Session-based Authentication VS Token-based Authentication

最新推荐文章于 2024-01-24 21:09:24 发布
最新推荐文章于 2024-01-24 21:09:24 发布
阅读量783 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013669877/article/details/52189496
版权

  1. In Session-based Authentication the Server does all the heavy lifting server-side. Broadly speaking a client authenticates with its credentials and receives a session_id (which can be stored in a cookie) and attaches this to every subsequent outgoing request. So this could be considered a "token" as it is the equivalent of a set of credentials. There is however nothing fancy about this session_id-String. It is just an identifier and the server does everything else. It is stateful. It associates the identifier with a user account (e.g. in memory or in a database). It can restrict or limit this session to certain operations or a certain time period and can invalidate it if there are security concern and more importantly it can do and change all of this on the fly. Furthermore it can log the users every move on the website(s). Possible disadvantages are bad scale-ability (especially over more than one server farm) and extensive memory usage.

  2. In Token-based Authentication no session is persisted server-side (stateless). The initial steps are the same. Credentials are exchanged against a token which is then attached to every subsequent request (It can also be stored in a cookie). However for the purpose of decreasing memory usage, easy scale-ability and total flexibility (tokens can be exchanged with another client) a string with all the necessary information is issued (the token) which is checked after each request made by the client to the server. There are a number of ways to use/ create tokens:

a) using a hash mechanism e.g. HMAC-SHA1

token = user_id|expiry_date|HMAC(user_id|expiry_date, k)

--id and expiry_id are sent in plaintext with the resulting hash attached (k is only know to the server)

b) encrypting the token symmetrically e.g. with AES

token = AES(user_id|expiry_date, x)

--x represents the en-/decryption key

c) encrypting it asymmetrically e.g. with RSA

token = RSA(user_id|expiry_date, private key)

Productive systems are usually more complex than those two archetypes. Amazon for example uses both mechanisms on its website. Also hybrids can be used to issue tokens as described in 2 and also associate a user session with it for user tracking or possible revocation and still retain the client flexibility of classic tokens. Also OAuth 2.0 uses short-lived and specific bearer-tokens and longer-lived refresh tokens e.g. to get bearer-tokens.

Sources:

simonca
关注
Token-based-authentication:使用JWT实现的基于令牌的身份验证(Java Web令牌)
05-20
基于令牌的身份验证已经成为一种流行的方法,它替代了传统的Cookie和Session管理方式,提高了系统的可扩展性和安全性。其中,JSON Web Token (JWT) 是一种广泛采用的令牌标准,它允许数据在各方之间安全地进行传输。...
Session-based authentication
qq_24381917的博客
05-21 413
###Session-based authentication ####Session定义: 参考https://dzone.com/articles/broken-authentication-and-session-management-part Session将用户信息将服务器端保存,服务器会生成Session d,通常,浏览器会将Session id 作为cookie储存并发送到服务器。 基于session身份认证方案 参考资料:https://www.cnblogs.com/xiangkejin/
基于session的验证方式和Token验证方式的区别,以及JWT的具体实现流程
qq_40971025的博客
07-29 535
1、传统的cookie认证过程 长期以来,基于Session的认证(Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是有状态的(statefull),也就是服务端和客户端都需要保存生成的session,也就是说在服务端需要在数据库中追踪session是否alive,客户端要把session写入cookie中。基本过程如下: 客户端登陆,一般输入用户名和密码 服务端如
每日一博 - Token Based Authentication VS HMAC Authentication 实现web安全
小工匠
09-14 6300
Token Based Authentication和HMAC(Hash-based Message Authentication Code)Authentication都是用于身份验证和数据完整性验证的安全机制,但它们有不同的工作方式和适用场景。HMAC(Hash-based Message Authentication Code)是一种用于数据完整性验证和身份验证的加密哈希函数。它基于哈希函数和密钥来创建一个固定长度的认证码,用于验证消息的完整性和真实性。哈希函数将消息和密钥结合起来,生成一个哈希值。
HTTP API 认证技术详解(五):Token-based Authentication
路多辛的所思所想
01-24 1508
Token-based 认证是一种无状态的认证方式,被广泛用于现代 Web 应用程序中,客户端在登录成功后,服务器会返回一个 Token,客户端需要保存这个 Token。在后续的请求中,客户端需要在请求头中带上这个 Token,服务器通过验证 Token 的有效性来完成身份认证。
token-based authentication
乱七八糟的笔记
12-03 1369
jupyter notebook 提到这个安全授权机制,我不知道中文。但是可以由英文解释: https://stackoverflow.com/questions/1592534/what-is-token-based-authentication 于是我的理解是。你的本地的jupyter 在命令行给你创建了一个tocken: 然后我用浏览器访问就可以打开我这个文件夹的jupyter n...
Laravel开发-token-auth
08-28
在Laravel框架中,Token-based Authentication(令牌认证)是一种常见的API认证方式,它不依赖于传统的Session机制,而是通过在请求头中携带一个令牌来验证用户身份。这种认证方式适用于前后端分离的应用或者移动...
pow:强大,模块化和可扩展的用户身份验证系统
02-05
它支持多种认证策略,如基于令牌(Token-based)、会话(Session-based)等。通过 `pow`,开发者可以轻松实现用户登录状态的跟踪,确保只有经过验证的用户才能访问受保护的资源。 ### 3. 授权(Authorization) `...
商业编程-源码-Kacd留言本 v1.1.zip
06-21
这部分涉及密码哈希、会话管理(Session)、令牌验证(Token-based Authentication)等技术,确保用户信息安全。 5. **留言的存储与检索**: 系统需要存储每条留言,包括作者、内容、时间等信息。同时,它需要提供...
authentication
03-28
2. **Token-based Authentication**:随着单页应用(SPA)的流行,Token-based认证(如JWT - JSON Web Tokens)成为首选。JWT包含用户信息,经过签名后发送给客户端。客户端在后续请求中携带此Token,服务器验证...
TokenBasedAuth:ASP.NET Owin OAuth 不记名令牌 WebApi
07-07
基于令牌的身份验证 #ASP.NET Owin OAuth 不记名令牌 WebApi 展示如何创建单独的 WebAPI,这些 WebAPI 使用 OAuth 不记名令牌进行身份验证。 此示例使用 ASP.NET Identity 和最小的 AccountController 来注册用户。 并公开令牌端点以生成临时不记名令牌。 还有一个受保护的资源服务器,可以使用来自 AuthEndpoint 的不记名令牌进行访问。 注册用户: curl -X POST -H "Content-Type: application/json" -H "Cache-Control: no-cache" -H "Postman-Token: 2633c6c1-e0c7-93d1-37dd-9ef4f60755f8" -d '{ "userName": "user", "password": "
Go-Go语言版本的权限管理服务平台利用shiro权限管理设计思想
08-14
在Go中,由于其无状态特性,我们可能需要借助于HTTP SessionToken机制来实现会话管理,确保用户在不同请求间保持状态。 4. **加密(Cryptography)**:包括密码哈希、数据加密等,确保信息安全。Go语言内置了强大...
Auth-nodeJs:NodeJs API身份验证
03-09
2. **Session-based Authentication**:传统Web应用常用,通过服务器存储session信息,客户端通过cookie携带session ID与服务器通信。 **三、Node.js中的身份验证实践** 1. **使用JWT实现身份验证** - **安装...
jwts-not-safe-e-book.pdf
最新发布
06-27
- **Authentication:** The server verifies the validity of the session token sent by the client. If valid, the user is authenticated. - **Authorization:** Once the user is authenticated, the server ...
user-auth-boilerplate
03-20
4. **令牌认证(Token-Based Authentication)**:另一种常见的方法是使用JSON Web Tokens (JWT)。用户登录后,服务器会生成一个包含用户信息的加密令牌并返回给前端。之后,前端将此令牌附在每个API请求的头信息中...
3种web会话管理的方式
weixin_34025151的博客
11-23 371
http是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断他是否有权限继续这个请求。这个过程就是常说的会话管理。它也可以简单理解为一个用户从登录到退出应...
Token Based Authentication
weixin_30692143的博客
07-26 165
Owin middleware refresh tokens 转载于:https://www.cnblogs.com/yfann/p/4678963.html
HTTP基本认证和JWT鉴权
weixin_30414245的博客
11-30 540
一、HTTP基本认证 Basic Authentication——当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码。 http auth的过程: ·客户端发送http请求 ·服务器发现配置了http auth,于是检查request里面有没有"Authorization"的http header ·如果有,则判断Authorization里面的内容是否在用...
JWT实现token-based会话管理
weixin_34050005的博客
11-24 250
上文《3种web会话管理的方式》介绍了3种会话管理的方式,其中token-based的方式有必要从实现层面了解一下。本文主要介绍这方面的内容。上文提到token-based的实现目前有一个开放的标准可用,这个标准就是JWT,从它的官网上也能看到,目前实现了JWT的技术非常多,基本上涵盖了所有的语言平台。本文选择express和jsonwebtoken基于nodejs来实现token-based会话...
curl --help
06-07
--oauth2-bearer <token> OAuth 2 Bearer Token -o, --output <file> Write to file instead of stdout --pass <phrase> Pass phrase for the private key --path-as-is Do not squash .. sequences in URL path...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值