一文搞懂用户认证方案怎么做

于 2024-04-03 19:31:20 发布
阅读量1.2k 收藏 22
点赞数 18
分类专栏: 分布式 文章标签: jwt 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010720890/article/details/137355831
版权

session cookie

一般网站用户认证不外乎以下步骤:

1、用户向服务器发送用户名和密码。

2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。

3、服务器向用户返回一个 session_id,写入用户的 Cookie。

4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。

5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

以上单机版基本没问题,但是分布式系统中涉及到 session 共享问题,比如 项目部署在serviceA 和 serviceB。用户登录后 sessionId 存在 serviceA 内存中,这个时候如果 a 挂掉了(lb 打到 b 服务器也有可能),你再请求服务器 b,发现sessionId不存在,直接让你重新登录了。

首先,问题的根源出在sessionId无法共享上,想要把sessionId共享,一个简单的思路就是把sessionId保存到数据库中(这里选择redis),这样验证的时候就不再从当前服务器获取sessionId了,而改为了从redis中获取。

Token+缓存

下面是使用 Token(相当于 session) 和 Redis 进行用户认证的基本流程:

  1. 用户登录:

    • 用户提供用户名和密码进行登录。
    • 服务器验证用户提供的凭据是否正确。

  2. 生成 Token:

    • 如果用户提供的凭据正确,服务器会生成一个 Token。
    • Token 包含用户身份信息和其他必要的元数据。

  3. 存储 Token 到 Redis:

    • 服务器将生成的 Token 存储到 Redis 数据库中。
    • Token 作为键值对的形式存储,键通常是用户标识符,值是 Token。

  4. 将 Token 发送给客户端:

    • 服务器将生成的 Token 发送给客户端,通常是通过 HTTP 响应的方式发送给客户端。

  5. 客户端存储 Token:

    • 客户端通常会将 Token 存储在本地,如 localStorage、sessionStorage 或者内存中。

  6. 用户请求受保护资源:

    • 当用户访问受保护的资源时,客户端会在请求中包含 Token。通常,Token 被添加到 HTTP 请求的头部,如 Authorization 头部中。

  7. 验证 Token:

    • 服务器接收到请求后,会从请求中提取 Token。
    • 服务器验证 Token 的签名和有效性,以确保它是有效的且没有被篡改的。

  8. 从 Redis 中检索 Token:

    • 如果 Token 有效,服务器会从 Redis 数据库中检索 Token,并验证其有效性和关联的用户身份信息。

  9. 授权访问:

    • 如果 Token 有效,并且与用户的身份信息匹配,服务器将授权用户访问请求的资源。

  10. 定期更新 Token:

    • 在 Token 的有效期内,客户端可以通过定期更新 Token 来保持用户的会话持续有效。
    • 客户端可以使用 Refresh Token 或者其他方式来获取新的 Token。

  11. 用户登出:

    • 用户可以通过退出登录来终止当前会话,服务器会将 Token 从 Redis 中删除,同时客户端也应该删除存储的 Token。

通过以上流程,使用 Token 和 Redis 进行用户认证能够有效地保护用户的身份信息,并且能够实现灵活的会话管理和访问控制。

JWT

以上都是维护有状态的情况,比如需要记录用户登录、在线、权限等。加入内网环境或者邮件取消等无状态场景可以选用 JWT模式。

JWT(JSON Web Token)是一种用于身份验证和信息传递的开放标准(RFC 7519),通常用于跨域认证。下面是使用 JWT 进行用户认证的基本流程:

  1. 用户登录:

    • 用户提供用户名和密码进行登录。
    • 服务器验证用户提供的凭据是否正确。

  2. 生成 JWT:

    • 如果用户提供的凭据正确,服务器会生成一个 JWT。
    • JWT 包含用户身份信息和其他必要的元数据,如过期时间等。

  3. 将 JWT 发送给客户端:

    • 服务器将生成的 JWT 发送给客户端,通常是通过 HTTP 响应的方式发送给客户端。

  4. 客户端存储 JWT:

    • 客户端通常会将 JWT 存储在本地,如 localStorage、sessionStorage 或者内存中。

  5. 用户请求受保护资源:

    • 当用户访问受保护的资源时,客户端会在请求中包含 JWT。通常,JWT 被添加到 HTTP 请求的头部,如 Authorization 头部中。

  6. 验证 JWT:

    • 服务器接收到请求后,会从请求中提取 JWT。
    • 服务器验证 JWT 的签名和有效性,以确保它是有效的且没有被篡改的。

  7. 解析 JWT:

    • 如果 JWT 有效,服务器会解析 JWT,提取其中的用户身份信息和其他元数据。

  8. 授权访问:

    • 如果 JWT 有效,并且包含的用户身份信息是合法的,服务器将授权用户访问请求的资源。

  9. 定期更新 JWT:

    • 在 JWT 的有效期内,客户端可以通过定期更新 JWT 来保持用户的会话持续有效。
    • 客户端可以使用 Refresh Token 或者其他方式来获取新的 JWT。

  10. 用户登出:

    • 用户可以通过退出登录来终止当前会话,此时客户端应该删除存储的 JWT。

总结

对比token+redis 和jwt:

1. 去中心化的JWT token

  • 优点:

    1. 去中心化,便于分布式系统使用
    2. 基本信息可以直接放在token中。 username,nickname,role
    3. 功能权限较少的话,可以直接放在token中。用bit位表示用户所具有的功能权限

  • 缺点:服务端不能主动让token失效

    2. 中心化的 redis token / memory session等

  • 优点:服务端可以主动让token失效

  • 缺点:

    1. 依赖内存或redis存储。
    2. 分布式系统的话,需要redis查询/接口调用增加系统复杂性。
Daniel 大东
关注
  • 18
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文搞懂全链路监控:方案概述与比较
01-27
随着微服务架构的广泛应用,服务被拆分成多个独立的模块,导致一次用户请求可能涉及多个服务交互。在这种背景下,全链路监控应运而生,以帮助理解和分析系统行为,快速定位并解决问题。 谷歌的Dapper论文提出了...
一文搞懂C语言回调函数
01-27
回调函数在C语言中是一种强大的编程机制,它允许我们将函数作为参数传递给其他函数,然后在特定条件下由这些函数调用。回调函数的核心是函数指针,它存储了函数的地址,使得其他函数可以通过这个地址来执行指定的...
常用的用户认证方式&详解JWT
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
07-28 3231
文章目录背景知识常用的用户认证方式JWT1、JWT的流程2、jwt认证原理和session的区别和优缺点1、基于session和基于jwt的方式的主要区别是2、jwt的优缺点总结 背景知识 Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用
用户认证和授权
qq_44322555的博客
04-12 9007
今天简单来介绍一下项目中的用户认证和授权是怎么的,也是我之前作过的项目中所经历过的一个模块;今天来整理一下,分享一下经验共同来探讨改进这一部分; 先来介绍一下用户认证和授权所用到的技术点都有那些;这些是我这个认证和授权时用到的技术点,可能有所欠缺 springSecurity+Oauth2、JWT、BCryptPasswordEncoder 1、概念说明: 什么是用户认证 用户身份认证就是用......
用户认证方式
凉茶铺的博客
05-13 1416
1、用户认证分析 上面流程图描述了用户要操作的各个微服务,用户查看个人信息需要访问客户微服务,下单需要访问订单微服务,秒杀抢购商品需要访问秒杀微服务。每个服务都需要认证用户的身份,身份认证成功后,需要识别用户的角色然后授权访问对应的功能。 1.1、单点登录 用户访问的项目中,至少有3个微服务需要识别用户身份,如果用户访问每个微服务都登录一次就太麻烦了,为了提高用户的体验,我们需要实现让用户在一个系统中登录,其他任意受信任的系统都可以访问,这个功能就叫单点登录。 单点登录(Single Sign O.
用户认证概述
学习记录和总结
02-15 787
文章目录一、用户身份认证1.1 单一服务器模式1.2 SSO(Single Sign On)模式1.3 Token模式二、JWT令牌2.1 JWT 令牌说明2.2 JWT令牌的组成2.3 JWT 问题和趋势2.4 JWT 测试 一、用户身份认证 1.1 单一服务器模式 一般过程如下: 用户向服务器发送用户名和密码。 验证服务器后,相关数据(如用户名,用户角色等)将保存在当前会话(session)中。 服务器向用户返回 session_id,session 信息都会写入到用户的 Cookie。 用户的每个
java常见用户安全认证机制归纳
qq_35757427的博客
09-25 972
默认的,当我们关闭浏览器的时候,cookie会被删除。在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT之后,当用户使用它的认证信息登陆系统之后,会返回给用户一个JWT用户只需要本地保存该token(通常使用local storage,也可以使用cookie)即可。secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。
项目必须懂的三个概念 认证、会话、授权
传智燕青
09-30 2003
1 认证、授权、会话基础概念 什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证用户认证就是判断一个用户的身份...
二十九、实战演练之用户认证
Sean_0819的博客
03-18 642
身份验证是将传入请求与一组标识凭据(例如请求来自的用户或用于签名的令牌)相关联的机制。然后,和策略可以使用这些凭据来确定是否应该允许请求。
一文搞懂Raft算法
01-27
raft是工程上使用较为广泛的强一致性、去中心化、高可用的分布式协议。在这里强调了是在工程上,因为在学术理论界,最耀眼的还是大名鼎鼎的Paxos。但Paxos是:少数真正理解的人觉得简单,尚未理解的人觉得很难,...
一文搞懂混合动力汽车
01-14
经过4S店销售的一顿狂轰乱炸,你还是搞不懂混合动力汽车有插电式与非插电式之分,还有串联式、并联式、混联式的区别。 无妨,接着看下文也许你就懂了! 混合动力汽车透视图 传统汽车由内燃机燃烧...
01-用户认证-用户认证流程分析
minihuabei的博客
08-17 879
1 用户认证 1.1 用户认证流程分析 用户认证流程如下: 业务流程说明如下: 1、客户端请求认证服务进行认证。 2、认证服务认证通过向浏览器cookie写入token(身份令牌) 认证服务请求用户中心查询用户信息。 认证服务请求Spring Security申请令牌。 认证服务将token(身份令牌)和jwt令牌存储至redis中。 认证服务向cookie写入 token(身份令牌)。 3、前端携带token请求认证服务获取jwt令牌 前端获取到jwt令牌并存储在sessionStorage。 前端从j
用户认证
qq_39249347的博客
02-05 2552
用户认证的概念 验证系统实体自己声称或第三方为其声称的身份的过程,包括两个步骤 向安全系统提供身份表示符 安全系统产生认证信息,来确定实体和标识符之间是否存在对于的关系 认证方法 个人所知道的信息:口令,用户身份标示码以及预先设定的问题的答案 个人所拥有的物品:电子钥匙,智能卡以及物理钥匙,这些被称为令牌 个人静态生理特征:指纹,虹膜以及人脸识别 个人动态生理特征:语音模式和笔记特征...
聊聊微服务架构中的用户认证方案
独行侠梦的博客
04-27 474
今天来聊聊微服务中一个重要的话题:如何设计微服务架构下的用户认证方案。今天主要涉及三个方面的内容:传统的用户认证方案JWT 与 JJWT;基于网关的统一用户认证。传统的用户认证方案我们直奔主题,什么是用户认证呢?对于大多数与用户相关的操作,软件系统首先要确认用户的身份,因此会提供一个用户登录功能。用户输入用户名、密码等信息,后台系统对其进行校验的操作就是用户认证用户认证的形式有多种,最常见的有...
SpringSecurity用户认证
m0_62787705的博客
06-06 770
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
【HCIA安全】用户认证
qq_40733491的博客
07-26 2036
Authentication(认证你是谁)-------->Authorization(授权你能什么)--------->Accounting(审计你了什么)1、Authentication认证的方式包括我知道用户所知道的信息(如密码、个人识别号PIN等)我拥有用户所拥有的信息(如令牌卡、智能卡或银行卡)我具有用户所具有的生物特征(如指纹、声音、视网膜、DNA等)2、Authorization授权包括用户能访问的资源用户能使用的命令用户角色包括。...
用户认证管理设计方案[原创]
高血压的熊 http://blog.csdn.net/foreverkissing
04-13 2352
用户认证管理设计方案1 设计思路为了设计一套具有较强可扩展性的用户认证管理,需要建立用户、角色和权限等数据库表,并且建立之间的关系,具体实现如下。1.1 用户用户仅仅是纯粹的用户,用来记录用户相关信息,如用户名、密码等,权限是被分离出去了的。用户(User)要拥有对某种资源的权限,必须通过角色(Role)去关联。用户通常具有以下属性: ü         编号,在系统中唯一。 ü        
【计算机系统和网络安全技术】第三章:用户认证
ymx520haha的博客
02-24 548
信息系统对用户电子式地提交的身份建立信任的过程。认证方法:个人所知道的信息,个人所持有的物品,个人的生理特征,个人的行为特征。三个独立概念:置信等级,潜在影响,风险范围。
用户认证技术
坏坏-5的博客
06-25 976
关于SCSA中用户认证技术介绍!
一文搞懂yolov9训练
最新发布
04-19
YOLOv9是一种目标检测算法,它是YOLO(You Only Look Once)系列算法的最新版本。相比于之前的版本,YOLOv9在准确性和速度方面都有所提升。 YOLOv9的训练过程可以分为以下几个步骤: 1. 数据准备:首先需要准备训练所需的数据集,包括标注好的图像和对应的标签。标签通常包含目标的类别和位置信息。 2. 模型选择:根据实际需求选择合适的YOLOv9模型,YOLOv9提供了不同尺度的模型,可以根据目标大小和计算资源进行选择。 3. 模型配置:配置模型的超参数,包括输入图像尺寸、训练批次大小、学习率等。这些参数会影响模型的训练效果和速度。 4. 模型初始化:使用预练的权重文件初始化模型,这有助于加快型的收敛速度。 5. 损失函数定义:定义用于计算模型损失的函数,YOLOv9使用了多个损失函数来同时优化目标类别预测、位置回归和目标置信度。 6. 训练过程:通过反向传播算法和优化器对模型进行训练。训练过程中,模型会根据损失函数的反馈进行参数更新,逐渐提高模型的准确性。 7. 模型评估:训练完成后,需要对模型进行评估,通常使用验证集或测试集来评估模型在未见过的数据上的性能。 8. 模型调优:根据评估结果,可以对模型进行调优,例如调整超参数、增加训练数据、使用数据增强等方法来提高模型的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值