Session验证用户登录的大致过程

最新推荐文章于 2023-05-25 06:07:34 发布
最新推荐文章于 2023-05-25 06:07:34 发布
阅读量1.8k 收藏 2
点赞数 2
分类专栏: 大前端
原文链接:https://my.oschina.net/wangch5453/blog/3000258
版权

 

1. 用户提交包含用户名和密码的表单,发送HTTP请求。

2. 服务器验证用户发来的用户名密码。

3. 如果正确则把当前用户名(通常是用户对象)存储到redis中,并生成它在redis中的ID。 这个ID称为Session ID,通过Session ID可以从Redis中取出对应的用户对象, 敏感数据(比如authed=true)都存储在这个用户对象中。

4. 设置Cookie为sessionId=xxxxxx|checksum并发送HTTP响应, 仍然为每一项Cookie都设置签名。

 

 signedCookie

计算机领域有个名词叫 签名,专业点说,叫 信息摘要算法。

比如,我们现在面临着一个菜鸟开发的网站,他用 cookie 来记录登陆的用户凭证。相应的 cookie 长这样:dotcom_user=alsotang,它说明现在的用户是 alsotang 这个用户。如果我在浏览器中装个插件,把它改成dotcom_user=ricardo,服务器一读取,就会误认为我是 ricardo。然后我就可以进行 ricardo 才能进行的操作了。

之前 web 开发不成熟的时候,用这招甚至可以黑个网站下来,把 cookie 改成 dotcom_user=admin 就行了。

现在是怎么保证不被篡改呢?答案很简单,签个名。

假设我的服务器有个秘密字符串,是 this_is_my_secret_and_fuck_you_all,我为用户 cookie 的 dotcom_user 字段设置了个值 alsotang。cookie 本应是{dotcom_user: 'alsotang'}这样的。

而如果我们签个名,比如把 dotcom_user 的值跟我的 secret_string 做个sha1sha1('this_is_my_secret_and_fuck_you_all' + 'alsotang') === '4850a42e3bc0d39c978770392cbd8dc2923e3d1d'

然后把 cookie 变成这样

{   dotcom_user: 'alsotang',  'dotcom_user.sig': '4850a42e3bc0d39c978770392cbd8dc2923e3d1d', }

这样一来,用户就没法伪造信息了。一旦它更改了 cookie 中的信息,则服务器会发现 hash 校验的不一致。

毕竟他不懂我们的 secret_string 是什么,而暴力破解哈希值的成本太高。 

 

5. 用户收到HTTP响应后,便看不到任何敏感数据了。在此后的请求中发送该Cookie给服务器。

6. 服务器收到此后的HTTP请求后,发现Cookie中有SessionID,进行防篡改验证。

7. 如果通过了验证,根据该ID从Redis中取出对应的用户对象, 查看该对象的状态并继续执行业务逻辑。

下面是写的demo代码,可以跑起来,但是记得安装redis

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
    <script src="./lib/jquery-3.3.1.js"></script>
</head>

<body>
    <!-- <form> -->
    <label for="user">用户名:</label>
    <input type="text" id="user" value="">
    <label for="pwd">密码:</label>
    <input type="password" id="pwd" value="">
    <button id="confirm">确定</button>
    <!-- </form> -->
    <script>
        var user = document.getElementById('user')
        var pwd = document.getElementById('pwd')
        user.addEventListener('change', function (e) {
            user.value = e.target.value
        })
        pwd.addEventListener('change', function (e) {
            pwd.value = e.target.value
        })
        document.getElementById('confirm').addEventListener('click', function (event) {
            $.ajax({
                type: "POST",
                url: "/login",
                data: {
                    name: user.value,
                    password: pwd.value
                },
                success: function (data) {
                    console.log(data)
                    if (data.ret_code === 0) {
                        window.location.href = '/home'
                    }
                }
            });
        })
    </script>
</body>

</html>

 node index.js

const express = require('express');
const session = require('express-session');
const redis = require('redis');
const RedisStore = require('connect-redis')(session);
const cookieParser = require('cookie-parser');
const static = require('express-static')
const bodyParser = require('body-parser');
const path = require('path');
const app = express();

const secret = "wang111";
const sessionName = 'session_id';
var users = require('./user').items;
var findUser = function (name, password) {
  return users.find(function (item) {
    return item.name === name && item.password === password;
  });
};

app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use('/lib', static(__dirname + '/lib'));
// 设置 Cookie
app.use(cookieParser());
// 设置 Session
app.use(session({
  secret: secret,
  //重新保存:强制会话保存即使是未修改的。默认为true但是得写上
  resave: true,
  //强制“未初始化”的会话保存到存储
  saveUninitialized: false,
  name: sessionName,
  cookie: { maxAge: 60 * 60 * 24 * 1 },
  store: new RedisStore({ // redis-server etc/redis.conf  redis-cli
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
    ttl: 60 * 60 * 24 * 1, //session的有效期为1天(秒)
  })
}));

app.get('/', function (req, res) {
  if (req.session.login) {
    res.redirect('/home');
  }
  res.sendFile('index.html', {
    root: path.join(__dirname, ''),
  });
});

app.post("/login", function (req, res) {
  var userExist = findUser(req.body.name, req.body.password);
  if (userExist) {
    req.session.user = req.body.name;
    req.session.login = true;
    res.json({ ret_code: 0, ret_msg: '登录成功' });
  } else {
    res.json({ ret_code: 1, ret_msg: '账号或密码错误' });
  }
});

app.get('/home', function (req, res) {
  res.sendFile('home.html', {
    root: path.join(__dirname, ''),
  });
});

app.get('/logout', function(req, res){
  req.session.destroy();
  res.redirect('/');
})

app.listen(9080);

node user.js

module.exports = {
    items: [
        {name: 'wang', password: '123'}
    ]
};
sanly_shi
关注
专栏目录
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
Cookie登录和sessionID登录等内容
最新发布
远方雪的专栏
09-28 808
Cookies是服务器发送到用户浏览器并存储在本地的一小块数据。登录后,服务器通常会设置一个包含会话信息的Cookie,以便在后续的请求中识别用户。因此,通过在爬虫中携带这些Cookies,可以模拟已登录的用户状态,避免每次都进行登录操作。Session ID是服务器生成的唯一标识符,用于标识用户会话。当用户登录后,服务器会分配一个Session ID,并通过Cookies传递给客户端。爬虫可以通过在请求头中携带此Session ID来维持登录状态。
session实现用户验证码登录
lyu2019的博客
05-18 4746
session实现用户验证码登录
基于Session进行登录校验
abc123mma的博客
10-23 2335
黑马点评项目,基于Session进行登录校验
session验证用户是否登录.
weixin_799847245的博客
07-02 1万+
好久没有写了,今天分享一下登录验证 首先创建一个类继承Filter 下面是拦截器的代码 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.Servle...
Express + Session 实现登录验证功能
08-29
在 Express 框架中,使用 Session 来实现用户登录身份验证的流程大致如下: 1. 客户端在未登录的状态下请求主页时,服务器将该请求重定向到登录页面。 2. 客户端在登录后,服务器需要记录保存该客户端的登录状态,...
PHP+Ajax验证验证用户登录
10-21
PHP+Ajax验证验证用户登录是一个结合了PHP后端脚本和Ajax前端技术的用户登录验证方案。该方案的主要优势在于登录过程无需进行页面刷新,同时结合验证码的使用增强了登录的安全性。在本文中,我们将会介绍三个核心...
javaweb用户验证码登录session例子
10-04
在Java Web开发中,用户登录验证是不可或缺的一部分,而在这个"javaweb用户验证码登录session例子"中,我们将深入探讨如何结合验证码、用户密码以及Session技术来实现安全的登录过程Session是Web应用中用于跟踪...
用户登陆验证流程讲解,涉及session,cookie,token,action等概念
12-12
前端登陆验证的流程大致如下: 1前端输入用户名密码给后端 2后端根据userid,密钥,过期时间,HS256算法生成token返给前端 3前端将token存入cookie或sessionstorage,localstorage 4....
php session应用实例--登录验证
遇见_缘
02-26 782
<br /> <br /><br /> <html>  <head>  <title>Login</title>  <meta http-equiv="Content-Type" content="text/html; charset=gb2312">  </head>    <body>  <form name="form1" method="post" action="login.php">    <table width="300" border="0" align="center" cellpadd
session应用:验证用户是否已登录
weixin_30757793的博客
07-21 630
node.js中使用session实现:验证用户是否已登录功能并维持用户的在线状态。 目的:用户必须登录才能进入商品页面和购物车页面,如果不经过登录就访问商品页面会拦截并自动跳转到登录页面。 用户登录后流程: 用户未登录流程: 为什么要用session:Http协议是无状态的,也就导致服务器无法分辨是谁浏览了网页。为了维持用户在网站的状态,比如登陆、购物车等,...
基于Session实现登录流程
Aubrey5的博客
03-15 1276
基于Session实现登录流程
使用Session验证用户登录
必达辰龙
01-05 1万+
//在ASP.NET中,利用Session对象验证用户是否登录都方法很简单,如例子中,当用户安全登录时,可以利用如下代码保存用户都登录名,并跳转到Login.aspx中。if(txtName.Text == "accp" && txtPassword.Text == "accp"){ Session["UserName"] = txtName.Text.Trim(); Response.Red
黑马Redis视频教程实战篇(一)
qq_38196449的博客
05-25 1093
在这个方案中,他确实可以使用对应路径的拦截,同时刷新登录token令牌的存活时间,但是现在这个拦截器他只是拦截需要被拦截的路径,假设当前用户访问了一些不需要拦截的路径,那么这个拦截器就不会生效,所以此时令牌刷新的动作实际上就不会执行,所以这个方案他是存在问题的。也就是说,当用户操作拦截器配置的一些路径功能时,确实会保证刷新token,不会给你退出,但是你却避免不了用户操作的是拦截器没有配置的路径功能,比如首页、商户的详情页,这些页都是不用登录就能看的,这时用户也在操作,但你却给他退出了。
Session实现验证码登录
SvampireS的博客
11-13 623
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html>
使用Session和Cookie做登录验证
java开发学习积累
04-06 1万+
1 背景 作为“自学成才”的野路子程序员,一直忙于CRUD,没有系统地学习CS基础知识,导致面试的时候屡屡被CS专业的同学diss,于是乎知耻而后勇,认认真真地补习基础知识,这篇博客就来学习、总结下啥是Cookie、啥是Session。 以前看过面试宝典,只知道Cookie是保存在客户端、Session保存在服务端,除此之外一无所知,直到昨天晚上躺在床上辗转反侧、思绪万千,看了一篇关于单点...
Session,判断用户是否登录
热门推荐
猫老爷
06-28 1万+
开发工具与关键技术:VSSession作者:听民谣的老猫撰写时间:2019/6/2018:15 页面上很多的操作都需要用户登录才能进行或者只有用户登录才能进入主页面,那怎么判断用户的登录状态??? 我这判断用户登录状态是页面启动时就去Session中拿数据,如果拿的到数据的话try{}catch{}就捕获不到异常,如果try{}catch{}捕获到了异常就证明用...
PHP用户注册与登录管理系统功能介绍
- login_go.php:该文件可能是用户登录过程的入口文件或控制器,负责处理用户提交的登录信息。 - signup.php:该文件很可能是用户注册表单的前端页面,提供用户输入注册信息的界面。 - login_off.php:该文件可能是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值