登录凭证的方式

最新推荐文章于 2024-05-10 21:36:39 发布
最新推荐文章于 2024-05-10 21:36:39 发布
阅读量952 收藏 3
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/40605
版权

目前登录凭证的方式无非两种:
一个是通过服务器端的session,一个是通过浏览器的cookie.
简而言之:session和cookie

常规的是通过session
步骤:
1,用户在浏览器登录
2,后台鉴权,若登录成功,则把用户信息写入session,servlet自动生成JSESSIONID 返回浏览器;
3,浏览器把JSESSIONID 写入cookie
说明:cookie是浏览器的存储文件,存储的只是JSESSIONID,而不是用户信息;
JSESSIONID 只是一个钩子,用户信息其实存储在服务器端.

比如我在浏览器登录之后,重新打开一个标签页,输入相同的地址,仍然是登录状态,因为标签页共享cookie.
也就是说我只要获取到JSESSIONID ,就可以获取用户隐私信息,比如除用户名以外的其他信息(密码,姓名,年龄等).也可以做一些敏感操作,比如修改密码

浏览器发送请求时会带上cookie
这样服务器端才知道是否登录过:
浏览器

例如,我获取到JSESSIONID 之后,使用HTTP模拟发送请求:
http请求模拟器

服务器端是如何判断是否登录

/***
     * 判断是否已登录
     * @param user2
     * @return
     */
    public static boolean isLogined(User user2,String loginFlag){
        if(ValueWidget.isNullOrEmpty(user2)||ValueWidget.isNullOrEmpty(user2.getUsername())
                ||loginFlag == null
                        ||( !loginFlag.equalsIgnoreCase(Constant2.FLAG_LOGIN_SUCCESS))){
            return false;
        }else{
            return true;
        }
    }
    /***
     * 判断是否已登录
     * @param session
     * @return
     */
    public static boolean isLogined(HttpSession session){
        String loginFlag = (String) session
                .getAttribute(Constant2.SESSION_KEY_LOGINED_FLAG);
        User user2 = (User) session.getAttribute(Constant2.SESSION_KEY_LOGINED_USER);
        return isLogined(user2,loginFlag);
    }

如果通过cookie呢?

1,登录之前,会向服务器请求一个随机token,同时返回cookie,例如:
CCC=63314c585041e889766fec6657879c; Expires=Mon, 21-Sep-2015 06:48:27 GMT; Path=/
2,登录时带上这个cookie(即CCC=63314c585041e889766fec6657879c)
3,服务器鉴权,登录成功之后,把登录凭证和CCC 绑定,
即服务器可以通过CCC 判断是否登录,也可以通过CCC 获取用户敏感信息.

这样的话,只要登录过,用户不主动清除cookie,那就一直是登录状态.
如果用户主动清除了cookie,那就不是登录状态了
通过cookie

详细流程,逻辑
认证服务器
(1)登录前,浏览器先向认证服务器请求一个OTP,认证服务器返回OTP,同时返回一个cookie给浏览器;
(2)认证服务器把OTP 和CCC(cookie) 挂钩;
(3)登录时连同带上OTP
(4)若登录成功,则认证服务器返回登录凭证(access token)给浏览器;
(5)认证服务器把CCC 和登录凭证挂钩;
(6)通过CCC 可以判断用户是否有权限.

所以,
(a)可以通过CCC 获取登录凭证
(b)也可以通过OTP 获取登录凭证

根本原因:服务器把OTP 和CCC(cookie) 挂钩

那么CCC记在什么地方?
浏览器

获取OTP的接口返回:
OTP接口返回

weixin_33691817
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows 用户登录凭证管理
08-07
Window 10 用户凭证 管理,用户凭证保存位置,如何更改密码?更改登录域?
谁使用SA凭证登录
04-07
标题“谁使用SA凭证登录?”涉及的是SQL Server数据库管理中的安全和审计问题。在SQL Server环境中,"SA"(System Administrator)是一个内置的超级用户角色,拥有对整个数据库实例的最高权限。通常,直接使用SA凭证...
登录凭证------
kjl536566的博客
03-10 624
为什么需要登录凭证?web开发中,我们使用的协议http是无状态协议,http每次请求都是一个单独的请求,和之前的请求没有关系,服务器就不知道上一步你做了什么操作,我们需要一个办法证明我没登录过。
windows查看凭证
最新发布
空白画布
05-10 854
请注意,具体步骤可能会根据Windows版本和安装的应用程序有所不同。如果你需要具体的代码示例,请提供更多的上下文信息,例如你正在使用的操作系统版本、需要查看凭证的具体类型等。在Windows中查看凭证通常指的是查看保存的登录信息,如网络凭证、账户密码等。这些信息可能被保存在不同的地方,如Windows凭证管理器、控制面板或者是浏览器的保存数据中。
Koa框架——coderhub实战
zep
08-15 751
一、coderhub功能接口说明 Coderhub旨在创建一个程序员分享生活动态的平台。 完整的项目接口包括: 面向用户的业务接口; 面向企业或者内部的后台管理接口; 完成的功能如下: 1.用户管理系统 2.内容管理系统 3.内容评论管理 4.内容标签管理 5.文件管理系统 其他功能其实都是非常相似的 二、项目的搭建 功能一:目录结构的划分: 按照功能模块划分; 按照业务模块划分; 功能二:应用配置信息写到环境变量 编写.env文件 通过dotenv加载配置的变量 npm 官方文档的这样介绍
登录凭证------_登录凭证是什么,网络安全架构师教你如何突破瓶颈
2401_84139192的博客
04-09 774
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
cookie之登录用户凭证
weixin_33805992的博客
02-18 1892
简述 说到cookie,我想前端开发都有听说过吧,cookie的本质就是用来存储数据的,但不能存太多数据。 cookie大多数是用来辨别用户身份的,但不止这一种用途,这就要看具体项目了。 今天我们要说的就是怎么通过cookie,能让服务器知道你就是某用户。 大家都知道http是无状态的,每次请求都是独立的,是没办法直接判断某个请求是否是同一个用户发起, 这时候cookie就起作用的,当用户第一次登...
Spring Boot实现人脸识别等多种登录方式.zip
11-16
在本项目中,Mybatis可能被用来管理用户账户信息,如存储和查询用户的登录凭证。 3. **人脸识别登录**:这是一种基于生物特征的认证方式,通过对比用户面部特征与已注册的面部模板进行身份验证。在这里,项目采用了...
业务生成财务凭证接口
08-08
- **登录总账工具**:打开用友U8程序中的“总账工具”,并登录相应的账套。 - **设置数据源**:在总账工具中选择数据源,通常需要指定凭证文件的存储位置。 - **确定引入规则**:设置凭证引入规则,确保导入的...
微信登录授权
10-07
微信登录授权基于OAuth2.0协议,这是一种开放标准的身份验证框架,允许用户授权第三方应用访问他们在特定服务提供商(如微信)上的信息,而无需分享他们的登录凭证。在微信登录授权流程中,用户首先在第三方应用上...
Cloudcc单点登录详解
08-11
在IT行业中,单点登录(Single Sign-...总之,Cloudcc的单点登录功能通过提供便捷和安全的用户认证方式,增强了用户在多应用环境下的体验。理解其工作原理和实施流程对于优化企业内部的工作流和保护数据安全至关重要。
Spring Security 3多用户登录实现之四 用户凭证
11-10 449
        前讲讲到AuthenticationFilter会拦截我们的登录表单提交信息并根据相应的信息构造出对应的用户凭证,这里的用户凭证将会贯穿整个Spring Security安全验证过程,如果验证用户凭证成功,我们可以为相应的用户凭证分配相应的权限,并将用户导向登录成功的界面。来看看这里的多种类型用户登录凭证的实现吧,这里主要实现了两种用户凭证,一种是前台用户登录凭证,一种是后台用户...
了解认证、授权、凭证、Cookie、Session、Token、JWT
suifeng0614的博客
01-03 1414
了解认证、授权、凭证、Cookie、Session、Token、JWT
登录认证方式汇总,例如ThreadLocal+拦截器+Redis、JWT
丨康有为丨的博客
09-13 888
1.创建拦截器类创建一个DemoInterceptor类实现HandlerInterceptor接口。重写preHandle(),postHandle(),afterCompletion() 三个方法,如下代码,我们就创建了一个Spring的拦截器。
单点登录SSO
yangtaohongyang的博客
03-14 243
[color=blue][size=medium]一、什么是单点登录SSO(Single Sign-On)   SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录一次就可以访问所有相互信任的应用系...
操作系统登录凭证获取
weixin_43835473的博客
10-16 1028
最近看了一些关于获取操作系统登录凭证的文章,当我们通过渗透获取到一台服务器权限之后,为了扩大战果,我们可以总是会想办法通过收集各种密码凭证,曾经就遇到过有客户所有服务器都是统一的账号密码,被拿到一台服务器的账号密码后,其他服务器也都被轻松拿下。因此在此记录一些密码凭证的获取方法。 Linux登录凭证 测试环境:CentOS7 1.strace收集 strace是一个动态跟踪工具,堪比键盘记录器 (1)抓取进程sshd中的明文密码输入 /tmp/.sshd.log (strace -f -F -p `ps a
Linux获取登录凭证总结
weixin_44747030的博客
02-20 5873
Linux下获取凭证总结 前言 文章仅做学习交流 在内网渗透中,有时往往只需要一个凭证,撕开一个口子,慢慢的就能打通整个内网,下面会介绍在内网中碰到linux机器如何获取凭证的方法。 history记录 linux的history命令的作用是,记录执行过的命令。 这里可以看到当前在使用的shell是zsh,而在每个用户下都会生成一个文件.shell名_history的文件(如.zsh_history),在关闭终端后才会输入到该文件。 输入history查看执行过的命令 而在这里面可以分析到管理员会在这台
win7保存登录凭证 连接vss不需要输入用户名密码登录
Mars的专栏
01-18 6079
vss版本控制服务器是放在局域网的一台机器.以前访问共享目录时输入用户名和密码同时勾选下面的保存凭证,这样连接vss以后,每天开机都是自动登录,不需要输入vss登录用户名和密码. 但是前天计算机恢复了以前N久备份的版本,还是按照上面的办法连接vss服务器,但是就是记不住凭证. 每天打开项目首先会弹出这个的提示框: 连接vss不需要输入用户名密码登录" title="win7保存登
awvs登录凭证无效
08-15
综上所述,当AWVS登录凭证无效时,我们需要仔细检查输入的用户名和密码、账号状态、网络连接、许可证有效期以及尝试重新安装等方式,以便解决问题。如果问题无法解决,我们应当寻求AWVS的管理员或技术支持人员的帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值