登陆验证发展史(cookie认证->session认证->token认证->JWT,单系统登陆->多系统单点登陆)

最新推荐文章于 2022-03-09 13:31:34 发布
最新推荐文章于 2022-03-09 13:31:34 发布
阅读量1.3k 收藏 17
点赞数 7
分类专栏: 日常问题 文章标签: sso jwt session cookie java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42447959/article/details/113246858
版权

登陆验证发展史有两条主线。在服务部署方式层面,早期的Web服务系统简单一般都是单系统,登陆的话就登陆这一个系统就好了,随着系统复杂性越来越高,一个大的系统往往由很多子系统组成,用户使用这个大系统时不可能一个一个地单独去登陆每个小系统,理想的是只要登陆上了这个大系统或者其中的一个小系统,其它所有小系统都不需要再输密码什么的登陆了,直接访问,所以登陆验证就从单系统登陆演进为多系统的单点登陆。而在验证方式层面,经历了cookie认证->session认证->token认证->JWT的发展史。

以单系统登录举例,先从验证方式层面去看:

1.cookie验证

简单介绍一下cookie,cookie其实可以理解成存储在浏览器上的一种数据,里面的数据格式是key-value键值对,数据本质上是保存在终端某个本地文件夹内。cookie不能跨域,浏览器在访问某网站地址时,如果该网址的域有cookie保存在浏览器中,可以携带上对应cookie。谷歌浏览器可以在地址栏中输入chrome://settings/siteData?search=cookie来查看当前浏览器保存的所有cookie,可以看到每个cookie是哪个域下面的。cookie 长度不超过 4KB ,否则会被截掉。每个域名下的cookie数量是有限制的,不同的浏览器默认的数量限制可能不同,ie7之前是20个,ie7之后和Firefox一样都是50个,chrome 和 Safari 没有做硬性限制。

先贴一张cookie认证流程图:

cookie认证的登录超时一般是服务端设置cookie的有效时间。cookie认证特点最大的就是用户信息保存在浏览器,早期互联网环境还比较安全,后来大家发现请求一旦被拦截,被拿到cookie后用户信息就泄露了,然后开始给cookie中的用户信息加密,但这也是治标不治本的方法,只要用户信息是在浏览器,终究是不安全的,最大的问题还是用户信息保存在浏览器的话,服务端不好管理受限太多。而且虽然大部分浏览器都是默认开启cookie存储的,可是万一谁设置了一下不存储cookie呢,那岂不是登录不了系统了。还有就是浏览器一次请求会把对应域中的所有cookie全部带上,可以如果我只需要带有用户信息的cookie用来做验证呢,其他cookie岂不是白白增加了请求包大小,也是带宽的浪费。

可见cookie认证的缺点还是很多的,所以现在的Web应用一般都不用cookie认证了,后来出现了session认证。

2.session认证

session是存储在服务端web容器中,也就是内存里的东西,除非特意删除,生命周期和整个容器一致。里面存储的数据格式也是键值对。当访问服务器否个网页的时候,会在服务器端的内存里开辟一块内存,这块内存就叫session,而这个内存是跟浏览器关联在一起的。这个浏览器指的是浏览器窗口,或者是浏览器的子窗口,意思就是,只允许当前这个session对应的浏览器访问,就算是在同一个机器上新启的浏览器也是无法访问的。而另外一个浏览器也需要记录session的话,就会再启一个属于自己的session。

贴一张session认证的流程图:

 

session认证和cookie认证最大的区别就是用户信息是保存在服务端的,这就大大减少了安全风险,浏览器有的只是去服务端找对应session的sessionId。可以看出session认证还是依赖于cookie机制的,所以除了比cookie安全点外,cookie认证的其他缺点session几乎也都有,比如浏览器设置了不存储cookie就登录不了了,还有一次请求携带多余cookie等问题。session认证还有一个致命的缺点,由于session是占用了服务器内存,随着系统登录用户越来越多,宝贵的内存资源就被会占用很多,这是最大的缺陷,但这一点一般在用户不多的中小Web应用中不用理会。

session认证在集群环境中也是有问题的,比如第一次访问是路由到了节点A然后登陆了,session创建在了节点A上,第二次访问路由到了节点B,虽然通过nginx的反向代理可以解决跨域问题,cookie是可以带过去,但是节点B上面没有session啊,难不成又要登录一遍?解决办法就是利用Spring Session或者自己用Redis做session共享,或者直接在nginx上配置ip_hash,使得同一个ip始终路由到同一个节点。

虽然session仍然有缺陷,但是现在大部分的Web应用还在使用session认证。后来出现了token认证。

3.token认证

token又叫令牌,本质上就是一串无意义的字符串,一般放在请求头里,请求头key一般是"Authorization",当然也可以和服务端约定好自定义成其他的,只要服务端能够从请求头中拿到token就好了。token认证的出现最大的特点就是让登陆认证不再依赖于cookie机制了,将token放在了请求头里,那些由于cookie机制导致的弊端自然就没有了。

贴一张token认证的流程图:

token认证最大的好处就是支持移动设备,因为移动端是不支持cookie的,自然cookie认证和session认证就用不了了。又不依赖cookie机制,用户信息又是服务端管理的,session认证看上去貌似没什么毛病了。但是慢慢的大家发现,怎么每次请求都要用token去数据库中查询用户信息,这样是不是数据库的压力太大了。

由于token是一串无意识的字符串,那能不能让token变得有意义呢,如果token携带了用户信息,不就不需要每次请求都访问数据库查了嘛,从token中直接解析出用户信息以及用户登录状态进行校验,这就是后来的JWT。给浏览器返回的token是一串带着用户信息的字符串,这一点就和最初的cookie认证比较像了。

4.JWT认证

JWT全称是Java  Web  Token。其实就是特殊的token,理解起来就是携带着用户信息的token。所以JWT认证和token认证本质上是一样的,只不过token认证的用户信息是从数据库里查出来的,而JWT认证的用户信息是直接从这个特殊的token中解析出来的。

虽然差不多,还是贴一张JWT认证的流程图:

上面都是单系统登录中的流程图,随着系统复杂性越来越高,在多系统之间的单点登录也必不可少。单点登录都要有一个专门的认证中心服务器,这和之前登录验证都在应用服务器上做不同。

cookie认证已经逐渐被淘汰了就不说了,基于token认证也是不适合应用于单点登录的,可以想象一下,单系统登录的token校验工作是在服务端进行的,而如果应用于单点登录,那必然是要在认证中心进行。如果每次请求中携带的token,都要由应用服务器去请求一遍认证中心去校验token,那也太麻烦了,认证中心的压力就太大了。所以一般说基于token的单点登录都是指基于JWT的单点登录,因为JWT的校验是可以在各个应用服务器上进行的,不需要每次都去请求认证中心。而剩下的基于session认证方式也对应的单点登录解决方案,因为基于session认证的单点登录有一个局部会话的概念,也不需要每次去认证中心校验。

1.基于session认证的单点登录

基于session认证的单点登录中还有局部会话和全局会话两个概念,即浏览器和应用服务器之间建立的是局部会话,和认证中心服务器之间建立的是全局会话,也就是用户登录成功之后,在认证中心服务器和应用服务器上都保存着包含用户信息和登录状态的session,浏览器中的表现就是应用服务和认证中心服务的域下面都会有对应的存着sessionId的cookie。

比如我在feedbackuat单点登录成功之后,feedbackuat和ssouat都会有cookie。

先贴一下基于session认证的单点登录流程图,这图把我画懵了:

需要注意的是,基于session认证的单点登录在集群环境中是不需要做session共享或者nginx配置ip_hash的。集群中各个节点就相当于各个子系统了,没有局部会话session那就重新走一遍自动单点认证呗,反正不需要用户手动再输一遍密码就好了。

为了验证这一点我用nginx配置了一个项目的集群环境,这个项目是集成了单点登录的,把ip_hash注释掉了,并且增加了两个响应头标识一下路由到了哪台服务器:

然后刷新页面看看是不是即使路由到了不同的服务器,也不需要单点登录:

 就刷新了一次,不同的请求路由到了不同的节点,但是不需要重新登录。

java实现基于session认证的单点登录需要两个jar包,cas-client-core和cas-server-core,即cas客户端和服务端,cas客户端就是图中的服务器A和B,cas服务端就是认证中心。这里主要看一下cas-client-core这个jar包,从中捋出部分源码对应一下图中的流程。

在AuthenticationFilter的doFilter()方法中,服务端校验如果局部会话和ticket都没有,则将浏览器重定向到单点登录地址:

需要注意的是,上图中拿ticket只是尝试拿,方法前缀有safe,因为ticket是认证中心的登录接口返回的,而认证中心的登录接口是需要开发的,自然各种各样的方式返回ticket给客户端,所以cas-client-core包中是不会有拿ticket然后去校验然后创建本地局部会话这个过程封装的,这个过程需要我们自己写,自定义一个过滤器实现它的AbstractCasFilter,然后在自定义的doFilter()方法中实现这段逻辑:

这是自定义的过滤器,这里面拿ticket和AuthenticationFilter中拿ticket的方法是一样的,这是因为在认证中心使用的也是cas默认的放ticket的方式,也就是作为url参数,参数key就是"ticket":

2.基于JWT认证的单点登录

其实单点登录的过程都差不多,就是认证方式的区别,理解了基于session认证的单点登录后,也很好理解基于JWT认证的单点登录。

 jwt的token校验都是在应用服务器上。

滴哩哩哩滴哩哩哩哒哒
关注
  • 7
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MaxKey单点登录认证系统-其他
06-11
MaxKey(马克思的钥匙)用户单点登录认证系统(Sigle Sign On System),寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供...
Cookie->Session->Token发展旅程(一)
java的平凡之路
05-29 284
前言 JAVA WEB项目可分为无状态与有状态。一个商城,用户添加购物车或者下订这种操作,都是有状态的,服务器为了区分不同用户的操作,需要记录一些特殊的信息。当用户再次访问时,携带这些信息,服务器就可以区分出用户做了哪些操作。从最早的Cookie到后来的Session,再到后来的Token,本文带你了解这段发展旅程。 Cookie概念 你有没有碰到过这种情形,之前在搜索引擎搜索过一些商品,...
cookiesessiontoken 到底是什么
大横按真简单的博客
08-24 160
cookiesessiontoken 到底是什么 说到cookiesessiontoken 之前我们有必要先来了解了解HTTP的发展史,在以前web基本都是文档的浏览而已,因为是浏览就不需要去记录是谁在什么时间浏览什么文档,所以每一请求都是一次新的HTTP协议(请求加协议),但是随着web应用的发展,比如像购物网站等类似需要登录的网站就得面临管理会话,服务器必须记住是谁登录了系统,哪些人往自己的购物车加商品等,就是说服务器需要把每个人区分开。 cookie 怎么才能让服务器区分开每个人呢?我们需要让
什么是JWT Json web token (JWT),它的起源与应用一文解读!
Lonelypatients°的博客
03-25 712
JWT JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 (RFC 7519) 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。...
JWT系统登录鉴权、授权验证--可用
Oo骑着猪去买西瓜-杨清oO的博客
07-30 1200
首先流程图来一波!!!! 具体实现代码工具类JwtTokenUtils如下: import io.jsonwebtoken.Claims; import io.jsonwebtoken.ExpiredJwtException; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.HashMap; import java.uti.
CookieSessionToken来进行身份认证
IT_Holmes的博客
03-09 1808
1. CookieSessionToken介绍 2. Cookie 3. Session 4. 为什么使用JWT? 5. JWT(JSON Web Token)的实现过程 6. 官方实现JWT的多种方式 7. JWT的实现第一种:java-jwt包的使用 8. JWT的实现第二种:jjwt包的使用 9. 封装JWT的包装类,方便以后使用 10. 后台发送到前端,前端如何进行存储? 11. 前端如何将受到的token返还服务器? 12. 设置服务器允许跨域 13. JWT三部分组成详解
jwt-token-verifier:验证JWT令牌OpenID提供程序
03-25
OpenID Connect是基于OAuth 2.0协议的身份认证层,它允许用户通过一个可信的第三方认证服务提供商登录到多个应用,而无需在每个应用上创建独立的账户。 OAuth 2.0是一种授权框架,允许第三方应用获取资源所有者的...
sanic-jwt:Sanic的身份验证JWT和权限范围
04-30
Sanic JWT Sanic JWT向添加了身份验证保护和终结。 它很容易启动和运行,并且对于开发人员来说是可扩展的。 它可以起到保护端点的作用,还可以提供身份验证作用域,所有这些都封装在一个不错的。 |我该怎么办? 这很...
REST2SQL11 基于jwt-go生成token验证
最新发布
03-08
在本主题中,我们将深入探讨如何使用`jwt-go`库在Go语言中生成和验证JSON Web Tokens(JWT),这是RESTful API设计中的一个重要组件。JWT是一种轻量级的身份验证机制,用于安全地传递信息,而无需在服务器之间共享...
springCloud-master_单点登录_springCloud单点登录_SpringCloud系统_springclou
10-01
在"springCloud-master_单点登录_springCloud单点登录_SpringCloud系统_springcloud eureka单点登录"这个项目中,我们将重点探讨如何在SpringCloud环境中实现单点登录(Single Sign-On,简称SSO)。 单点登录是一种...
通证简史|从日进斗金到夹缝求存, 细数Token的前世今生
区块链大本营
12-06 1297
你这么帅,不来波关注吗?通证的本质区块链发展到今天,经历了三个里程碑:2008年比特币诞生,创建了真正意义上的去中心化点对点转账系统;2015年比特币启动,开创了去中心...
SessionToken的身份验证演变过程理解SessionCookieToken
mhHao的博客
01-18 232
本文将从Web应用 由传统身份验证到基于Token的身份验证的演变过程的角度,介绍SessionCookieToken。 很久以前,Web 应用基本用作文档的浏览,如网络黄页。既然仅仅是浏览,因此服务器不需要记录具体用户在某一段时间里都浏览了哪些文档,每次请求都是一个新的HTTP协议,对服务器来说都是全新的。 基于Session的身份验证 随着交互式Web应用的兴起,比如,购物等需要登录的网站...
系统登录认证流程对比(cookie方式与jwt)
iygxv
11-01 1365
系统登录认证流程对比(cookie方式与jwt) 一个正在努力爱好运动的程序猿座右铭:越努力越幸运,越运动越健康,热爱编程,热爱运动。 文章目录系统登录认证流程对比(cookie方式与jwt)一、cookie方式登录认证二、JWT(Json Web Token)方式登录认 一、cookie方式登录认证 步骤: 1.用户向服务器发送用户名和密码。 2.服务器验证后,相关数据(如用户角色等)将保存在当前会话(session)中。 3.服务器向用户返回sessionId会写入到用户的Cookie。 4
关于系统之间的单点登陆对接
qq_40085888的博客
04-08 4231
这里说的单点登陆,不是正规的那种有个中间服务做的,(如CAS).差不多是一种假的单点登陆. 但是在工作需求有时候会遇到,尤其是做定制化产品.一个客户买了我们公司一个产品,同时买了另外一个公司的产品.现在想让这两个产品进行单点登陆,一般是这A系统需要打开到B系统做一些操作,或者调用B系统的一些接口等操作.基于开发成本,一般不会集成一个单点登陆中心.而是用两边的sessionId共享来解决. ...
基于token和基于session用户认证两种方式区别
abde630154071的博客
02-16 2081
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用...
基于Session单点登录(SSO)流程
水冰月的小兔子的博客
07-01 3597
一.背景 做项目过程中遇到了所做的系统需要和用户的门户还有app联通,并且支持单点登录的问题,本身自己的系统身份验证采用了基于token验证方式。 二.方案比较 用户在登录的时候需要输入用户名和密码等服务器知道的信息来确认用户身份进行身份验证,常见的身份验证方式有两种: 基于session验证 Session 方案中,登录成功后,服务端将用户的身份信息存储在 Session 里,并且服务端会...
使用jwt技术实现系统间的单点登录
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
国服最强JWT生成Token做登录校验讲解,看完保证你学会!
热门推荐
u011277123的博客
12-28 12万+
Free码农 2017-12-28 00:08:02 JWT简介 JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。 JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。 基于session的登录认证 在传统的用户登录认证中,因为http是无状态的,所以都是
SessionCookietoken 的前世今生
qq_25096741的博客
03-26 208
引入:我们都知道 http 协议本身是一种无状态的协议,一个普通的http请求简分为三步: 客户端发送请求request 服务端收到请求并进行处理 服务端将结果respond给客户端 对于服务端来说 服务端如何知道当前请求的客户端是哪个用户 如何保证每次请求,服务器都知道是哪个用户 一、cookie 什么是cookie cookie 就是存储在客户端的一段数据,采用的是在客户端保持 HTTP 状态信息。 cookie 的产生背景 随着互联网的发展,已经不仅仅是浏览网页了,越来越多的交互式网站兴起,如在线购
error: expected primary-expression before ‘->’ token while(!SampleProcess->stopFlag){
05-13
(*SampleProcess)->stopFlag){ // ... } ``` 或者你可以使用箭头操作符 `->` 来替代解引用操作符 `*` 和点号 `.`,如下所示: ``` while(!SampleProcess->stopFlag){ // ... } ``` 请注意,这两种方式的结果是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值