对JWT SESSION 的理解

最新推荐文章于 2024-05-19 10:05:52 发布
最新推荐文章于 2024-05-19 10:05:52 发布
阅读量171 收藏
点赞数
文章标签: redis
本文为博主原创文章,未经博主-撒忆雨(Ryan)允许不得转载。
本文链接:https://blog.csdn.net/u011009161/article/details/107453849
版权

这里写自定义目录标题

token 的作用是一次性凭证

假设一次会话是 S1 -> B -> S2
S1 跟 S2 商定好 token,那么 S2 如果能接到 S1 的 token,证明此会话必有 S1 参与,不是 B 凭空造的,它防止的是 B -> S2 的流程未经 S1 授权,(或者说防止没请求过 S1 的什么 C -> S2 )( CSRF token )

假设一次会话是 B -> S1 -> S2
这时候 S1 向 S2 出示 token,作用是防止 B 绕过 S1 的代理直接请求 S2 得到结果,此时 token 保证 S2 收到的请求一定是 S1 发起的而不是其它的什么服务器或浏览器本身 ( SSRF token )

这些都是在不考虑信道,只考虑逻辑情况下的额外安全措施,首先信道不安全的话 token 可被窃取盗用那安全性是白搭,但就算信道安全,恶意代码也可能通过各种方式混入到请求中,比如存在 UGC 内容里,或者 XSS 从接受输入的地方混入了代码,token 主要防的是混入的第三方恶意请求

token 不要放到 url 里面的参数,放到 request header 里面,这样 https 可以加密 这里考虑的就是信道,但是即使这样,如果用户点了什么不该点的东西,导致token泄露,也会出现安全问题。

token 本身不是用来做保密和安全的,先要明白这点

几篇好文章:
1、有关 Session 的那些事儿,希望我这篇冗长的内容能讲清楚
2、JWT+redis 能替代 session 了吗?
3、Stop using JWT for sessions
Stop using JWT for sessions, part 2: Why your solution doesn’t work

上面三篇文章基本可以比较清楚的了解JWT了,但是没有说cookie的安全问题。

Ryan_2021_
关注
py每日spider案例之获取某novel章节
我不是萧海哇的博客
08-10 38
【代码】py每日spider案例之获取某novel章节。
jwt_sessions:专为SPA设计的XSSCSRF安全JWT身份验证
01-28
jwt_sessions 专为SPA设计的XSS / CSRF安全JWT身份验证 目录 -- 概要 这个gem的主要目标是提供基于JSON Web令牌的可配置,可管理和安全的有状态会话。 gem在后端存储了基于JWT的会话(当前支持Redis和内存存储),从而可以可靠,安全地管理会话,重置密码和注销用户。 它被设计为与框架无关,但易于集成,并且可以立即使用Rails集成。 jwt_sessions背后的核心概念是每个会话都由一对令牌表示: access和refresh 。 会话存储区用于处理CSRF检查并防止刷新令牌劫持。 这两个令牌都有可配置的到期时间,但是通常,刷新令牌的寿命应比访问令牌更长。 访问令牌用于检索安全资源,刷新令牌用于在过期后更新访问令牌。 默认令牌存储使用Redis。 所有令牌都由 gem进行编码和解码。 支持其保留的声明名称,并且可以配置它支持的声明检查和加密签名算法。 jwt_sessions本身默认使用ext声明和HS256签名。 安装 将此行放入您的Gemfile中: gem "jwt_sessions" 然后运行: bundle insta
前端认证登录鉴权--SessionJWT简介
桃子阿桃
10-17 3311
Session 工作原理
JWTSession
weixin_36037473的博客
04-19 637
本文均从网上摘录 JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,...
JWTsession
qq_43853213的博客
06-03 214
JWTsession 两者都是为了解决: 登录 和存储登录用户的信息。JWTsession
session共享解决方案 - JWT详解
fengbin2005的专栏
10-17 1070
目录 一. session流程 二. 分布式应用的session共享 三. JWT的组成 四. header介绍 五. payload介绍 六. signature介绍 七. base64url算法 八. JWT的使用方式 九. JWT的特点 十. java代码简单实现 一. session流程 1. 用户向服务器发送用户名和密码 2. 服务器验证通过后,在当前会话session里保存信息 3. 服务器向用户返回一个session id,写入到cookie中 4. 用户之后...
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
总结来说,Cookie、SessionJWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异...
cookie-sessionJWT的比较
a_369488977的博客
11-02 226
1.1cookie原理: 用户名+密码   ·cookie是保存在用户浏览器端,用户名和密码等明文信息    1.2session使用原理   session是存储在服务器端的一段字符串,相当于字典的key   1.用户向服务器发送用户名和密码。   2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。   3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。   4.用户的每个后续请求...
JWT 中新增 sessionId如何理解
07-20
通过将 sessionId 添加到 JWT 中,应用程序可以在无需存储会话状态的情况下,根据 sessionId 对用户进行身份验证和授权。当用户发出请求时,只需解析 JWT 并验证其签名,即可获得其中的 sessionId,并根据 sessionId...
jwt在线解密网站,可用于jwt的解码
03-10
JSON Web Token(JWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。...在设计系统时,应综合考虑使用sessionJWT的优缺点,根据实际需求进行选择。
Django实现API配合JWT进行用户验证的方法
热门推荐
Mr数据杨
01-19 3万+
本教程详细介绍了如何在 Django 项目中通过 JWT 实现 API 认证控制。从 SessionJWT 的区别,到具体的配置和代码实现,结合前端的实际使用场景,完整展示了 JWT 的应用流程。这种认证机制不仅减轻了服务器的负担,还增强了分布式系统的扩展性。通过这一流程,开发者能够更好地控制 API 的访问权限,并提高应用的安全性。
推荐使用JWT_sessions:安全的SPA身份验证解决方案
最新发布
gitblog_00097的博客
05-19 251
推荐使用JWT_sessions:安全的SPA身份验证解决方案 jwt_sessionsXSS/CSRF safe JWT auth designed for SPA项目地址:https://gitcode.com/gh_mirrors/jw/jwt_sessions 在构建现代Web应用时,确保用户认证的安全性至关重要。JWT(JSON Web Tokens)因其轻量级和可扩展性成为了广泛采用...
javaweb的session&Cookie)
weixin_65088316的博客
04-05 329
1.在登录界面贴加事件,作用相当于银行系统中,在规定时间内未操作的话,就会操作失效 1 2<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <% //让session失效 session.invalidate(); //返回登录 response.sendRedirect("/q4/...
一文搞懂SessionJWT登录认证
crg18438610577的博客
04-15 1616
一文搞懂SessionJWT登录认证~~
jwtsession使用介绍
K_K177的博客
08-07 401
JWT是一种基于token的无状态认证机制,它使用签名的JSON Web Token来验证和传递用户的身份信息。由于JWT是无状态的,不需要在服务端存储会话信息,因此对于横向扩展和微服务的无状态性较为友好。需要注意的是,使用JWT也会引入一些额外的复杂性,例如需要考虑token的有效期、如何处理token的刷新和失效等。因此,在选择身份认证和授权机制时,需要结合具体的应用场景和需求进行评估和选择。移动应用或API:JWT通常用于移动应用或API的认证,将用户的身份信息封装在token中,方便传输和验证。
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4358
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
Session认证机制与JWT认证机制
weixin_46671304的博客
09-05 485
Session认证机制与JWT认证机制
JWTSession的区别
时光偏执的博客
12-23 1万+
JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值