台管理系统.rar
08-12
采用redis存储token及权限信息 报表前端采用B ootstrap框架,结合Jquery Ajax,整合前端Layer.js(提供弹窗)+Bootstrap-table(数据列表展示)+ Bootstrap-Export(各种报表导出SQL,Excel,pdf等)框架,整合Echars...
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统
最新发布
03-08
基于 SpringBoot 3+、sa-token、Layui 2.8+ 可前后端分离的后台管理系统,可以用于常见的的 Web 应用程序,比如网站管理后台等。.zip 适合学习/练手、毕业设计、课程设计、期末/期中/大作业、工程实训、相关项目/...
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
在前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和SessionCookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
干掉服务状态!从 SessionToken
jiaonizuoren的博客
01-14 254
在讲Token之前,先简单说说什么是 SessionCookie。 首先要知道 HTTP 请求是无状态的; 无状态的意思就是:每一次请求都是独立的;每一次请求不会受到前面请求的影响,也不会影响后面的请求; 比如我们登录一个系统的时候,验证用户名密码之后,打开系统各个页面的时候就不需要再进行登录操作了,直到我们主动退出登录或超时退出登录;为了让服务器有“记忆功能”,我们可以用到 Sess...
新老单点的改造——-理解CookieSessionToken
weixin_30721077的博客
06-11 120
近期参与了新老单点的改造,一直想总结一下,发现这篇文章比较贴切。 整理了如下: 随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统。 因为HTTP请求是无状态的,所以想出的办法就是给大家发一个会话标识(session id), 每个人收到的都不一样, 每次大家向我发起HTTP请求的...
SessionToken的身份验证演变过程理解SessionCookieToken
mhHao的博客
01-18 231
本文将从Web应用 由传统身份验证到基于Token的身份验证的演变过程的角度,介绍SessionCookieToken。 很久以前,Web 应用基本用作文档的浏览,如网络黄页。既然仅仅是浏览,因此服务器不需要记录具体用户在某一段时间里都浏览了哪些文档,每次请求都是一个新的HTTP协议,对服务器来说都是全新的。 基于Session的身份验证 随着交互式Web应用的兴起,比如,购物等需要登录的网站...
token替代session进行登录验证
whalesharks的博客
10-12 344
文章目录LoginHandler(将登陆成功的token存入响应头发给前端)LoginServiceImpl(登录与注销操作与redis交互)前端axios请求与响应拦截器写法前端页面登出LoginInterceptor(spring注册登录拦截器)CurrentLoginUser(共享当前登录用户信息)JwtUtil(生成与解析token) LoginHandler(将登陆成功的token存入响应头发给前端) @Controller @RequestMapping("login") public cl
shiro将session认证改成token认证_Shiro 运行过程
weixin_42438410的博客
01-19 1408
什么是shiroshiro是apache的一个开源框架,是一个权限管理的框架,实现 用户认证、用户授权、 shiro架构subject:主体,可以是用户也可以是程序,主体要访问系统,系统需要对主体进行认证、授权。securityManager:安全管理器,主体进行认证和授权都是通过securityManager进行。authenticator:认证器,主体进行认证最终通过authenticator...
springboot shiro 实现token
m0_67393686的博客
04-25 915
要求 做前端端分离的项目时前端要求用token,在登入的返回集里面。前端请求是将token放在请求头里。同时要求同一时间同一用户只能有一个有效会话。 实现步骤 有一些代码是在其他人的博客里面复制的 在原来的使用sessionId的项目基础上做以下修改: 增加SessionManager要求继承DefaultWebSessionManager。 package com.llx.studio.config.shiro; import org.apache.commons.lang.StringUtils;
cookiesessiontoken的基本流程
weixin_55579202的博客
07-30 1669
cookiesessiontoken理解使用
SessionToken认证机制 前后端分离下如何登录
dglf54292的博客
09-17 3886
字号 1 Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是...
java中sessiontoken以及token实现
qq_29950673的博客
03-01 5609
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid...
编写递归下降计算器,输入(2+2*6)*3+45表达式,输出结果 。 要求文法必须采用以下文法: exp -> term{addop term} addop->+|- term->factor{mulop factor} mulop -> * factor -> ( exp )| Number
06-03
# 解析表达式 exp -> term{addop term} result = self.parse_term() while self.pos (self.tokens) and self.tokens[self.pos] in {'+', '-'}: op = self.tokens[self.pos] self.pos += 1 right = self.parse_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值