会话跟踪技术——JWT令牌

已于 2024-01-18 19:04:15 修改
阅读量1.1k 收藏 19
点赞数 12
分类专栏: 后端开发 文章标签: java
于 2024-01-18 18:50:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/txshchl/article/details/135681242
版权
本文介绍了会话的概念以及在Web开发中如何通过Cookie、Session和JWT进行会话跟踪。重点讲解了Cookie在客户端存储信息、Server-SideSession在服务器端管理会话,以及JWT作为安全令牌在登录认证中的应用。并给出了Java实现JWT生成的示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、介绍

  • 会话:用户打开浏览器,访问web服务器资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应。
  • 会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据

服务器会接收很多的请求,但是服务器是需要识别出这些请求是不是同一个浏览器发出来的。比如:1和2这两个请求是不是同一个浏览器发出来的,3和5这两个请求不是同一个浏览器发出来的。如果是同一个浏览器发出来的,就说明是同一个会话。如果是不同的浏览器发出来的,就说明是不同的会话。而识别多次请求是否来自于同一浏览器的过程,我们就称为会话跟踪。

我们使用会话跟踪技术就是要完成在同一个会话中,多个请求之间进行共享数据由于HTTP是无状态协议,在后面请求中怎么拿到前一次请求生成的数据呢?此时就需要在一次会话的多次请求之间进行数据共享在这里插入图片描述

二、3种会话跟踪技术

  1. Cookie(客户端会话跟踪技术)
    • 数据存储在客户端浏览器当中
  2. Session(服务端会话跟踪技术)
    • 数据存储在储在服务端
  3. JWT令牌技术 重点

1、Cookie

cookie 是客户端会话跟踪技术,它是存储在客户端浏览器的,我们使用 cookie 来跟踪会话,我们就可以在浏览器第一次发起请求来请求服务器的时候,我们在服务器端来设置一个cookie。

比如第一次请求了登录接口,登录接口执行完成之后,我们就可以设置一个cookie,在 cookie 当中我们就可以来存储用户相关的一些数据信息。比如我可以在 cookie 当中来存储当前登录用户的用户名,用户的ID。

服务器端在给客户端在响应数据的时候,会自动的将 cookie 响应给浏览器,浏览器接收到响应回来的 cookie 之后,会自动的将 cookie 的值存储在浏览器本地。接下来在后续的每一次请求当中,都会将浏览器本地所存储的 cookie 自动地携带到服务端。

接下来在服务端我们就可以获取到 cookie 的值。我们可以去判断一下这个 cookie 的值是否存在,如果不存在这个cookie,就说明客户端之前是没有访问登录接口的;如果存在 cookie 的值,就说明客户端之前已经登录完成了。这样我们就可以基于 cookie 在同一次会话的不同请求之间来共享数据。

为什么这一切都是自动化进行的?
是因为 cookie 它是 HTP 协议当中所支持的技术,而各大浏览器厂商都支持了这一标准。在 HTTP 协议官方给我们提供了一个响应头和请求头:

  • 响应头 Set-Cookie :设置Cookie数据的
  • 请求头 Cookie:携带Cookie数据的

示例

@Slf4j
@RestController
public class SessionController {
   

    //登录接口:设置Cookie
    @GetMapping("/c1")
    public Result cookie1(HttpServletResponse response){
   
        response.addCookie(new Cookie("login_username","itheima")); //设置Cookie/响应Cookie
        return Result.success();
    }
	
    //其它接口:获取Cookie
    @GetMapping("/c2")
    public Result
最低0.47元/天 解锁文章
会话技术:Cookie、Session、JWT的优缺点分析与实践
Sup星月★然的博客
08-24 928
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在同一次会话的多个请求间共享数据。为什么要共享数据呢?由于 HTTP 是无状态协议,在后面请求中怎么拿到前一次请求生成的数据呢?此时就需要在一次会话的多次请求之间进行数据共享。
session和token
最新发布
qq_33382118的博客
02-27 1003
会话(Session):适用于传统的 Web 应用,需要在服务器端存储大量用户状态信息。令牌(Token):适用于现代 Web 应用,尤其是需要跨域请求、移动应用和微服务架构的场景。选择使用会话还是令牌,取决于具体的应用需求、安全性要求和架构设计。在某些情况下,也可以结合使用会话令牌,以充分利用它们的优点。在 Web 开发和网络安全中,令牌(token)是一种用于验证和授权的机制。令牌通常是一个加密的字符串,用于在客户端和服务器之间传递身份验证和授权信息。
会话跟踪——JWT令牌
Summer_Shorts的博客
04-08 1249
登陆中运用令牌
会话中使用JWT
最佳 Java 编程
06-08 180
在黑客新闻,reddit和博客上,该主题已经讨论了很多次。 共识是–请勿使用JWT(用于用户会话)。 而且我在很大程度上同意对JWT的典型论点 , 典型的“但我可以使它起作用……”的解释以及JWT标准的缺陷的批评 。 。 我不会在这里重复所有内容,因此请阅读这些文章。 您真的可以使用JWT付诸实践,了解它很复杂,并且对于大多数用例来说几乎没有好处。 我猜对于API调用是有意义的,特别...
会话技术--jwt
qq_43890604的博客
02-04 259
会话技术jwt
你能说出 Cookie,Session,Token,JWT 的区别吗 ?
Wu hao's blog
06-29 310
这篇文章是对于 Cookie,Session,Token,JWT 区别的一个总结: 前置知识 : 什么是 认证 ,授权,凭证? 认证 : 验证当前用户身份。 互联网中的认证 :用户名密码登录;邮箱发送登录链接;手机号接收验证码等。 授权 :用户授权第三方应用访问该用户某些资源的权限。 实现授权的方式有 :cookie,session,token,OAuth。 凭证 :实现认证和授权的前提是需要一种媒介(证书)来标记访问者的身份。 一般网站中,当用户登录成功后,服务器会给该用户使用的浏...
SpringSecurity系列——JWT(jjwt)day1-2
qq_51553982的博客
06-17 1428
jwt(JSON Web Tokens) JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。 此信息可以验证和信任,因为它是数字签名的。 JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。https://jwt.io/ 从这张图我们可以看出来jjwt是在Java中支持最好的,所以我们直接学这个http协议本身是一种无状态的协议,而这就意味着如
认证授权示例——JWT及Shiro
qqxhb 资源共享
08-12 2986
1、常见的认证机制 1.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的usernamepassword,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量...
Day15-后端Web实战-登录认证——会话技术&JWT令牌&过滤器&拦截器
m0_57075290的博客
02-20 1146
后端Web实战(登录认证)-会话技术&JWT令牌&过滤器&拦截器
会话技术------Cookie、Session、Token(JWT)详解
m0_74229735的博客
11-24 3872
Cookie是一种在客户端(通常是Web浏览器)和服务器之间传输的小型文本文件。它由服务器通过HTTP响应的头部设置,并存储在客户端的浏览器中。当客户端发送后续请求时,会将该Cookie信息包含在HTTP请求头中发送给服务器。Session是一种在Web应用程序中跨请求保持用户状态的机制。Session是一段服务器上的存储区域,用于存储用户信息和状态。当用户第一次访问Web应用程序时,服务器会创建一个Session,并给它分配一个唯一的标识符(session ID),然后将该标识符发送给客户端。
jwt同一会话_使用会话Cookie与 JWT身份验证
编程故事的地方
06-08 375
jwt同一会话 HTTP是一种无状态协议,用于传输数据。 它启用了客户端和服务器端之间的通信。 它最初是为了在Web浏览器和Web服务器之间建立连接而建立的。 让我们借助示例了解这一点: 假设我们在网上购物,我们添加一些商品,例如。 耳机到我们的购物车。 然后,我们继续寻找其他物品,在此期间,我们希望在执行任何其他任务时存储购物车物品的状态且不丢失它们。 这意味着我们希望在整个购物过程中...
会话令牌:安全,高效,简单的随机会话令牌生成
02-05
会话令牌:安全,高效,简单的随机会话令牌生成
JWT 安全及案例实战
weixin_58954236的博客
09-14 1522
为了做这种区分,服务器就要给每个客户端分配不同的身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。服务器有一个不会发送给客户端的密码(secret),用头部中指定的算法对头部和声明的内容用此密码进行加密,生成的字符串就是 JWT 的签名。舍弃签名将修改过的JWT复制到bp的数据包中。
jwt token以及session的会话保持】
weixin_58959719的博客
04-26 480
目录session会话保持jwt token的会话保持 session会话保持 会话保持 浏览器向服务器发送请求登录,服务器把验证信息存储在session里,并返回一个sessionid给浏览器,浏览器把sessionid存储到cookie中,下次请求时带着cookie一起发送给服务器,服务器根据浏览器发送的cookie从内存中获取用户的信息 缺点 占用内存 ssessionid存储在cookie中不安全,容易产生CSRF问题 限制了服务器的扩展 jwt token的会话保持 会话保持
JWT(JSON Web Token)令牌技术 会话跟踪技术
qq_56674917的博客
07-27 310
JWT(JSON Web Token)技术
【web-攻击会话管理】(4.2.1)会话令牌生成过程中的薄弱:令牌含义、加密令牌
08-16 490
会话令牌生成过程中的薄弱】令牌含义、加密令牌
登录校验-会话技术/JWT令牌
Hey_Join的博客
06-28 352
登录校验-会话技术/JWT令牌
是否对Web应用的会话管理和令牌机制进行了安全配置?
ZOMO的博客
02-26 698
本文分析了会话管理和令牌认证的基本原理以及在Web应用安全管理中的重要地位和应用价值。为了提高Web服务的安全防护水平我们需要充分考虑这两种基本功能的实际需求和安全配置细节并进行相应的调整和改进。使用自动化管理工具多品牌异构防火墙统一管理多品牌、多型号防火墙统一管理;确保所有设备按同一标准配置,提升安全性;集中管理简化部署,减少重复操作;统一流程减少配置差异和人为疏漏;快速定位问题,提升响应速度;集中管理减少人力和时间投入,优化成本。策略开通自动化减少手动操作,加速策略部署;
jWT令牌的使用方法
02-23
### 使用JWT令牌进行身份验证和授权 #### FastAPI中的JWT令牌应用实例 在现代Web开发中,FastAPI框架提供了一种简洁而高效的方式来进行基于JWT的身份验证。为了实现这一功能,在应用程序初始化阶段需引入必要的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值