服务端鉴权之Session/Cookie

最新推荐文章于 2024-08-22 17:02:09 发布
最新推荐文章于 2024-08-22 17:02:09 发布
阅读量535 收藏
点赞数
分类专栏: node 文章标签: nodejs redis session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40970987/article/details/109556157
版权

文章目录

Cookie

cookie原理
服务端在Header Set-Cookie,然后客户端会自动存取下来(cookie中可以看到)
下次请求,请求头会携带cookie传给后端

const http = require('http')
http
    .createServer((req,res)=>{
        if(req.url === '/favicon.ico'){
            res.end('')
            return
        }
        //观察cookie存在
        console.log('cookie:',req.headers.cookie)
        //设置cookie
        res.setHeader('Set-Cookie','cookie1=aaa')
        res.end('hello cookie')
    })
    .listen(3000)

存储在客户端
在这里插入图片描述
传送到服务端
在这里插入图片描述

cookie缺点

  1. 不安全,能在客户端看到(明文),可能被篡改(document.cookie = …)
  2. 容量限制,只能存很小的数据
  3. 不能存实例

因为有上面的缺点,不适合做鉴权,需要用session来配合

Session

session原理
浏览器首次访问,生成uid保存在服务端session中,且将uid存储于cookie
下次访问,根据uid对请求进行认证

const http = require('http')
const session = {}
http
    .createServer((req,res)=>{
        //观察cookie是否存在
        console.log('cookie',req.headers.cookie)
        //存储一对键值对
        const sessionKey = 'uid'
        const cookie = req.headers.cookie
        if(cookie&&cookie.indexOf(sessionKey)!=-1){
            //下次访问
            res.end('Come Back')
            //使用正则解析是否存在之前的cookie
            const pattern = new RegExp(`${sessionKey}=([^;]+);?\s*`)
            const uid = pattern.exec(cookie)[1]
            console.log('session',uid,session,session[uid])
        }else{
            //第一次访问
            //设置键值对的值,用你需要的规则,这儿用随机数代替
            const uid = (Math.random()*9999999999).toFixed()
            res.setHeader('Set-Cookie',`${sessionKey}=${uid};`)
            //真正的数据
            session[uid] = {name:'admin'}
            res.end('hello admin')
        }
        res.end('hello session') 
    })
    .listen(3000)

在这里插入图片描述
在这里插入图片描述

session优点

  1. 浏览器只存了一个编号或加密串,很难推定
  2. 真正的数据,存储于服务端,安全可存实例又无容量限制,可进行鉴权

Koa中实现Session

通过koa-session中间件来实现

const koa = require('koa')
const app = new koa()
const session = require('koa-session')
//签名key keys作用 用来对cookie进行签名
app.keys = ['some secret']
//配置项
const SESS_CONFIG = {
    key: "sess", //cookie链名
    maxAge: 86400000, // 有效期,默认一天
    httpOnly: true, // 只能用于http传输,仅服务器修改,提高安全性
    signed: true // 签名cookie,如秘钥
}
//注册
app.use(session(SESS_CONFIG, app))
//测试
app.use(ctx => {
    if(ctx.path === '/favicon.ico') return
    //获取
    let n = ctx.session.count || 0
    //设置
    ctx.session.count = ++n
    ctx.body = '第'+n+'次访问'
})
app.listen(3000)

在这里插入图片描述

上面的session存储于变量(内存)中,可能会遇到下面的一些问题

  1. 内存容量不足
  2. 无法满足横向扩展(node配置于多台服务器,无法保证下次进来还是上一台服务器)

所以通常情况下需要将session进行全局存储,一般将其存在redis中

redis存储session

redis介绍
一个高性能的key-value数据库
redis缓存产品的三个特点

  • 支持数据持久化,可以将内存中的数据保存在磁盘中,重启的适合可以再次加载进行使用
  • 不仅支持简单的key-value类型的数据,同时还提供list、set、zset、hash等数据结构的存储
  • 支持数据的备份,即master-slave模式的数据备份
    redis优势
  • 性能极高,由C语言编写,能读的速度是110000次/s,写的速度是81000次/s
  • 丰富的数据类型,支持二进制案例的Strings、Lists、Hashes、Sets及Ordered Sets数据类型操作
  • 所有操作都是原子性的,即要么成功执行要么失败完全不执行。单个操作是原子性的,多个操作也支持事务,通过MULTI和EXEC指令包起来
  • 丰富的特性,支持publish/subscribe,通知,key过期等特性
    redis使用
    1、github下载
    2、解压改名为redis
    3、reids-server启动
    redis测试
const redis = require('redis')
//连接redis
const client = redis.createClient(6379,'localhost')
//使用事件发射器,检测错误
client.on("error", function (err) {
    console.log("Error " + err);
});
//设置
client.set('key','value')
//拿取
client.get('key',(err,v)=>{
    if(err) throw err;
    console.log('redis get ', v)
})

如果报下面的错误,则表示reids-server未启动
Error Error: Redis connection to localhost:6379 failed - connect ECONNREFUSED 127.0.0.1:6379

koa-redis使用
安装
npm i -S koa-redis

const koa = require('koa')
const app = new koa()
const session = require('koa-session')
const redisStore = require('koa-redis')
const redis = require('redis')
const redisClient = redis.createClient(6379,'localhost')
const wrapper = require('co-redis')
const client = wrapper(redisClient)
//签名key keys作用 用来对cookie进行签名
app.keys = ['some secret']
//配置项
const SESS_CONFIG = {
    key: "sess", //cookie链名
    maxAge: 86400000, // 有效期,默认一天
    httpOnly: true, // 仅服务器修改
    signed: true, // 签名cookie
    store: redisStore({client}) // 指定存储则会按照你要求的去存储,否则会默认存储到内存中
}
//注册
app.use(session(SESS_CONFIG, app))
app.use(async (ctx,next) => {
    const keys = await client.keys('*')
    keys.forEach(async key => console.log(await client.get(key)))
    await next()
})
//测试
app.use(ctx => {
    if(ctx.path === '/favicon.ico') return
    //获取
    let n = ctx.session.count || 0
    //设置
    ctx.session.count = ++n
    ctx.body = '第'+n+'次访问'
})
app.listen(3000)

在这里插入图片描述

session/cookie鉴权的缺点

1、服务端有状态,需要去进行相关存储,若服务器断了,就会刷新内存,重连之后下次请求就会出现问题
2、基于cookie传送,cookie是基于浏览器的,不够灵活。如APP、跨域等其他情况会受限

star-1331
关注
专栏目录
Basic Auth认证, Session/Cookie认证,JWT Token认证使用场景和优缺点分析
qq_33101689的博客
08-21 3637
Session/Cookie认证, Basic Auth认证, Token认证使用场景和优缺点分析 一. 为什么要授权认证 二. 传统Session/Cookie认证 三. Basic Auth 四. jwt token认证 四. 总结 一. 为什
鉴权大全(cookiesession、token、jwt、单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1485
鉴权大全(cookiesession、token、jwt、单点登录),深入理解和搞懂鉴权
Session-server:Session 鉴权服务
05-07
鉴权server 后端代码部分 相关技术: Koa Redis Cookie 相关设想分享 前端授权逻辑: 前端登陆,服务端返回cookie,颁发token, 有一个接口专门用来处理这个事情,也就是session服务, 前端在其他接口访问的时候将这个token作为authorize头部带给后端校验 cookie用户前端session拿token服务,前端不存取其他用户信息 后端校验,cookie如果存在,token也存在,对得上号,放行,那么假使此时token过期了,再给用户重发一个新的token 数据库vkey在登陆的时候塞回用户cookie,作为access token接口的唯一凭据,如果这玩意过期了或者不对,就定向登陆 cookie服务端比对vkey的时候,查一次,然后这玩意存redis,再设定一段期限,这样频繁访问的时候稳妥一点 流程: 前端登陆 --> (账号密码) --> 颁
Session鉴权【登录】
qq_44182694的博客
03-19 870
我们经常会遇到去一个网站,当你执行一个操作的时候需要登录 那么网站或者app是如何获知我们是否登录的呢? 今天介绍一个比较经典的方法 httpsession Session在HttpServletRequest request //serivce层 //将之前mapper层的注入过来 @Autowried private SysUserService sysusermapper; public Returndata login(Sysuser user,HttpServletRequest reques
sessioncookie、token概念介绍
最新发布
liangkk的博客
08-22 1180
维持用户的登录状态信息是互联网应用程序中的一个核心功能,它确保了用户在登录后能够持续享受应用程序提供的各项服务,而无需在每次请求时都重新进行身份验证。这一过程经历了从简单的会话管理到更复杂的令牌(Token)机制的发展
CookieSession鉴权
m0_47127594的博客
06-09 394
01—引言作为一个测试工程师,做接口自动化时,难免会遇到接口之间的关联以及登录接口等,所以了解cookiesession、token是必备的,下面这篇文章来给大家简单介绍Cookie和S...
Cookie,Session,Token的鉴权方式
qq_55817438的博客
05-29 682
简述Cookie,Session,Token的鉴权方式
前后端鉴权Session-Cookie
zyooooxie的博客
12-28 438
Session-Cookie 认证
鉴权 5 兄弟:cookiesession、token、jwt、单点登录,终于有人说清楚了
python6_quanzhan的博客
01-19 324
作者:Henrylulu 来源:juejin.cn/post/6898630134530752520 本文你将看到: 基于 HTTP 的前端鉴权背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,如何进行编码和防篡改?jwt 是做什么的?refresh token 的实现和意义 session 和 token 有什么异同和优缺点 单点登录是什么?实现思路和在浏览器下的处理 从状态说起 「
session和token鉴权方式
weixin_40611700的博客
10-19 1181
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
接口鉴权cookiesession和token
weixin_40819504的博客
03-12 1011
什么是接口鉴权鉴权就是鉴定权限。在公司开发的一些系统中都会有权限的鉴定。不管是app还是网站的项目,都会有登录模块,而只要有登录模块,他有一些功能,肯定是必须要登录之后才能完成了。比如你在淘宝下单的时候,肯定是要登录的。你每次去做下单的时候,他其实每一次都会去检测你这个用户的信息,是否有效的。所以鉴权是接口每次被调用的时候,都需要做一个事情。而我们需要写一些代码或者是通过一些工具,postma...
node.js使用redis储存session的方法
01-02
转储session的原因 网上有许多session需要用数据库储存的原因,对我来说原因很简单,仅仅只是node的生产环境不允许将session存到服务器的内存中。会报一个内存溢出的风险警告。所以我决定将session转储到数据库中。而用于存储session的方案有许多,这里由于本人比较菜,所以选择了主流的redis来保存我的session状态 安装redis 首先既然要使用redis,那么第一步当然是将redis安装到服务器上,服务器一般都是linux的操作系统。 所以下面是linux的安装步骤 1.进入官网下载redis 2.将下载好的文件通过xftp上传到服务器并进行安装 这里我将安装
redis-cookie-store:Redis商店用于艰难的Cookie模块
05-02
Redis Cookie商店 Redis商店,用于存储艰难的Cookie模块。 有关更多信息,请参见。 安装 npm install --save redis-cookie-store 选项 client端通常从redis.createClient()获取的现有redis客户端对象 id每个Redis商店的可选ID,以便我们可以将多个商店与相同的Redis数据库一起使用[默认: 'default'] 用法 const redis = require ( 'redis' ) ; const { CookieJar } = require ( 'tough-cookie' ) ; const RedisCookieStore = require ( 'redis-cookie-store' ) ; const client = redis . createClient ( ) ; const
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2848
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSession和Token三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSession、Token鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
登录功能-鉴权-session
qq_33879443的博客
12-07 563
1
认证授权——sessioncookie
peanut的博客
07-28 192
文章目录一、sessioncookie的由来(HTTP的无状态性)二、什么是session会话?三、什么是cookie?四、 session工作原理 一、sessioncookie的由来(HTTP的无状态性) 1、很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP请求, 不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就
前端鉴权cookiesession 和 token 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 1931
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
鉴权的基本概念及sessioncookie的入门认识
only_zing的博客
08-29 4021
说到鉴权,应该有很多人不太清楚鉴权是啥,有什么作用,那么这篇文章就先了解一下什么是鉴权,它有哪几种方式,然后对session + cookie有一个入门的了解 鉴权 鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。 常见的鉴权方式 常见的鉴权方式有以下4种方式: 1)HTTP Basic Authentication 2)token (常用的有JWT) 3)session +cookie 4)OAuth
探索Koa-Redis:高效、可靠的Session存储解决方案
gitblog_00096的博客
05-08 563
探索Koa-Redis:高效、可靠的Session存储解决方案 koa-redisRedis storage for Koa session middleware/cache with Sentinel and Cluster support项目地址:https://gitcode.com/gh_mirrors/ko/koa-redis 在构建Web应用程序时,管理用户的会话信息是至关重要的一步...
hyperf websocket服务端鉴权
06-10
对于 Hyperf WebSocket 服务端鉴权,你可以在 onHandShake 方法中进行实现,该方法会在 WebSocket 握手阶段触发。具体实现步骤如下: 1. 在 config/autoload 文件夹下创建一个 auth.php 配置文件,用于存储需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值