token是用来鉴权的,那session是用来干什么的?

于 2024-09-06 16:04:28 发布
阅读量64 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzU4MDUyMDQyNQ==&mid=2247545521&idx=1&sn=afbf32ae87ab606090d429afd0f484fa&chksm=fc7d648045d020116b7387a8dea63e9815be99dc01cf83fe231cd177b9fef32ab21b46d08084&scene=126&sessionid=0
版权

2160e869ec7b457d3470fa93dfb5ee14.jpeg来源:juejin.cn/post/7383017171180568630

👉 欢迎加入小哈的星球,你将获得: 专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

  • 新项目:《从零手撸:仿小红书(微服务架构)》 正在持续爆肝中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17..., 点击查看项目介绍

  • 《从零手撸:前后端分离博客项目(全栈开发)》 2期已完结,演示链接:http://116.62.199.48/;

截止目前,累计输出 54w+ 字,讲解图 2330+ 张,还在持续爆肝中.. 后续还会上新更多项目,目标是将 Java 领域典型的项目都整一波,如秒杀系统, 在线商城, IM 即时通讯,Spring Cloud Alibaba 等等,戳我加入学习,解锁全部项目,已有2000+小伙伴加入

d9caa1f1b342c6012313ce9a04c37bba.gif

使用JWT进行用户认证和授权,而Session在一定程度上起到了辅助作用。让我们详细讨论JWT和Session在这种结合模式中的各自作用以及为什么需要Session。

JWT的作用

  • 用户认证: JWT包含了用户的身份信息和权限信息,客户端每次请求时将JWT发送给服务器,服务器通过验证JWT来确认用户身份。

  • 无状态性: JWT不需要在服务器端存储用户会话信息,因此服务器可以是无状态的,便于扩展和负载均衡。

Session的作用

  • 附加的安全层: 即使JWT是无状态的,但在某些应用场景中,仅依赖JWT可能存在一些安全问题,例如Token的泄露或滥用。Session可以作为一个额外的安全层,确保Token即使有效,也必须在服务器的Session管理器中存在对应的会话。

  • 管理Token的生命周期: 通过Session,可以更方便地管理Token的生命周期,例如强制用户重新登录、手动注销Token等操作。

  • 控制“记住我”功能: 如果用户选择了“记住我”选项,Session可以记录这个状态,并在JWT过期后,通过Session来决定是否允许继续使用旧的Token。

为什么需要创建Session

尽管JWT可以在无状态环境中使用,但Session的引入带来了以下好处:

  • 防止Token滥用: 通过在服务器端验证Session,可以确保即使Token有效,也必须是经过服务器端认证的,从而防止Token被恶意使用。

  • 支持用户主动注销: 当用户选择注销时,可以直接删除服务器端的Session记录,确保Token即使没有过期,也无法再被使用。

  • 提供更精细的控制: 通过Session,可以实现更精细的权限控制和用户状态管理,例如强制下线、会话过期时间控制等。

  • 状态追踪: 在某些场景下,追踪用户状态是必要的,例如监控用户的活跃度、登录历史等,这些信息可以通过Session进行管理。

结合JWT和Session的优势

结合使用JWT和Session,可以同时利用两者的优点,实现安全性和扩展性的平衡:

  • 无状态认证: JWT可以实现无状态认证,便于系统的水平扩展和负载均衡。

  • 状态管理和安全性: Session可以提供额外的状态管理和安全性,确保Token的使用更加安全可靠。

代码示例

以下是一个简化的代码示例,展示了如何在用户登录时创建JWT和Session:

public LoginResponse login(String username, String password) throws AuthException {
    // 验证用户名和密码
    User user = userService.authenticate(username, password);
    if (user == null) {
        throw new AuthException("Invalid username or password");
    }
    
    // 生成JWT Token
    String token = createJwt(user.getId(), user.getRoles());
    
    // 创建会话
    sessionManagerApi.createSession(token, user);
    
    // 返回Token
    return new LoginResponse(token);
}

public void createSession(String token, User user) {
    LoginUser loginUser = new LoginUser();
    loginUser.setToken(token);
    loginUser.setUserId(user.getId());
    loginUser.setRoles(user.getRoles());
    
    sessionManagerApi.saveSession(token, loginUser);
}

在请求验证时,首先验证JWT的有效性,然后检查Session中是否存在对应的会话:

@Override
public DefaultJwtPayload validateToken(String token) throws AuthException {
    try {
        // 1. 先校验jwt token本身是否有问题
        JwtContext.me().validateTokenWithException(token);

        // 2. 获取jwt的payload
        DefaultJwtPayload defaultPayload = JwtContext.me().getDefaultPayload(token);

        // 3. 如果是7天免登陆,则不校验session过期
        if (defaultPayload.getRememberMe()) {
            return defaultPayload;
        }

        // 4. 判断session里是否有这个token
        LoginUser session = sessionManagerApi.getSession(token);
        if (session == null) {
            throw new AuthException(AUTH_EXPIRED_ERROR);
        }

        return defaultPayload;
    } catch (JwtException jwtException) {
        if (JwtExceptionEnum.JWT_EXPIRED_ERROR.getErrorCode().equals(jwtException.getErrorCode())) {
            throw new AuthException(AUTH_EXPIRED_ERROR);
        } else {
            throw new AuthException(TOKEN_PARSE_ERROR);
        }
    } catch (io.jsonwebtoken.JwtException jwtSelfException) {
        throw new AuthException(TOKEN_PARSE_ERROR);
    }
}

总结

在这个场景中,JWT用于无状态的用户认证,提供便捷和扩展性;Session作为辅助,提供额外的安全性和状态管理。通过这种结合,可以充分利用两者的优点,确保系统既具备高扩展性,又能提供细致的安全控制。

👉 欢迎加入小哈的星球,你将获得: 专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

  • 新项目:《从零手撸:仿小红书(微服务架构)》 正在持续爆肝中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17..., 点击查看项目介绍

  • 《从零手撸:前后端分离博客项目(全栈开发)》 2期已完结,演示链接:http://116.62.199.48/;

截止目前,累计输出 54w+ 字,讲解图 2330+ 张,还在持续爆肝中.. 后续还会上新更多项目,目标是将 Java 领域典型的项目都整一波,如秒杀系统, 在线商城, IM 即时通讯,Spring Cloud Alibaba 等等,戳我加入学习,解锁全部项目,已有2000+小伙伴加入

df5925d6e0f09727ec30976b02d086bf.gif

5dd13a08c264e078f02d2bf5de1192e6.jpeg

 
 
127c5d554d6f6b1d1cf0d63168903dd8.gif
 
 
 
 
 
 
1. 我的私密学习小圈子~
2. Cookie + Session 的时代已经过去了?
3. Java 21 新特性的实践,确实很丝滑!
4. 我司使用了两年的高效日志打印工具,非常牛逼!
 
 
 
 
最近面试BAT,整理一份面试资料《Java面试BATJ通关手册》,覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。
获取方式:点“在看”,关注公众号并回复 Java 领取,更多内容陆续奉上。
 
 
PS:因公众号平台更改了推送规则,如果不想错过内容,记得读完点一下“在看”,加个“星标”,这样每次新文章推送才会第一时间出现在你的订阅列表里。
点“在看”支持小哈呀,谢谢啦
 


                

        

        

    

  


    

      

        

            

              
                
                  犬小哈
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
cookie、sessionToken的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~

				
			

			

				

					LYJbao的博客
				

				

					11-06
					
					362
					
				

			

		

		

			
				
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。

			
		

	



                

              
                



	

		

			

				
					
什么是token

				
			

			

				

					weixin_45820444的博客
				

				

					09-15
					
					9782
					
				

			

		

		

			
				
什么是token?
  token就是令牌,前后端进行鉴权的一种有效形式,比传统的 session 鉴权更加方便,简单来说:当用户首次登陆时,网站会给你一张“门卡”,以后你可以凭借门卡直接进入,而无需再次申请。但一段时间之后门卡实效,你需要再到前台充磁,这里的门卡就是 token
  那么它的用途有哪些呢?
  进行跨域,简单操作,特别适合前后端分离项目。

...

			
		

	



                


  
              

                


	

		

			

				
					
鉴权大全(cookie、sessiontoken、jwt、单点登录),深入理解和搞懂鉴权

				
			

			

				

					qzwzsl的博客
				

				

					07-18
					
					1444
					
				

			

		

		

			
				
鉴权大全(cookie、sessiontoken、jwt、单点登录),深入理解和搞懂鉴权

			
		

	





	

		

			

				
					
JWT和token是什么?如何利用token进行身份验证?

				
			

			

				

					clear_0217的博客
				

				

					11-19
					
					762
					
				

			

		

		

			
				
有没有一种不需要自己存放session信息就能实现身份验证的方式?使用token就可以!JWT就是这种方式实现的,通过这种方式服务器端就不需要保存session数据了,只要在客户端保存服务端返回给用户token就可以了,扩展性得到提升。这种方式会带来一些麻烦,比如需要我们保证保存session信息服务器的可用性、不适合移动端等。JWT本质上就是一段签名的JSON格式的数据。由于他是带有签名的,因此接受者便可以验证他的真实性。身份验证服务响应并返回了签名的jwt,上面包含了用户是谁的内容。

			
		

	



		

			
		



	

		

			

				
					
前端鉴权:cookie、sessiontoken、jwt、单点登录

				
			

			

				

					2401_83384536的博客
				

				

					06-13
					
					990
					
				

			

		

		

			
				
HTTP 是无状态的,为了维持前后请求,需要前端存储标记cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题token 是另一种状态管理方案,相比于 session 不需要后端存储,数据全部存在前端,解放后端,释放灵活性token 的编码技术,通常基于 base64,或增加加密算法防篡改,jwt 是一种成熟的编码方案。

			
		

	





	

		

			

				
					
什么是JWT? Token? 如何基于Token进行身份验证?

				
			

			

				

					HZ___ZH的博客
				

				

					03-10
					
					1180
					
				

			

		

		

			
				
JWT (JSON Web Token)

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。


JWT 本质上就一段签名的 JSON 格式的数据。由于

			
		

	





	

		

			

				
					
Cookie Session Token 鉴权的区别和原理

				
			

			

				

					m0_65431718的博客
				

				

					07-07
					
					941
					
				

			

		

		

			
				
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。

			
		

	





	

		

			

				
					
鉴权之cookie、session、JWT

				
			

			

				

					wxiao_xiao_miao的博客
				

				

					09-26
					
					1121
					
				

			

		

		

			
				
鉴权:判断某用户是否有权访问服务器上的资源。


	用户中心这个页面需要用户登录之后才能访问;
	
	
	某个接口需要token才能访问;
	
http是无状态的:

早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 )

鉴权基本实现思路:

身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询)

身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳)

1.coo.

			
		

	





	

		

			

				
					
cookie、sessiontoken鉴权用户身份的区别

				
			

			

				

					weixin_55010007的博客
				

				

					07-02
					
					761
					
				

			

		

		

			
				
在早期交互式网页还未盛行的时候,我们进行网页浏览时,只需要拿到网页地址,就可以随意获取网页数据,对于用户而言,对于服务器而言都比较友好,但是也都比较单一。随着一些类似购物车,商城的网页出现之后,人们开始发现用户在访问网页时需要进行身份认证之后才能获取该用户特有的数据,这个时候就慢慢出现了我们现在的交互式网页。但是我们的http协议是无连接、无状态的,多个请求之间是没有关联的,独立的。那既然http协议是无状态的,我们又怎么区分用户身份呢?我们大家现在来想象一个场景:我们在访问某个网页时需要先进行登录,服务器

			
		

	





	

		

			

				
					
接口鉴权之cookie,sessiontoken

				
			

			

				

					weixin_40819504的博客
				

				

					03-12
					
					989
					
				

			

		

		

			
				
什么是接口鉴权鉴权就是鉴定权限。在公司开发的一些系统中都会有权限的鉴定。不管是app还是网站的项目,都会有登录模块,而只要有登录模块,他有一些功能,肯定是必须要登录之后才能完成了。比如你在淘宝下单的时候,肯定是要登录的。你每次去做下单的时候,他其实每一次都会去检测你这个用户的信息,是否有效的。所以鉴权是接口每次被调用的时候,都需要做一个事情。而我们需要写一些代码或者是通过一些工具,postma...

			
		

	





	

		

			

				
					
鉴权 5 兄弟:cookie、sessiontoken、jwt、单点登录,终于有人说清楚了

				
			

			

				

					python6_quanzhan的博客
				

				

					01-19
					
					296
					
				

			

		

		

			
				
作者:Henrylulu
来源:juejin.cn/post/6898630134530752520

本文你将看到:

基于 HTTP 的前端鉴权背景
	cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式
	session 方案是如何实现的,存在哪些问题
	token 方案是如何实现的,如何进行编码和防篡改?jwt 是做什么的?refresh token 的实现和意义
	sessiontoken 有什么异同和优缺点
	单点登录是什么?实现思路和在浏览器下的处理
从状态说起

「

			
		

	





	

		

			

				
					
nginx-1.24.0.tar

				
			

			

				

					09-06
				

			

		

		

			
				
Nginx 1.24.0 是 Nginx 开源项目发布的一个重要更新版本,该版本在性能优化、功能增强以及安全性提升方面带来了诸多改进。当您下载 Nginx 1.24.0 的压缩包时,您将获得一个包含 Nginx 源代码的压缩文件,通常命名为 nginx-1.24.0.tar.gz(对于 GNU/Linux 和 macOS 系统)或类似的格式,具体取决于发布平台。

这个压缩包包含了编译 Nginx 服务器所需的所有源代码文件、配置文件模板(如 nginx.conf)、模块源码以及构建和安装说明。通过解压这个压缩包,您可以在支持 C 语言编译器的操作系统上编译并安装 Nginx 1.24.0。

Nginx 1.24.0 引入了一系列新特性和优化,可能包括但不限于对 HTTP/2 和 HTTP/3 协议的进一步支持、性能提升、新的模块或模块更新,以及对已知安全漏洞的修复。这使得 Nginx 能够在保持其作为高性能 HTTP 和反向代理服务器的声誉的同时,继续满足不断发展的网络需求。

			
		

	





	

		

			

				
					
智能化病虫害标注系统前端.zip

				
			

			

				

					09-06
				

			

		

		

			
				
图像识别技术在病虫害检测中的应用是一个快速发展的领域,它结合了计算机视觉和机器学习算法来自动识别和分类植物上的病虫害。以下是这一技术的一些关键步骤和组成部分:

1. **数据收集**:首先需要收集大量的植物图像数据,这些数据包括健康植物的图像以及受不同病虫害影响的植物图像。

2. **图像预处理**:对收集到的图像进行处理,以提高后续分析的准确性。这可能包括调整亮度、对比度、去噪、裁剪、缩放等。

3. **特征提取**:从图像中提取有助于识别病虫害的特征。这些特征可能包括颜色、纹理、形状、边缘等。

4. **模型训练**:使用机器学习算法(如支持向量机、随机森林、卷积神经网络等)来训练模型。训练过程中,算法会学习如何根据提取的特征来识别不同的病虫害。

5. **模型验证和测试**:在独立的测试集上验证模型的性能,以确保其准确性和泛化能力。

6. **部署和应用**:将训练好的模型部署到实际的病虫害检测系统中,可以是移动应用、网页服务或集成到智能农业设备中。

7. **实时监测**:在实际应用中,系统可以实时接收植物图像,并快速给出病虫害的检测结果。

8. **持续学习**:随着时间的推移,系统可以不断学习新的病虫害样本,以提高其识别能力。

9. **用户界面**:为了方便用户使用,通常会有一个用户友好的界面,显示检测结果,并提供进一步的指导或建议。

这项技术的优势在于它可以快速、准确地识别出病虫害,甚至在早期阶段就能发现问题,从而及时采取措施。此外,它还可以减少对化学农药的依赖,支持可持续农业发展。随着技术的不断进步,图像识别在病虫害检测中的应用将越来越广泛。


			
		

	





	

		

			

				
					
Python 小游戏 (贪吃蛇、五子棋、扫雷、俄罗斯方块)

					
最新发布

				
			

			

				

					09-06
				

			

		

		

			
				
python

			
		

	





	

		

			

				
					
MATLAB/simulink 电力系统之变压器仿真-变压器空载运行仿真,磁通饱和+励磁电流

				
			

			

				

					09-06
				

			

		

		

			
				
MATLAB/simulink 电力系统之变压器仿真- 变压器空载运行仿真,磁通饱和+励磁电流

			
		

	





	

		

			

				
					
超级好的电赛习题分享.zip

				
			

			

				

					09-06
				

			

		

		

			
				
电赛习题.zip

			
		

	





	

		

			

				
					
8051Proteus仿真c源码串口通讯计算器

				
			

			

				

					09-06
				

			

		

		

			
				
8051Proteus仿真c源码串口通讯计算器提取方式是百度网盘分享地址

			
		

	





	

		

			

				
					
算法部署-基于ONNX+MNN+Cpp部署语音识别模型-附项目源码-优质项目实战.zip

				
			

			

				

					09-06
				

			

		

		

			
				
算法部署_基于ONNX+MNN+Cpp部署语音识别模型_附项目源码_优质项目实战

			
		

	





	

		

			

				
					
session鉴权和cookies鉴权token鉴权原理各是什么

				
			

			

				

					06-08
				

			

		

		

			
				
Session鉴权Session鉴权是通过在服务端保存用户的会话信息,来验证用户身份的一种方式。当用户访问某个需要登录的页面时,服务器会生成一个Session ID,并将该ID保存在服务器端。之后,每次用户访问需要登录的页面时,服务器会通过比对Session ID来验证用户身份。如果Session ID匹配,则说明用户已经登录,可以访问该页面。Session鉴权通常需要配合使用Cookie来实现。

Cookies鉴权:Cookies鉴权是通过在客户端保存用户的身份信息,来验证用户身份的一种方式。当用户登录成功后,服务器会在响应中设置一个Cookie,并将该Cookie保存在客户端。之后,每次用户访问需要登录的页面时,客户端会将Cookie信息发送给服务器,并由服务器进行验证。如果Cookie信息匹配,则说明用户已经登录,可以访问该页面。Cookies鉴权相对于Session鉴权,具有更好的性能和扩展性。

Token鉴权Token鉴权是一种基于令牌(Token)验证的方式。当用户登录成功后,服务器会生成一个Token,并将该Token返回给客户端。之后,每次用户访问需要登录的页面时,客户端会将Token发送给服务器,并由服务器进行验证。如果Token信息匹配,则说明用户已经登录,可以访问该页面。Token鉴权相对于Session鉴权和Cookies鉴权,具有更好的安全性和跨平台性。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值