身份认证

最新推荐文章于 2023-05-15 14:21:28 发布
最新推荐文章于 2023-05-15 14:21:28 发布
阅读量197 收藏
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42273064/article/details/109082272
版权

文章目录

三种认证方式

  1. HTTP basic认证 :比喻:户籍部门已经给你签发了一张身份证。你每次办事都要带着身份证,后台拿你的身份证去系统上查一下
  2. session:户籍部门给你签发了一张身份证,但只告诉你了身份证号码,没你办事,只要报出你的身份证号码,后台要查一下是否有效
  3. token:户籍部门给你签发了一张有防伪功能的身份证,你每次去办事,只要出示这张证件,它就知道你一定是自己人

HTTP basic认证

  1. 这是一种最基本的认证方法。
  2. 在这种认证方法下,用户每次发送请求时,请求头中都必须携带能通过认证的身份信息。
  3. 其交互过程如下:
  • 开始时,客户端发送未携带身份信息的请求。
  • 服务端返回 401 Unauthorized 状态,并在返回头中说明要用 Basic 方法进行认证: WWW-Authenticate: Basic。
  • 客户端重新发送请求,并将身份信息包含在请求头中: Authorization: Basic aHk6bXlwYXNzd29yZA==。
  • 服务端验证请求头中的身份信息,并相应返回 200 OK 或 403 Forbidden 状态。
  • 之后,客户端每次发送请求都在请求头中携带该身份信息。
  1. 其中传送的身份信息是 : 经 base64 编码后的字串。如本例中的 aHk6bXlwYXNzd29yZA==, 经 base64 解码后为 hy:mypassword。
    • 这种认证方法的优点是简单,容易理解。
  • 缺点有:
    • 不安全:认证身份信息用明文传送,因此需结合 https 使用。
    • 效率低:服务端处理请求时,每次都需要验证身份信息,如用户名和密码。

session认证

  1. 这种认证方法结合了 Session 和 Cookie。服务端将本次会话信息以 Session 对象的形式保存在服务端的内存、数据库或文件系统中,并将对应的 Session 对象 ID 值 SessionID 以 Cookie 形式返回给客户端,SessionID 保存在客户端的 Cookie 中。
  2. 这是一种有状态的认证方法:服务端保存 Session 对象,客户端以 Cookie 形式保存 SessionID。
  3. 其交互过程如下:
  • 客户端在登录页面输入身份信息,如用户名/密码。
  • 服务端验证身份信息,通过后生成一个 Session 对象,保存到服务端,并将 SessionID 值以 Cookie 形式返回给客户端。
  • 客户端将接收到的 SessionID 保存到 Cookie 中,并且之后每次请求都在请求头中携带 SessionID Cookie。
  • 服务端从请求的 Cookie 中获取 SessionID,并查询其对应的 Session 对象,从而获得身份信息。
  • 客户端退出本次会话后,客户端删除 SessionID 的 Cookie,服务端删除 Session 对象。
  • 如果客户端之后要重新登录,需重新生成 Session 对象和 SessionID。
  1. 优点:
  • 较安全:客户端每次请求时无需发送身份信息,只需发送 SessionID。
  • 较高效:服务端无需每次处理请求时都要验证身份信息,只需通过 SessionID 查询 Session 对象。
  1. 缺点:
  • 扩展性差,Session 对象保存在服务端,如果是保存在多个服务器上,有一致性问题,如果保存在单个服务器上,无法适应用户增长。
  • 基于 Cookie 的 SessionID 不能跨域共享,同一用户的多个客户端(如浏览器客户端和 APP)不能共享 SessionId。
  • 基于 Cookie 的 SessionID 易被截获生成 CSRF 攻击。

token认证

  1. 这是一种 SPA 应用和 APP 经常使用的认证方法。它是一种无状态的认证方法。客户端首先将用户信息发送给服务端,服务端根据用户信息+私钥生成一个唯一的 Token 并返回给客户端。Token 只保存在客户端,之后客户端的每个请求头中都携带 Token,而服务端只通过运算(无需查询)来验证用户。
  2. 优点:Token 只保存在客户端,因此不影响服务端扩展性。为用户生成的 Token 可以在多个客户端共用。
  3. 缺点:Token 包含了用户的全部信息,不只是如 SessionID 类似的一个 ID 值,因此会增加每次请求包的大小。目前使用较多的是基于JWT(JSON Web Tokens) 的 Token 认证法。
booth-ZDH
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PowerBI自定义身份验证配置和部署
07-20
PowerBI自定义身份验证配置和部署
【python】接口自动化-Authorization使用
peanut_attack的博客
01-23 4457
这里写自定义目录标题接口自动化-Authorization使用接口信息和工具Authorization用法1Authorization用法2Authorization用法3对比 接口自动化-Authorization使用 整理接口自动化的时候,发现有接口使用了Authorization,整理了下使用方法。 接口信息和工具 工具环境:pyhton3.7,PyCharm,requests 接口信息:普通接口,Method为GET; 特殊点:接口调用时headers中有一个参数 Authorization 值为
c# WebApi之身份验证:Basic基础认证
lwpoor123的博客
11-08 1万+
为什么需要身份认证身份认证是为了提高接口访问的安全性,如果没有身份验证,那么任何匿名用户只要知道服务器的url,就可以随意访问服务器,从而访问或者操作数据库,这会是很恐怖的事。什么是Basic基础认证Basic基础认证是一种简单的用户名、密码验证过程,它的主要原理是加密用户信息,生成票据,每次需要身份验证时将票据带过来验证,实现步骤为: 用户登录,登录成功后将生成的票据返回到前端; 前端登录成功后,
C#进阶系列——WebApi 身份认证解决方案:Basic基础认证
xiao940622699的博客
01-19 973
原文地址:https://www.cnblogs.com/landeanfen/p/5287064.html阅读目录 一、为什么需要身份认证 二、Basic基础认证的原理解析 1、常见的认证方式 2、Basic基础认证原理 三、Basic基础认证的代码示例 1、登录过程 2、/Home/Index主界面 3、WebApiCORS验证部分(重点) 四、优化 1、解决...
selenium&playwright获取网站Authorization鉴权实现伪装requests请求
测试萌萌
05-15 3565
本文已实战为主,如果不熟悉selenium或playwright,建议补充相关知识点:cookie、session、request、headers相关概念selenium:get_log() 获取用户权限信息,打开指定浏览器,免登陆,伪造请求头playwright:类方法-Page,Request,Route,Docs-Authentication,Network其中selenium4与selenium3的操作有一些差异,这里不做研究。
[ASP.NET MVC] 利用自定义的AuthenticationFilter实现Basic认证
weixin_34050389的博客
04-16 142
很多情况下目标Action方法都要求在一个安全上下文中被执行,这里所谓的安全上下文主要指的是当前请求者是一个经过授权的用户。授权的本质就是让用户在他许可的权限范围内做他能够做的事情,授权的前提是请求者是一个经过认证的用户。质询-应答(Chanllenge-Response)”是用户认证采用的一种常用的形式,认证方向被认证方发出质询以要求其提供用于实施认证的用户凭证,而被认证方提供相应的凭证以作为对...
python requests Authorization Bearer验证请求接口
longe20111104的博客
07-28 2796
python requests Authorization Bearer验证请求接口
【转】WebApi 身份认证解决方案:Basic基础认证
sinolover的专栏
11-20 699
参考路径:https://www.cnblogs.com/landeanfen/p/5287064.html 前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要.
Spring Security Config : HttpSecurity安全配置器 AnonymousConfigurer
Details Inside Spring
06-10 1722
概述 介绍 作为一个配置HttpSecurity的SecurityConfigurer,AnonymousConfigurer的配置任务如下 : 配置如下安全过滤器Filter AnonymousAuthenticationFilter 增加了一个AnonymousAuthenticationProvider 其实是增加到了目标HttpSecurity的共享对象Authenticatio...
Spring Security学习笔记
Shawn的个人博客
05-09 1840
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
谷歌身份验证器插件,谷歌身份验证器插件,谷歌身份验证器插件,谷歌身份验证器插件谷歌身份验证器插件
11-29
谷歌浏览器令牌;谷歌浏览器身份验证器;解压即可使用,在谷歌浏览器中更多工具---->扩展程序中,选择加载已解压程序,选择刚刚解压的文件夹,即可加载成功
IFAA物联网身份认证白皮书2018.pdf
12-11
为解决这一问题,互联网金融身份认证联盟(IFAA)基于互联网金融身份认证领域中的经验和积累,将相关技术拓展至物联网身份认证领域,并主要关注以用户为中心的身份认证场景,包括用户与物联网设备直接交互进行身份...
身份验证:通过django进行身份验证
02-22
身份验证:通过django进行身份验证
Asp.Net Core中基于Session的身份验证的实现
10-18
主要介绍了Asp.Net Core中基于Session的身份验证的实现
Spring Security教程
qq_28248897的博客
08-31 3921
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
python web api authorization_验证(Authentication)和授权(Authorization)(一):
weixin_39636707的博客
02-03 657
采用ASP.NET Web API 提供的IAuthenticationFilter和IAuthorizationFilter接口分别实现验证和授权。其中用到IIdentity和IPrincipal接口。IIdentity的具体类型用来标识通过验证的用户身份,由用户凭据(Credential)来创建一个指定名称的用户。接口定义://定义标识对象的基本功能。public interface IIde...
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
SpringSecurity基础教程
我有故人折剑去,斩尽春风不曾归
03-22 1136
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。​ 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Security最简单全面教程(带Demo)
热门推荐
qq_37771475的博客
01-09 5万+
一、Spring Security简介        Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。   Spring Security主要是从两个方面解决安全性问...
springsecurity身份认证
最新发布
04-17
Spring Security是一个功能强大且灵活的身份认证和授权框架,用于保护Java应用程序的安全性。它提供了一套全面的安全性解决方案,包括身份验证、授权、攻击防护等功能。 Spring Security的身份认证功能主要包括以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

booth-ZDH

爪哇一生

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值