登入思考

最新推荐文章于 2022-10-11 10:21:53 发布
最新推荐文章于 2022-10-11 10:21:53 发布
阅读量369 收藏
点赞数
分类专栏: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weily11/article/details/102863360
版权

一、传统的登入方式

     浏览器输入用户名密码,服务端校验通过,根据用户信息生成一个token,将token和user_id存到数据库或者session中,并将token返回给前端,存入cookie,后面浏览器每次请求都会带上cookie,服务端根据cookie查询用户,验证用户有效性。

     弊端:

     1)如果出现XSS(跨站脚本攻击)漏洞,由于cookie可以被js读取,XSS漏洞会导致用户token被泄露。

         解决方案:

         a)设置httpOnly,这样的话cookie将不会被js读取,浏览器会自动将它加到请求头信息中,但是带来了新的问题,很容易被XSRF(跨站请求伪造)攻击,因为只要当前浏览器开着,另一个界面可以很容易的跨站请求这个界面的内容,因为cookie会被默认发送出去。

         b)设置secure,这样cookie就只能通过https传输,可以过滤掉一些使用http协议请求的XSS注入。

     2)将验证信息存到数据库中,每次验证的时候,都需要去数据库中查询,增加了数据库的查询和存储开销。

     3)如果将token存到session中,也会增加服务器的存储压力。

二、使用token登入的方式

    需要有一个进行缓存token+redis的方式来实现共享session

三、使用jwt登入的方式

    不需要进行缓存jwt,但是jwt实现强制登出问题实现困难,还是要借token机制

调皮的玩代码
关注
专栏目录
关于登录认证的一些思考:token、session、cookie
zhangfeng1742的专栏
08-14 1408
一切的根源就在于http是无状态的,导致每次请求之间都无法关联,所以我们用token、cookie、session来保存用户状态信息 下面就用我亲身经历的项目,来阐述一下它们的优劣 项目A: 第一次请求登录,认证成功后,后端返回一个加密后的userId(md5(roomNo+idNo+wxname)),保存在客户端,后续请求中会携带这个userId(request body或url) ...
关于用户登陆的几点思考,待写(6月前完成,望监督)
诗和远方,任重道远
04-08 261
写在前面 这里先抛出几个问题 认证 授权 session/cookie管理 sso 浏览器的缓存机制相关
单点登录思考(俩种方案)
qq_42964711的博客
08-11 296
1.前言 以前自己做项目的时候,登录设计比较简单,并且没考虑太多东西。而公司内部登录都是采用单点登录的。 我自己的项目登录方法 1.cookie和session 客户端输入账号密码后向服务端发起请求。 服务端验证通过后,由于http无状态,所以服务端要记录此次请求。创建一个sessionID存到cookie中(通过set-cookie),发送给客户端。 客户端再次发送请求时携带cookie,并通过cookie中的sessionID在服务端验证。 缺点: 存在cookie中,可能被别人盗取,冒充
python爬虫模拟与思考_python爬虫模拟登入一站点问题
weixin_39562606的博客
11-30 101
代码:PS:email和passwd已替换*# /usr/bin/python#coding:utf-8__Date__ = "2016-10-10 14:55"__Author__ = 'eyu Fanne'##模拟登入seebug站点##验证码图片识别##https://www.seebug.org/import requestsimport urllibimport osfrom bs4 i...
C语言 用户登入场景
qq_73614724的博客
10-11 218
C语言 模拟用户登入场景
php 登入
baixiaoshi的专栏
06-05 706
<?php $arr=array("one","two","three","four"); foreach ($arr as $value){ echo $value.""; } ?> 输出结果 one two three four
Java实现基础登入页面
AYGZC233的博客
01-30 3461
Mybatis和web学习的课后实操 · · · 首先我们确定我们的需求: 一:我们需要一个登入和注册的网页页面进行操作 二:我们需要连接数据库查询是否有该用户,并且实现登入和注册 确定完需求我们来实操 首先是界面: ...
实现账号在一端登入_跟我学spring security 基于数据库实现一个基本的登入登出...
weixin_40008920的博客
12-03 136
第一章我们基于内存中的用户信息实现了一个基本的登入功能,不过实际的项目中用户信息一般都是存在数据库中的。本章我们来实现一个比较接近真实项目的登入登出,同时引入UserDetailsService的概念。UserDetailsService和UserDetail思考一下,如果不用框架,我们自己要实现一个用户登录认证会怎么做?其实也不难,思路就是根据提交上来的用户名和密码,从数据库中查找这个账号的信息...
mir3思考
啊循的专栏
07-19 726
游戏服务器收到客户端的消息,怎么转发到对应的对象上? 答:在SockMsg_GateComm.cpp中一个专门处理网关消息的线程,网关和GameSvr之间维护一个用户的id,消息头带上Id,当网关消息传来,并且判断处于游戏中时,通过ID(也是用户信息数组的索引)取得【用户信息对象】,消息交由【用户信息对象】,该对象判断消息类型,并作适当的参数构造后,交由它引用的CCharObject的消息队列中...
建议收藏,爬虫必用技巧, Python模拟登入的N种方式!
Blog沙漏在下雨
05-28 2113
爬虫需要登入才能获取更多的信息,模拟登入就显得极为重要,参考这篇博客,小白也能看得懂的模拟登入方式,从简到琐,大致三种方式,一步一步带你学,抓住五月的小尾巴,最后的一波学习!
selenium自动登入爬取中国气象数据网
直起西的博客
01-19 812
selenium自动登入爬取中国气象数据网记录主要遇到的难点与好的参考文献全部用到的库pytesseract识别验证码1.tesseract需要添加环境变量,不想添加的话可以直接2,识别前对图像进行,二值化,去噪等处理3.自己进行训练方法——tesseract-ocr4.识别验证码部分整个代码弹窗状态的判定第一种弹窗第二种弹窗cookie完整代码如下: 记录主要遇到的难点与好的参考文献 url = ‘http://data.cma.cn’ 难点: (1)验证码采用pytesseract库识别,正确率太低,如
最近学习的一些思考,附上答案,后续还需深入学习开发知识。
清菡的博客
05-21 129
一、带参数请求到的数据和不带参数请求到的数据有啥区别?你请求获取的数据,是依据接口决定的。比如 :http://127.0.0.1/user/infouser/info 这个接口决定了它会返回用户信息。接口规定路径和参数,请求方需遵守这个规定。接口规定了必须携带id参数或者其它参数,才能正确的返回数据。你加上参数id=123。约定是要带参数的,且是什么格式带参数,然后服务...
linux教程第六章思考题答案,Linux复习题综合练习及答案
weixin_39730263的博客
05-02 2184
35、 以下哪一项不是进程和程序的区别?(单选题)A、程序是一组有序的静态指令。进程是一次程序的执行过程B、程序只能在前台运行,而进程可以在前台或后台运行C、程序可以长期保存,进程是暂时的D、程序没有状态,而进程是有状态的36、 为了保证系统的安全,现在的Linux系统一般将/etc/passwd密码文件加密后,保存在__文件。A./etc/gr...
对反游戏外挂技术的思考及实现
Test网络安全
09-04 9236
前言 现如今,有很多游戏外挂软件,它们可以修改游戏显示的数据和内部代码,来达到谋取利益的目的。在实现反外挂技术前,我先介绍一下常见的三种外挂:1.模拟类外挂:该外挂可以说是最早的外挂了,它是往游戏发送伪造的按键消息来模拟人的手工操作。实现的思路为: 1.在Ring3层使用SendMassage、PostMassage、keybd_event、mouse_event等向消息队列中发送按键消息 2.使用回调函数KeyboardClassServiceCallback和MouseClassServiceC
dubbo的源码解读(1):dubbo的整体架构
调皮的写代码
04-10 1539
一、dubbo的简介 Dubbo是Alibaba开源的分布式服务框架,它最大的特点是按照分层的方式来架构,使用这种方式可以使各个层之间解耦合(或者最大限度地松耦合)。从服务模型的角度来看,Dubbo采用的是一种非常简单的模型,要么是提供方提供服务,要么是消费方消费服务,所以基于这一点可以抽象出服务提供方(Provider)和服务消费方(Consumer)两个角色。 二、dubbo的原理 1)...
游戏系统架构的发展
调皮的写代码
05-21 1340
游戏架构的发展历史
FastDFS的客户端
调皮的写代码
07-17 1243
一、FastDFS的使用  
dubbo常出现的问题
调皮的写代码
10-17 1007
一、dubbo的常见问题分类 二、案例分析 1)服务超时问题 目前如果存在超时,情况基本都在如下几点: 客户端耗时大,也就是超时异常时的client elapsed xxx,这个是从创建Future对象开始到使用channel发出请求的这段时间,中间没有复杂操作,只要CPU没问题基本不会出现大耗时,顶多1ms属于正常 IOThread繁忙,默认情况下,dubbo协议一个客户端与一个服务提...
springboot登入
最新发布
09-09
Spring Boot提供了简化的开发和部署过程的框架,其中包括登录功能。在引用[1]中的代码片段中,可以看到一个用于用户登录的接口。该接口通过接收一个UcenterMember对象作为参数,并返回生成的token作为结果。具体的登录逻辑由memberService的login方法处理。 需要注意的是,登录接口使用了@PostMapping注解,表示支持POST请求方法;@ApiOperation注解用于文档生成,用于描述接口的作用。 另外,在引用中的代码片段中,可以看到一个参数初始化工具类ConstWxUtil,其中设置了一些变量值。这些变量值可以在Spring Boot应用程序的其他地方使用,以获取相关的配置参数。 综上所述,Spring Boot提供了方便的开发框架,可以用于实现登录功能。通过编写相应的接口和处理逻辑,以及使用参数初始化工具类来获取配置参数,可以实现Spring Boot的登录功能。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值