权限认证 cookie VS token

最新推荐文章于 2022-04-29 10:27:43 发布
最新推荐文章于 2022-04-29 10:27:43 发布
阅读量136 收藏
点赞数
文章标签: 数据库
原文链接:https://yq.aliyun.com/articles/642197
版权

权限认证 cookie VS token

我前公司的应用都是 token 授权的,现公司都是维护一个 session 确认登录状态的。那么我在这掰扯掰扯这两种权限认证的方方面面。

工作流程

先说 cookie

cookie 登录是有状态的,服务端维护一个 session 客户端维护一个 cookie,cookie 只保留 sessionID 服务端要保存并跟踪所有活动的 session 如下:

  1. 输入用户名密码登陆。
  2. 服务器拿到身份并验证后生成一个 session 存到数据库。
  3. 把 sessionID 返回给客户端存成一个 cookie 保存 sessionID。
  4. 随后的请求会携带这个包含 sessionID 的 cookie。
  5. 服务器拿着 sessionID 找到对应的 session 认证用户是否有对应权限啊。

  6. 登出后,服务端销毁 session 客户端销毁 cookie。

    token
    token 的认证方式是无状态的,服务端不保存登陆状态,也不关心哪些客户端签发了 token ,每个请求都会携带 token 通常在 header 中,也可以出现在 body 和 query 如下:
  7. 输入用户名密码登陆。
  8. 服务器拿到身份并验证后签发一个 token。
  9. 客户端拿到 token 并存起来,好多地方都可以存。
  10. 客户端发送的每一个请求都要携带 token,好多方式可以携带。
  11. 服务器接收请求后拿到 token 并解析,拿解析的结果进行权限认证(token中可能已经携带权限信息,能被正常解析的 token 被认为是合法机构签发的)。

  12. 登出后,在客户端销毁 token 即可。
    无图无真相,两种方式对比
    链接

    token 的优势

    新的东西如果没有原来的好用是不会有人用的。那 token 哪里好呢。
  • 无状态,token 是无状态的,服务器端不需要保留任何信息,每个 token 都会包含所有需要的用户信息。服务器端可以只负责签发和解析 token 解放了部分服务器资源,让服务器更单纯的提供接口。
  • 跨服务器,无状态优势在此。服务器如果做了负载均衡之类的,你两条请求不一定去同一个服务器,着如果用服务器维护一个 session 的话就显得有些棘手了,一个服务器和一个客户端对应,另一个服务器不一定认得你啊,不对是一定不认得你啊,当然这个问题也不难解决。
  • 可以携带其他信息,比如携带具体权限信息之类的,省的还要去查库。
  • 性能,解 token 可比查库要省事儿的多。
  • 跨域,请求需要跨域的接口的时候 cookie 就力不从心了,不同域就不会携带 cookie ,不携带 cookie 服务器也不知道是哪个 session 啊,token 在此优势明显。
  • 配合移动端,cookie 是浏览器端的玩意儿,移动端应用想使用 cookie 还得折腾一下,token 就方便得多。token 让服务器端单纯提供 API 服务,适用性更广。
  • CSRF,如果 token 不存放在 cookie 中,防止了跨站请求伪造带来的安全性风险。
    参考:地址
weixin_34381687
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
登录验证两种方案:tokencookie以及对比
EmotionComputer
08-13 303
HTTP无状态,每次请求都要携带cookie,以帮助识别用户身份;服务端也可以向客户端set-cookiecookie大小限制为4kb;
了解认证、授权、凭证、Cookie、Session、Token、JWT
suifeng0614的博客
01-03 1403
了解认证、授权、凭证、Cookie、Session、Token、JWT
springboot2.0企业中台实战之权限统一管理与应用统一授权 (dubbo分布式系统实战)
12-07
本课程是一门具有很强实践性质的“项目实战”课程,即“企业中台系统实战”,其中主要包含三大块核心内容,如下图所示(右键可以在新标签页中打开图片放大查看): 即主要包含以下三大块内容: ① 企业内部应用系统菜单资源和操作权限的统一管理; ② 分布式应用系统通信时的统一授权,即基于AccessToken的授权与认证; ③ 分布式服务/系统通信时的两大方式(基于dubbo rpc协议和基于http协议的restful api实战)。   值得一提的是,这套中台系统由于讲解了如何统一管理企业内部各大应用系统的“菜单资源列表”、“操作权限”,故而本门课程的“代码实战”是建立在之前debug录制的“企业权限管理平台”这套课程的基础之上的,故而在这里debug建议没有项目开发基础的小伙伴可以先去学习我的那套“企业权限管理平台”的实战课程,之后再来学习我的这套中台系统的实战才不会很吃力(课程链接:)   本课程的课程大纲如下图所示(右键可以在新标签页中打开图片放大查看):   除此之外,这套“中台系统”由于统一管理了企业内部各大应用系统的“菜单资源和操作权限”以及“应用系统之间通信时的统一授权”,故而难免需要涉及到“中台系统”与“中台子系统”、“中台子系统”与“中台子系统”之间的通信(即分布式服务之间的通信),在这里我们是采用“dubbo + zookeeper”的方式加以落地实现的,详情如下图所示(右键可以在新标签页中打开图片放大查看):   而众所周知,作为一款知名以及相当流行的分布式服务调度中间件,dubbo现如今已经晋升为Apache顶级的开源项目,未来也仍将成为“分布式系统”开发实战的一大利器,如下图所示为dubbo底层核心系统架构图(右键可以在新标签页中打开图片放大查看): 而在这门“中台系统实战”的课程中,我们也将始终贯彻、落地dubbo的这一核心系统架构图,即如何将中台系统开发的服务注册/发布到注册中心zookeeper,中台子系统如何订阅/消费/调度中台系统发布在zookeeper的接口服务,中台子系统在走http协议调度通信时dubbo如何进行拦截、基于token认证接口的调用者等等,这些内容我们在课程中将一一得到代码层面的实战落地!   下图为本课程中涉及到的分布式系统/服务之间 采用“http协议restfulapi”方式通信时的Token授权、认证的流程图(右键可以在新标签页中打开图片放大查看): 而不夸张地说,基于AccessToken的授权、认证方式在现如今微服务、分布式时代系统与系统在通信期间最为常用的“授权方式”了,可想而知,掌握其中的流程思想是多么的重要!   以下为本门课程的部分截图(右键可以在新标签页中打开图片放大查看):     核心技术列表: 值得一提的是,由于本门课程是一门真正介绍“中台思想”以及将“中台思想”和“分布式系统开发实战”相结合落地的课程,故而在学完本门课程之后,可以掌握到的核心技术自然是相当多的。主要由SpringBoot2.0、SpringMVC、Mybatis、Dubbo、ZooKeeper、Redis、OkHttp3、Guava-Retrying重试机制、JWT(Json Web Token)、Shiro、分布式集群session共享、Lombok、StreamAPI、Dubbo-Filter以及ServiceBean等等。如下图所示(右键可以在新标签页中打开图片放大查看):
cookietoken区别
u012963112的博客
04-29 5778
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
JAVA调用restful接口,通过Cookie跳过权限验证
chen875351636的博客
03-02 5105
这两天项目上用到restful,自己写了restful接口,然后在java中调用,项目中配有登录验证的过滤器。在网上搜了很多方式都是无状态的调用方式。最后综合了网上很多资料总结出一下两种方式:1.通过HttpClient方式:    HttpClient httpclient = new DefaultHttpClient();    String url = "http://10.0.102.1...
基于SpringBoot整合oauth2实现token认证
08-25
基于SpringBoot整合oauth2实现token认证 本文主要介绍了基于SpringBoot整合oauth2实现token认证的技术,通过示例代码对该技术进行了详细的介绍,对读者学习或工作具有重要参考价值。 SpringBoot和oauth2的整合 在...
浅谈基于Token的WEB后台认证机制
08-26
但是,它不太适合拥有自有认证权限管理的企业应用。 Cookie Auth是一个传统的认证机制,通过在服务端创建一个Session对象,并在客户端的浏览器端创建一个Cookie对象来实现状态管理的。但是,它存在一些缺陷,例如,...
Sa-Token权限认证框架 v1.35.0.zip
最新发布
10-03
**Sa-Token权限认证框架 v1.35.0** Sa-Token是一个轻量级的Java权限认证框架,专注于权限控制的基本功能,如登录认证权限校验、会话管理等。其设计目标是简化传统权限认证的复杂度,适用于微服务、单页应用等多种...
Django+JWT实现Token认证的实现方法
09-19
Django作为一个强大的Python Web框架,可以通过多种方式实现用户认证,其中之一就是使用JWT(JSON Web Token)进行Token认证。本篇文章将深入探讨如何在Django项目中利用JWT实现Token认证,无需依赖Django REST ...
前端知识Token知识点笔记.pdf
05-31
Token不仅用于身份验证,还可以用于权限管理、API调用认证等场景。 7.7 Token的层级 Token的使用可能涉及多个层级,如应用层Token、API层Token等,用于不同范围的身份验证和授权。 本笔记是关于Cookie、Session、...
详细学习Java Cookie技术(用户登录、浏览、访问权限)
09-01
主要为大家详细介绍了Java Cookie技术,显示用户上次登录的时间、显示用户最近浏览的若干个图片(按比例缩放)等,感兴趣的小伙伴们可以参考一下
基础的JAVA Token权限认证
weixin_41678132的博客
11-28 1958
public class JwtUtil { private static final long EXPIER_TIME = 15 * 60 * 1000; private static final String TOKEN_SECRET = "123456"; public static String sign(String userName, String user...
【JavaWeb】了解认证、授权、凭证、Cookie、Session、Token、JWT
墩墩分墩
06-24 1804
文章目录一.什么是认证(Authentication)二.什么是授权(Authorization)三.什么是凭证(Credentials)四.Cookie1.什么是Cookie2.Cookie产生的过程3.Cookie存放的位置4.cookie 重要的属性4.1.**Path属性使用**4.2.Domain属性使用5.SessionStorage,LocalStorage五.Session1.什么是Session2.Session产生的过程六.Cookie 和 Session 的区别七.什么是 Token
HttpClient获取Cookie的两种方式
热门推荐
zhangbinu
05-27 4万+
HttpClient获取Cookie的两种方式: DefaultHttpClient、CloseableHttpClient.
基于 Token 的身份验证
zbuger的博客
06-08 1504
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统身份验证的方法 HTTP 是一种没
《干货系列》_相关基础_用户认证Cookie、Session、Token、JWT)
weixin_40283296的博客
07-10 220
1.认证 通俗地讲就是验证当前用户的身份 2.授权 用户授予第三方应用访问该用户某些资源的权限 3.凭证 实现认证和授权的前提是需要一种媒介(证书) 来标记访问者的身份 4.Cookie cookie 存储在客户端: cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。 cookie 是不可跨域的: 每个 cookie都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。
Cookies 欺骗权限
FeiJiXiong的专栏
09-27 725
一、攻击原理 Cookies 欺骗主要利用当前网络上一些用户管理系统将用户登录信息储存在 Cookies 中这一不安全的做法进行攻击,其攻击方法相对于 SQL 注入漏洞等漏洞来说相对要“困难”一些,但还是很“傻瓜”。 我们知道,一般的基于 Cookies 的用户系统至少会在 Cookies 中储存两个变量:username 和 userlevel,其中 username 为用户名,而 user
用Python建设企业认证权限控制平台
weixin_37478507的博客
12-20 725
目前大家对Python的了解更多来源是数据分析、Ai、运维工具开发,在行业中使用Python进行web开发,同样也是非常受欢迎的,例如:FaceBook,豆瓣,知乎,饿了么等等,本文主要是介绍是利用Python进行web开发企业统一用户认证权限控制平台,提供用户管理、认证权限接入的能力,避免各个系统重复建设造成资源的浪费。如果本文对你在python的进阶中有帮助,...
cookie session token的区别
08-18
Cookie和Session不同,Token不需要在服务器端保存任何用户信息,服务器只需通过解密Token来验证用户的身份和权限,从而实现跨越多个服务的认证和授权。 总的来说,Cookie是在客户端中保存状态的机制,Session是在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值