asp.net session 如何知道是哪个浏览器客户端_从session、cookie到token及JWT

最新推荐文章于 2024-02-01 13:43:51 发布
最新推荐文章于 2024-02-01 13:43:51 发布
阅读量174 收藏
点赞数 1
文章标签: asp.net session 如何知道是哪个浏览器客户端 cookie session token区别 cookie token 和 session 的区别 cookie登陆 jquery页面跳转带cookie json web token没有哪个成分

相信每一个做过web开发的人,都或多或少用过或者听说过session、cookie,以及token以及JWT。有时候感觉很困惑,仿佛都是差不多的东西,这里就简单的对这几个概念做一个阐述。

首先必须要知道的是:

http协议是无状态的

什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系,互不相识的。这种无状态的好处是快速,而坏处可想而知:用户发起登陆请求,成功后,发起另一个页面跳转请求,但因为无状态,服务器并不知道这个用户是不是已经登录过了,因此就只能再把这个请求重定向到登陆页面。

这样用户就疯了,破系统怎么一直让我登录。

session和cookie

所以,前辈们就想了一个办法,在第一次登录后,在服务器端产生一个会话id(sessionId),记录一下用户及其状态。然后把sessionId返回给浏览器。浏览器将这个sessionId记录到cookie里,之后的请求再把它带上。这样服务器从请求中拿到cookie里的sessionId,然后到自己的存储(一般是用redis)里查一下,得到用户的状态。接下来就可以畅通无阻了。

总之,

  1. session是服务器端,cookie是浏览器端(用户端)

  2. cookie只是实现session的其中一种方案。虽然是最常用的,但并不是唯一的方法。禁用cookie后还有其他方法存储,比如放在url中

  3. 现在大多都是Session + Cookie,但是只用session不用cookie,或是只用cookie,不用session在理论上都可以保持会话状态。可是实际中因为多种原因,一般不会单独使用

  4. 用session只需要在客户端保存一个id,实际上大量数据都是保存在服务端。如果全部用cookie,数据量大的时候客户端是没有那么多空间。

  5. 如果只用cookie不用session,那么账户信息全部保存在客户端,一旦被劫持,全部信息都会泄露。并且客户端数据量变大,网络传输的数据量也会变大

  6. 如果后端服务是分布式部署,session一般统一放在redis集群中。这样有个问题就是一旦redis故障,可能会影响所有的用户请求。

小结

简而言之, session 有如用户信息档案表, 里面包含了用户的认证信息和登录状态等信息. 而 cookie 就是用户通行证

所以,在后台进行session的存储和运维这件事是非常重要和危险的,对可靠性的要求极其高。

那么,我们有没有可能不存储session呢?

token

其实是可以的。这样来一步步思考:

  1. 如果我们把所有信息全部放在cookie里,那么只要cookie将用户的id和状态给服务器传过去就可以了。

  2. 但是这样非常危险。用户可以随意伪造cookie,并且也容易被劫持

  3. 所以,问题变成了,怎么确保安全性?

  4. 答案就是做签名。在用户第一次登录时,服务端使用例如SHA256的算法对数据行加密。得到的加密结果,就称之为token。

29ea0dc9e03b0a282fbff30e7f2da27d.png

之后每一次请求,浏览器都把加密后的token带过来,服务器再使用相同的算法对数据进行一次加密,比较两次加密的结果,相等即为验证通过。

ade1bcaf9ad0ec93f003cd145356ffc9.png

因为私钥只有服务器知道。所以用户过来的请求是无法伪造的。

这样一来,服务器不需要再费力的保存session数据。即使流量大增,只要增加服务器即可。

token的优势:

  • 无状态、可扩展

  • 支持移动设备(移动设备是没有cookie的)

  • 跨程序调用

  • 安全

JWT

既然token这么好,那我们怎么更加方便的使用呢?

JWT全称是JSON Web Token。是token的一种解决方案,从名字可以看出是使用JSON格式传输token

JWT 由 3 部分构成:

  1. Header :描述 JWT 的元数据。定义了生成签名的算法以及 Token 的类型。

  2. Payload(负载):用来存放实际需要传递的数据

  3. Signature(签名):服务器通过Payload、Header和一个密钥(secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。

流程:

在基于 Token 进行身份验证的的应用程序中,用户首次成功登录后,服务器通过Payload、Header和一个密钥(secret)创建令牌(Token)并将 Token 发送给客户端,

客户端将收到的 Token 保存在 Cookie 或者 localStorage 中,之后客户端发出的所有请求都会携带这个令牌。而为了能顺利实现跨域跨域,建议最好把它放在 HTTP Header 的 Authorization字段中:Authorization: 你的Token。

5b3429378dbbcb09a08e14dffe4977b7.png

总结

  • session存储于服务器,可以理解为一个状态列表,拥有一个唯一识别符号sessionId,通常存放于cookie中。服务器收到cookie后解析出sessionId,再去session列表中查找,才能找到相应session。依赖cookie

  • cookie类似一个令牌,装有sessionId,存储在客户端,浏览器通常会自动添加。

  • token也类似一个令牌,无状态,用户信息都被加密到token中,服务器收到token后解密就可知道是哪个用户。需要开发者手动添加。

  • jwt只是一个跨域认证的方案

补充:

JWT 与 Oauth2.0

Oauth 2.0 是一种授权机制,用来授权第三方应用,获取用户数据,它与 JWT 其实并不是一个层面的东西。Oauth2.0 是一个方便的第三方授权规范,而 JWT 是一个 token 结构规范。只是 JWT 常用来登陆鉴权,而 Oauth2.0 在授权时也涉及到了登陆,所以就比较容易搞混。

如果看懂了,给个赞吗?比心237e396dddbbe2043ef380e7e8805dd5.png

weixin_39731271
关注
Cookie,sessiontoken的机制详解及区别
qq_37635012的博客
04-09 7044
很多时候笔试题就有这道题,Cookie,sessiontoken区别是什么?什么场景适用于Cookie?什么场景适用于session?今天,我们一起来学习一下。 Cookie 由于HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了CookieCookie实际上是一-小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,服务端就使用...
jsessionid和jwt_SessionCookieToken 【浅谈三者之间的那点事】
weixin_39754603的博客
12-21 879
CookieSessionHTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP 的无状态特性。Session 是什么客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,存储结构为ConcurrentHashMap。Se...
手动生成token_如何生成token(JWTToken)
weixin_39770592的博客
12-19 1201
主要代码1 //JWT 默认过期时间,3600L,单位秒2 Long expireSecond = 3600L;3 //盐值4 String newSalt = 666;5 String token =JwtUtil.generateToken(user.getUsername(), newSalt,6 ...
分布式session解决方案 — — JWT(生成token
weixin_45565886的博客
08-27 1273
分布式session解决方案 — — JWT(生成token
java http token_java中sessiontoken以及token实现
weixin_39880301的博客
02-16 642
session:会话由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid发送到客...
tokensession
流浪的python(QQ796245415)的博客
11-14 711
在做接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession区别还是一知半解。 传统身份验证 HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。 解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
3. **JWT存储**:客户端收到JWT后,将其存储在本地,如Cookie或LocalStorage中,而不是使用Session。 4. **请求授权**:每当客户端需要访问受保护的资源时,都会在HTTP请求的Authorization头中附加JWT。服务器通过...
ASP.NET编程知识】asp.net基于JWTweb api身份验证及跨域调用实践.docx
05-18
在身份验证方面,传统的基于CookieSession ID的做法面临着跨域提交Cookie的问题,于是Json Web TokenJWT)成为了一种不错的身份验证及授权方案。 在本文中,我们将编写一个基于JWT进行身份验证的ASP.NET Web ...
ASP.NET编程知识】ASP.NET Core学习之使用JWT认证授权详解.docx
05-15
ASP.NET Core 中,使用 JWTJSON Web Token)认证授权是一种常见的身份验证方式。本文将详细介绍 JWT 的优势和劣势,以及在 ASP.NET Core 中如何集成 JWT 认证。 认证和授权 认证是指识别用户是否合法的过程,...
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 4030
Cookie Session Token讲解及用法
登录后在sessionStorage中添加token的值,退出后清空
简析的博客
06-27 5334
登录后在sessionStorage中添加token的值,退出后清空 localStorage 和 sessionStorage 属性允许在浏览器中存储 key/value 对的数据。 sessionStorage 用于临时保存同一窗口(或标签页)的数据,在关闭窗口或标签页之后将会删除这些数据。 语法 window.sessionStorage 保存数据语法: sessionSto...
再讲 SessionToken,彻底弄明白
最新发布
朱雀随云记的博客
02-01 1922
在构建用户身份管理系统时,选择会话(Session)还是令牌(Token)是一个关键决策,取决于系统的需求和特定的使用场景。本文将深入探讨何时适合使用会话,何时适合使用令牌,以帮助开发人员在实际应用中做出明智的选择。众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器,服务器它无法感知是不是同一用户的请求,于是就有了Session机制。Session机制是一种在Web开发中用于跟踪用户状态的机制。
浏览器控制台修改Token
henghi的博客
01-31 1901
1.document。
JWT令牌如何将令牌token转换为登录者的信息的?
ykyangkun的博客
03-11 1382
SpringMVC中HandlerMethodArgumentResolver的作用及实践
token 生成有哪几种常用方式_什么是token
热门推荐
weixin_35870469的博客
01-26 1万+
对于初学者来说,对TokenSession的使用难免会限于困境,开发过程中知道有这个东西,但却不知道为什么要用他?更不知道其原理,今天我就大家一起分析分析这东西。 一、我们先解释一下他的含义:1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。2、Toke...
token以及session
weixin_64105376的博客
09-13 1048
cookiesessiontoken
cookie获取token
qq_40994418的博客
09-08 3780
其中name 就是存入cookie中的key值 原文链接
【解决】在Chrome浏览器Cookies内,给项目手动添加token,会报红且无法保存
huangfuyk.的博客
03-05 4948
问题: 在Chrome浏览器Cookies内给项目手动添加token时,发现无法添加成功,示例如下: 解决: 打开Chrome浏览器,访问地址chrome://flags,然后搜索Partitioned 将Partitioned cookies设置项改为Enabled 右下角一键或手动重启浏览器,使更改生效 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值