cookie登陆_Aspnetcore权限控制设计入门---Cookie 简介

最新推荐文章于 2024-06-07 21:00:00 发布
最新推荐文章于 2024-06-07 21:00:00 发布
阅读量173 收藏
点赞数
文章标签: cookie登陆 cookie超过4k怎么办 只有当cookie设置为“samesite=none”和“secure”时
918220f2f2308aadc5a0dbf0c7ae82b0.png

引言

Cookie是一个漂亮的设计, 是HTTP协议中的重要组成部分, 用于网站保存传送一些网站的附加信息, 随着技术的发展, localstorage, sessionstorage的出现, cookie用的越来越少, 但是因为Cookie的特点, 登陆信息,SessionKey, private consent 还是主要存在于Cookie里面. 因为最近要写一个权限部分的知识, Cookie是绕不过的, 所以先介绍一些Cookie的基本知识. 后续内容会很快写完, 敬请关注我

基本知识

Cookie是一个Key:Value对, 在每次请求一个网址时, 都会随着请求(Request)传送到后台服务器, 后台服务器根据Cookie的不同, 可以做一些对应的处理, 目前主要用于保存用户的登陆Token, 会话Token等等信息, 也可以包括用户的一些设置, 比如显示偏好, 查询记录等等. Cookie的标准是RFC 2109, 希望了解Cookie的规格可以去查看, 不过一般不需要看了, 本文会提及主要内容.

Cookie的主要属性:

  1. Domain 域名(如www.jianshu.com), Cookie是和某一个域名关联的, 在向后台发请求时, 只有对应域名的Cookie会传送过去. 域名包括名字和端口(默认为80).
  2. Expires 过期时间, 超过某个时间后, Cookie会被浏览器自动清除.
  3. HttpOnly 是否允许客户端(也就是浏览器Javascript)访问
  4. MaxAge Cookie最长允许保留时间, 这个和Expires概念不太一样, Expires是一个固定时间, 到了就会清除. MaxAge是时间间隔, 从最后一次设置这个cookie算起, 到了这个间隔就会取消. 一般用于登陆信息的自动失效.
  5. Path cookie可以设置到具体的路径下, 特别是多租户网站, 可以让各个租户的cookie是不一样的. 比如(/MieMengNiao), 当有这个设置的时候, 只有访问这个路径(及子路径) 才会附加到请求上, 发回到后端.
  6. SameSite 用来限制第三方 Cookie,从而减少安全风险, 主要有三个选项, None, Lax, Strict. Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。None就是没限制了.

这个设置主要是为了防止CSRF跨域攻击, 阻绝钓鱼网站窃取你的cookie

  1. Secure 这个是只有HTTPS时, 才会附加cookie,传送到后台. 为了防止中间人攻击, 现在网站一般都会应用SSL, 用HTTPS传输数据.

Cookie 的限制

在RFC2109中规定, 浏览器对于每个域名至少,要支持20个Cookie及以上, 每个Cookie的大小至少4K以上(cookie的大小,包括Key和Value的长度), 目前主流浏览器支持远多于这个限制, 但是不建议超过RFC规定的最低要求. 另外从实践角度, 也不支持太多, 太大的Cookie, 这个会拖慢网站访问速度, 无必要的消耗带宽和服务器资源.

AspNetCore中的Cookie

AspNetCore对于Cookie支持很好(所有的主流框架对cookie支持都很好, 也都差不多, 这个算是基础设施).

在HttpRequest/HttpResponse上都有对应的IRequestCookieCollectionIResponseCookies接口, 可以读取写入cookie.

在Microsoft.AspNetCore.Authentication.Cookies中有一个CookieManager, 可以对Cookie进行简单的添加,删除等操作, 特别是, 它会自动把超长的cookie(超过4K)分拆成多个Cookie, 保证在任何浏览器上都可以正常工作.

其它

因为Cookie并不安全, 主流的浏览器都可以让用户控制是否关闭掉Cookie的功能, 据我的经验, 好像没有人真的关闭Cookie功能, 因为没有Cookie真的不方便.

weixin_39737947
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
课程3:ASP.NET Core 身份验证 - Cookie
成长的足迹
04-19 1262
身份验证在MSDN叫做Authorization,其目的就是验证Http请求,只有验证通过,才能访问特定的资源。 在Asp.Net Core提供非常多的Authorization方式。 在MSDN官方文档,我们也可以看到有以下的验证方式【截图是Asp.Net Core 7.0,各个版本有差异】:今天我们重点来,讲解Cookies验证,这是我们比较经常用到的方式之一。
cookie在flask中的应用、flask-login模块的使用(login_user、@login_required、@login_manager.user_loader)current_user
Null的博客
01-28 2953
1、什么是用户登录 票据有两层意思: 如果用户持有票据 ,我们就认为用户的身份是合法的 我们可以根据票据知道当前用户到底是谁 和身份证的意义是一样的,有身份证才说明你是合法公民,我们也就能知道你到底是谁。 身份证都有一个有效期,那么这个票据也需要有一个有效期 2、服务器用什么样的机制把票据返回到客户端上去,并存储在客户端里的呢? 对于我们的网站而言,服务器是将我们的票据信息写入到c...
详解Asp.Net Core中的Cookies
weixin_34361881的博客
09-08 1101
目录 详解Asp.Net Core中的cookies 搞懂cookies Asp.Net中cookies的实现 从http中获取cookies 将cookies写入http中 总结及感想 详解Asp.Net Core中的cookies 搞懂cookies 我之前写过一篇文章来介绍cookies,如果你对cookies不是很了解请移步理解c...
Asp .Net Core 系列:详解鉴权(身份验证)以及实现 Cookie、JWT、自定义三种鉴权 (含源码解析)
最新发布
程序人生
06-07 1485
定义鉴权,又称身份验证,是确定用户身份的过程。它验证用户提供的凭据(如用户名和密码)是否有效,并据此确认用户是否具备访问系统的权利。过程用户向系统提供凭据(如用户名和密码)。系统使用已注册的身份验证服务(如IAuthenticationService)和身份验证处理程序来验证这些凭据的有效性。如果凭据有效,系统将识别并确认用户的身份,然后用户可以访问系统。方式传统的鉴权方式通常依赖于密码验证,但这种方式存在安全风险,如密码泄露或被盗用。
ASP.NET Core 中 使用 cookies
黑夜中的潜行者
01-02 2431
  cookie 常用于保存用户相关并保存在客户端电脑上的一段数据,在大多数浏览器下,每一个cookie 都会是一个小文件的形式存在,只有 Firefox 例外,它将所有的 cookie 都保存在一个文件中,cookie 是以 key-value 的形式表现的,可以通过这个 key 去 读取,删除,写入 等操作   ASP.NET Core 中使用 cookie 机制来维护 session 状态,在客户端的每一次请求中,server 端都会将 sessionid 放在 cookie 中发送给客户端来.
ASP.NET Core 3.1系列(9)——Cookie的相关操作
HerryDong的博客
04-20 3202
1、前言 Cookie通常用来存储有关用户信息的一条数据,它可以用来标识登录用户,一般存储在客户端的浏览器上。在大多数浏览器中,每个Cookie都被存储为一个小文件,它一般采用键/值对的形式进行描述,因此可以利用键来读取、写入或删除Cookie。下面就来看看如何在ASP.NET Core中进行Cookie设置、读取、删除操作。 2、在Controller中操作Cookie 如果是在Controller中直接操作Cookie,则直接使用如下两个组件即可: HttpContext.Response.Cook
ASPNET-ASPNETCORE Cookie认证(非常重要)
weixin_30444105的博客
07-22 1167
ASPNET-ASPNETCORE Cookie认证 发布间:2019-06-09 02:46:39 一个小插曲 前几天去面了一家公司,跟面试官话不投机,问题犀利,态度傲慢。比如一上场就问你用过IOC框架吗?其实简历上面也有写Autofac、Unity等,我就说了几个Autofac、Unit、CastleWindsor而且自己参考Autofac也实现过轻量级简单的容器,第二句就是你真...
OnlineUsers-Counter-AspNetCore:显示在线用户以两种方式在ASP.NET Core中进行计数(Cookie-SingalR)
05-13
3. 更新Controller:在每个控制器的方法中,添加代码来处理Cookie设置和检查。对于SignalR,你需要创建一个Hub方法,供客户端调用以建立连接。 4. 客户端集成:在JavaScript中,你需要使用 SignalR 的JavaScript...
java获取前端发送的cookie_Response Headers 的 Set-Cookie 前端读取不到 ?
weixin_31956641的博客
02-28 3704
问题描述先看下后台返回的Set-Cookie字段:查看浏览器Cookies:思路发现只有JESSIONID存入到了浏览器Storage中的Cookies。通过比较 Response Headers 中两个 set-cookie字段可以发现字段不同:JSESSIONID:path=/ZTEV-JWT-Token:Max-Age=1800; Expires=Wed, 26-Jun-2019 02:49...
SaoBing-Pro 提交JD_COOKIE工具
向颜
06-12 3348
### 安装SaoBingPro前提> 已在服务器搭建宝塔Linux面板和青龙面板### 安装SaoBingPro并实现提交JD_COOKIE同步青龙1. 安装saobingpro - saobingpro docker 一键安装命令: > `docker run --name saobingpro -p 6705:5099 -d -v saobingpro-db:/app/db --restart unless-stopped saobing/saobingpro:latest` - 注意:安
node之cookie-parser
IT界的一只菜鸟
01-08 1889
文章目录cookie-parser的创建1、安装cookie-parser2、引入cookie-parser3、设置cookie-parser4、使用cookie-parsercookie-parser的清除 cookie-parser的创建 1、安装cookie-parser cnpm install cookie-parser --save 2、引入cookie-parser var cookieParse = require('cookie-parser'); 3、设置cookie-parser
ASPNETCoreCookies:有关如何在ASP.NET Core上使用cookie的视频演示的源代码(葡萄牙语)-How to use the source code
03-24
ASPNETCoreCookies 有关如何在ASP.NET Core上使用cookie的视频演示的源代码(葡萄牙语)
Chrome 将限制 Cookie 最大存储期限!
Yvette Lau的专栏
07-19 2695
今天跟大家分享一个新的消息,Chrome 又对 Cookie 增加了新的限制:「Cookie 的最长使用期限限制为 400 天」我们可以通过两种方式设置 Cookie 的有效期(如果不设置将仅在当前会话有效):Expires:Cookie 的过期的日期和间。Max-Age:Cookie 过期前的秒数。在以前,这两个属性没有任何限制,你就是指定一百年也没啥问题,现在这两个...
设置Cookie最大存活
ynll810282131的博客
05-20 790
Cookie和Session都是由Tomcat自动创建的对象,Cookie的默认最大存活间是 -1 ,即当浏览器关闭Cookie就消失了;Session的默认最大存活间是30分钟。 使用Session进行会话保持,服务器会将“JSESSIONID”打包成一个Cookie发给浏览器,由于Cookie的默认存活间问题,一旦浏览器关闭,会话将会断开,为解决这一问题,可以使用 request....
.netcore入门12:aspnetcorecookie认证之服务端保存认证信息
火焰
02-24 813
环境: .netcore 3.1.1.0 概念说明: Ticket:服务端做过身份认证后会将ClaimsPrincipal和一些属性(有效期、滑动窗口等)组装成ticket。 Cookie:浏览器端保存的数据,服务端将生成的ticket加密后以cookie的形式传送给浏览器。 上篇(.netcore入门11:aspnetcore自带cookie的认证期限分析)讲了cookie的保存和有效期...
.netcore入门10:分析aspnetcore自带的cookie认证原理
火焰
02-22 3861
环境 netcore 3.1.1.0 vs2019 16.4.5 一. Scheme、Claim、ClaimsIdentity、ClaimsPrincipal介绍 Scheme(独立于另外三个):身份认证方案(应用中可以有多个方案,比如:AddCookie(options=>{})表示cookie方案,AddJwtBear(options=>{})表示token方案) Claim...
js cookie设置最大过期间 Infinity
qq_38648458的博客
04-07 1009
https://www.cnblogs.com/surfaces/p/5548999.html
框架下cookie的使用_aspnetcore自带cookie的认证期限分析
06-07
ASP.NET Core中,使用Cookie实现身份验证是非常常见的方式。默认情况下,ASP.NET CoreCookie认证方案会在浏览器关闭自动过期,也就是所谓的“会话Cookie”。这意味着,当用户关闭浏览器Cookie就会被删除,用户需要重新登录才能访问受保护的资源。 如果您需要更长间的认证期限,可以使用以下方式来配置Cookie的过期间: ```csharp services.ConfigureApplicationCookie(options => { options.ExpireTimeSpan = TimeSpan.FromDays(30); }); ``` 这段代码将Cookie的过期设置为30天。您可以根据需要调整这个值。需要注意的是,这个值应该根据您的实际需求进行设置,不要设置过长的间,以免出现安全问题。 除了设置Cookie的过期间外,ASP.NET Core还提供了其他一些配置选项,例如: - Cookie的名称:可以通过`CookieName`选项来设置Cookie的名称。 - Cookie的路径:可以通过`CookiePath`选项来设置Cookie的路径。 - Cookie的域名:可以通过`CookieDomain`选项来设置Cookie的域名。 - Cookie的安全性:可以通过`CookieSecure`选项来设置Cookie的安全性级别。 需要注意的是,这些选项的设置应该根据您的实际需求进行配置,以确保Cookie的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值