【山东大学软件学院 21 级项目实训】鉴权技术

已于 2024-05-30 20:04:20 修改
阅读量691 收藏 6
点赞数 13
分类专栏: 21级山软创新实训 文章标签: 后端
于 2024-05-30 19:51:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012185664/article/details/139333161
版权

深入解析鉴权技术:从HTTP Basic到单点登录

在现代 Web 应用中,鉴权(Authentication)是确保系统安全和用户数据隐私的重要环节。本文将详细介绍几种常见的鉴权技术,包括 HTTP Basic Authentication、Session-Cookie、Token(尤其是 JWT)、OAuth 以及单点登录(SSO),并讨论它们的优缺点及适用场景。

一、HTTP Basic Authentication

HTTP Basic Authentication 是一种最基础的鉴权方式,由 HTTP 协议定义并由浏览器实现。其工作流程如下:

  1. 客户端请求数据:客户端向服务器发送请求,此时尚未经过验证。
    GET /index.html HTTP/1.0
Host: www.google.com
  2. 服务器请求验证:服务器返回 HTTP 401 状态码,并在响应头中包含 WWW-Authenticate: Basic realm="google.com",提示客户端进行身份验证。
    HTTP/1.0 401 Unauthorized
Server: SokEvo/1.0
WWW-Authenticate: Basic realm="google.com"
  3. 客户端输入凭证:浏览器弹出登录窗口,用户输入用户名和密码。
  4. 客户端发送凭证:浏览器将用户名和密码通过 Base64 编码后,放入 Authorization 头中再次发送请求。
    GET /index.html HTTP/1.0
Host: www.google.com
Authorization: Basic dXNlcjE6cGFzcw==
  5. 服务器验证凭证:服务器解码并验证凭证,若验证通过则返回请求资源,否则返回 401 状态码。

缺点:

  • Base64 编码是可逆的,存在安全隐患。
  • 不适合敏感数据的传输。

二、Session-Cookie

Session-Cookie 通过在服务器端维护会话状态和在客户端存储会话标识符(Cookie)来实现鉴权。

  1. 创建 Session:服务器在首次访问时创建 Session,并生成唯一标识符(SID),返回给客户端。
  2. 存储 Cookie:客户端将 SID 存储在 Cookie 中。
  3. 验证 Session:后续请求中,客户端携带 SID,服务器根据 SID 验证会话合法性。

缺点:

  • 依赖于浏览器的 Cookie 机制,容易被 XSS 攻击窃取。
  • 随着用户增多,服务器端 Session 管理开销增大。

三、Token鉴权

Token 鉴权通过在客户端和服务器之间传递 Token 来验证用户身份,常见的 Token 格式是 JWT(JSON Web Token)。

JWT的结构:

JWT 由三部分组成:Header、Payload 和 Signature。

  1. Header:包含 Token 类型和加密算法。
    {
  "typ": "JWT",
  "alg": "HS256"
}
  2. Payload:包含用户信息和其他业务逻辑所需信息。
    {
  "sub": "1234567890",
  "name": "John Doe",
  "userId": 34
}
  3. Signature:由 Header 和 Payload 经过加密算法和密钥生成。

优点:

  • 跨语言支持,便于传输。
  • 无需在服务器端保存会话信息,易于扩展。

安全注意事项:

  • 不应在 Payload 中存放敏感信息。
  • 保护好服务器端的密钥(Secret)。
  • 建议使用 HTTPS 协议。

四、OAuth

OAuth 是一种开放标准,允许用户授权第三方应用访问其在其他服务提供商上的信息,而无需共享用户名和密码。OAuth 2.0 定义了四种授权方式:

  1. 授权码(Authorization Code)
    • 第三方应用先申请授权码,再用该码获取令牌。
  2. 隐藏式(Implicit)
    • 适用于纯前端应用,直接向前端颁发令牌。
  3. 密码式(Password)
    • 用户将用户名和密码直接提供给应用,应用使用这些凭证申请令牌。
  4. 客户端凭证(Client Credentials)
    • 适用于命令行应用,直接在命令行下请求令牌。

五、单点登录(SSO)

单点登录(SSO)允许用户在多个应用系统间实现一次登录,全程无缝切换。其工作流程如下:

  1. 用户访问应用系统:若未登录,跳转到 SSO 登录系统。
  2. 用户登录:SSO 系统验证用户凭证,登录成功后生成 Service Ticket(ST)。
  3. 验证 ST:应用系统接收 ST 并向 SSO 系统验证 ST 的有效性。
  4. 设置会话:验证通过后,应用系统设置登录状态并写入 Cookie。

优点:

  • 提高用户体验,减少重复登录。
  • 集中管理用户认证,增强安全性。

总结

不同的鉴权技术各有优缺点和适用场景。HTTP Basic Authentication 简单易用,但安全性较低;Session-Cookie 适合传统 Web 应用,但依赖浏览器 Cookie;Token 鉴权(尤其是 JWT)在现代 Web 应用中广泛使用,具有跨语言支持和易扩展性;OAuth 适用于第三方应用授权,保护用户隐私;单点登录(SSO)适用于多系统集成,提高用户体验和安全性。

选择合适的鉴权技术,需要根据具体应用场景、用户需求和安全要求综合考虑。希望本文能帮助你更好地理解和应用这些鉴权技术,保障系统安全和用户数据隐私。

篠原春奈OvO
关注
  • 13
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
齐鲁软件学院2020暑假项目实训要求
09-17
齐鲁软件学院2020暑假项目实训是一门针对学生未来职业发展的实践课程,旨在通过实际的项目开发,让学生掌握软件工程的思维方式和实际操作技能。实训分为创新项目实训和企业项目实训两种形式,学生可自主选择参与...
2019-2020山东大学软件学院项目管理期末试题.docx
09-06
山东大学软件学院的2019-2020年项目管理期末试题涵盖了一系列核心概念,下面将逐一解析这些知识点。 一、基线与配置管理: 基线是项目中的一个重要里程碑,它表示某个阶段的产品或服务的稳定状态,是后续修改的基础...
山东大学软件学院项目实训——V-Track:虚拟现实环境下的远程教育和智能评估系统(12)后端网关服务实现
Jiayuyaya的博客
06-23 662
在现代分布式系统中,项目网关服务充当着系统的入口点和核心组件之一。它不仅负责接收和转发所有外部请求,还承担了认证、授权、异常处理和流量控制等关键功能。本文将详细介绍我们项目中网关服务的设计动机、主要功能和实现逻辑。
等保成标配,互联网医院安全架构报告发布
荒野求生的博客
10-25 7338
等保成标配,互联网医院安全架构报告发布 原创动脉网2020-09-24 10:43:19 互联网医院本身处于互联网环境中,随时面临着未知人员的恶意访问与攻击行为,自身的安全性难以保障。2018年7月国家卫生健康委员会、国家中医药管理局印发的《互联网医院管理办法(试行)》提出“互联网医院信息系统按照国家有关法律法规和规定,实施第三信息安全等保护。”这是医疗行业首次将信息化建设与安全建设进行了捆绑,等保护建设成为了互联网医院上线的必要条件。 为了解决网络安全建设与业务发展割裂的问题,从网络安..
SSM课程资源库APP-计算机毕设定制-附项目源码(可白嫖)23834
VX_bysj703的博客
07-06 870
本课程资源库APP采用的数据库是Mysql,使用Java技术开发。 按照课程资源库APP的角色,我划分为了学生用户、教师用户和管理员这三大部分。 学生用户管理模块:用户注册登录、网站公告、课程资讯、作业信息、提交作业、课程资源。 管理员管理模块:登录、轮播图、公告、资源管理、模块管理等
springboot工科树洞网站-计算机毕设定制-附项目源码(可白嫖)48510
VX_bysj703的博客
08-03 954
本设计主要实现集人性化、高效率、便捷等优点于一身的工科树洞网站,完成系统用户、资源管理、校园校园公告、校园论坛等功能模块。工科树洞网站使用Java语言,采用基于MVVM模式的springboot技术进行开发,使用Eclipse编译器编写,数据方面主要采用的是微软的MySQL关系型数据库来作为数据存储媒介,配合前台Vue+CSS 技术完成系统的开发。
springboot大学生社会实践管理信息系统-计算机毕业设计源码61970
vx_Biye_Design的博客
07-21 1184
随着社会实践在大学教育中的重要性日益凸显,大学生社会实践活动成为培养学生综合能力、拓展视野、增进社会责任感的重要平台。然而,目前大学生社会实践管理仍存在一些问题,如信息不够及时、活动管理效率较低等。因此,开发基于Java的大学生社会实践管理信息系统应运而生,有助于提升管理效率,改善实践活动组织与管理。大学生社会实践管理信息系统的设计过程中,主要采用了Spring Boot作为系统的核心框架,运用Java语言并结合MySQL数据库处理和储存数据等进行系统设计。分析了目前大学生社会实践管理中存在的问题和挑战。
【免费领源码】Java/Mysql数据库+SSM课程资源库APP 23834,计算机毕业设计项目推荐上万套实战教程JAVA、PHP,node.js,C++、python、大屏数据可视化
QQ_3347220275的博客
07-25 1843
本课程资源库APP采用的数据库是Mysql,使用Java技术开发。
springboot医疗产品销售系统-计算机毕业设计源码01474
FYKJ_2010的博客
06-24 922
实现向用户返回所需的可治疗药品;医疗产品销售部分,医疗产品种类繁多,用户注册登陆进入系统,浏览产品信息,搜索选购产品,或者根据智能问诊的推荐产品直接进行购买,可在个人中心修改自己的相关信息等。系统结构、系统功能模块
基于SpringBoot的智能问诊的医疗产品销售系统-01474(免费领源码+数据库)可做计算机毕业设计JAVA、PHP、爬虫、APP、小程序、C#、C++、python、数据可视化、大数据、全套文案
vx_BS81330的博客
04-24 302
本文以选择Eclipse开发工具的java开发语言中springboot+mysql数据库来存储数据,以B/S为运行模式,开发了一个医疗产品销售系统,划分为了管理员、普通用户两种角色,实现了对医疗产品信息的查询、分类管理、产品管理、产品入库、产品出库等功能模块。
Springboot医疗产品销售系统 毕业设计源码01474
VX_ZYKJ985的博客
08-12 375
管理员用户角色: (1)登录:管理员的账号是在数据表表中直接设置生成的,不需要进行注册; (2)网站管理:当点击“网站管理”这一菜单的时候,会出现轮播图+公告通知两个子菜单,可以对这两个模块进行增删改查操作; (3)人员管理:当点击“人员管理”这一菜单的时候,会出现管理员+普通用户两个子菜单,可以对这两个模块进行增删改查操作; (4)内容管理:当点击“内容管理”这一菜单的时候,会出现医疗资讯+资讯分类这两个子菜单,可以对医疗资讯进行增删改查操作; (5)模块管理:当点击“模块管理”这一菜单的时候.....
山东大学软件学院大三下区块链技术考试资料.docx
06-27
山东大学软件学院2021年6月大三下区块链技术考试资料,自己整理的,复习的时候可以参考参考,但考完发现还是有没覆盖的地方,比如拜占庭算法考了一个20分的大题,就没有复习到...大家复习的时候还是要看老师的PPT哈
山东大学软件学院大三下软件项目管理资料.docx
06-27
软件项目管理】是软件开发过程中不可或缺的一部分,它涉及到项目的规划、执行、监控直至收尾的全过程。...对于山东大学软件学院的学生来说,理解和掌握这些知识点至关重要,因为它们将直接影响到项目开发的成功与否。
山东大学软件学院2020年硕士高机器学习期末考题及复习资料
12-30
山东大学软件学院的硕士课程中,这一领域的学习无疑对学生的理论基础和实践能力有着高要求。这份2020年的硕士高机器学习期末考题及复习资料,为我们揭示了该课程的教学重点和考核标准。 【机器学习基础】首先,...
haproxy7层代理
weixin_69909274的博客
08-12 1080
此方式当后端服务器数据量发生变化时,会导致很多用户的请求转发至新的后端服务器,默认为静态方式,但是可以通过hash-type支持的选项更改这个算法一般是在不插入Cookie的TCP模式下使用,也可给拒绝会话cookie的客户提供最好的会话粘性,适用于session会话保持但不支持cookie和缓存的场景源地址有两种转发客户端请求到后端服务器的服务器选取计算方式,分别是取模法。HAProxy的调度算法分为静态和动态调度算法 有些算法可以根据参数在静态和动态算法中相互转换。1. 基于权重的轮询动态调度算法,
haproxy算法与具体实现
K1487994142的博客
08-11 945
负载均衡:Load Balance,简称LB,是一种服务或基于硬件设备等实现的高可用反向代理技术,负载均 衡将特定的业务(web服务、网络流量等)分担给指定的一个或多个后端特定的服务器或设备,从而提高了 公司业务的并发处理能力、保证了业务的高可用性、方便了业务后期的水平动态扩展。
一文搞懂后端面试之不停机数据迁移【中间件 | 数据库 | MySQL | 数据一致性】
LightOfNight的博客
08-11 957
修复的时候就只能以主库数据为准。也就是说,通过先写目标表,再写源表这种方式,万一发现数据迁移出现了问题,还可以回滚为先写源表,再写目标表,确保业务没有问题。正常来说,批量插入如果使用的是VALUES语法,那么生成的主键是连续的,可以从返回的最后一个主键推测出前面其他行的主键。我们采用的方案是利用更新时间戳找出最近更新过的记录,然后再去目标表里面找到对应的数据,如果两者不相等,就用源表的数据去修复目标表的数据。还有如果你是导出的数据,那么导出数据到你导入数据的这段时间,数据发生了变化,目标表依旧是没有的。
发送jsonp请求(前后端如何实现)
最新发布
localhost
08-14 215
发送jsonp请求(前后端如何实现)
2020暑假项目实训软件学院新要求与实施规划
"齐鲁软件学院2020暑假项目实训要求是针对学生的一门必修课程,旨在通过项目实训帮助学生适应未来职业需求,掌握软件工程的实践技能。实训包括创新项目实训和企业项目实训两种形式,学生可自由选择。实训时间为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值