常见认证机制

最新推荐文章于 2023-09-25 15:55:19 发布
最新推荐文章于 2023-09-25 15:55:19 发布
阅读量188 收藏
点赞数
分类专栏: 杂技 文章标签: session cookie java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43655644/article/details/105239946
版权

Cookie Auth

Cookie认证机制就是为一次请求认证在服务端创建一个Session对象,同时在客户端的浏览器创建了一个Cookie对象;通过客户端上带来的Cookie对象来与服务器端的session对象匹配来实现状态管理的。默认情况下,当我们关闭浏览器的时候,cookie会被删除。但可以通过修改cookie的expire time使cookie在一定时间内有效。

OAuth

OAuth (开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一web服务上存储的私密资源(如照片、视频、联系人列表),而无需将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统(例如,视频编辑网站)在特定时段(例如,接下来2个小时内)访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。

Token Auth

使用基于Token的身份验证方法,在服务端不需要存储用户的登录记录,大概流程如下:
1.客户端使用用户名密码请求登录
2.服务端接收到请求,去验证用户名和密码
3.验证成功后,服务端会签发一个Token,再把这个Token发送给客户端
4.客户端收到Token以后可以把他存储起来,比如放在Cookie里
5.客户端每次向服务端请求资源的时候都需要带着服务端签发的Token
6.服务端收到请求,然后去验证客户端请求里面带着的Token,如果验证成功,就向客户端返回请求的数据

Token Auth的优点
  • 支持跨域访问:Cookie是不允许跨越访问的,这一点对Token机制是不存在的,前提是传输的用户认证信息通过HTTP头传输
  • 无状态(也称:服务端可扩展行):Token机制在服务端不需要存储session信息,因为Token自身包含了所有登录用户的信息,只需要在客户端的cookie或本地介质存储状态信息
  • 更适用CDN:可以通过内容分发网络请求你服务端的所有资料(如:javascript,html,图片等),而你的服务端只需要提供API即可
  • 解耦:不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在你API被调用的时候,你可以进行Token生成调用即可
  • 更适用于移动应用:当你的客户端是一个原生平台(IOS,Android,Windows8等)时,Cookie是不被支持的(你需要通过Cookie容器进行处理),这时采用Token认证机制就会简单的多
  • CSRF:因为不再依赖于Cookie,所以你就不需要考虑对CSRF(跨域请求伪造)的防范
  • 性能:一次网络往返时间(通过数据库查询session信息)总比做一次HMACSHA256计算的Token验证和解析要费时的多。
  • 不需要为登录页面坐特殊处理:如果你使用Protractor做功能测试的时候,不再需要对页面做特殊处理
  • 基于标准化:你的API可以采用标准化的JSON Web Token(JWT)。这个标准已经存在多个后端库(.NET,Ruby,Java,Python,PHP)和多家公司的支持(如:Google,Microsoft)

TOKEN签发与验证

什么是JWT

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。在Java世界中通过JJWT实现JWT创建和验证。

JJWT的快速入门
  • token的创建
    (1).引入依赖
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.6.0</version>
</dependency>

(2).创建类CreateJwtTest,用于生成token

public class CreateJwtTest{
	public static void main(String[] args){
		JwtBuilder builder = Jwts.builder().setId("888")
				.setSubject("小白")//用户信息
				.setIssuedAt(new Date())//签名创建时间
				.signWith(SignatureAlgorithm.HS256,"itcast");//加密签名 指定私钥
		System.out.println(builder.compact());
	}
}
解析token
public class ParseJwtTest{
	public static void main(String[] args){
		String token = "afvbkaJsdIbhgHnksO.............";
		Claims claims = Jwts.parser().setSigningKey("itcast").parseClaimsJws(token).getBody();
		System.out.println("id:"+claims.getId());
		System.out.println("subject:"+claims.getSubject());
		System.out.println("IssuedAt:"+claims.getIssuedAt());
	}
}
Rage范
关注
专栏目录
node实现后端服务器认证机制练习
02-11
在Node.js后端开发中,实现服务器认证机制是确保应用安全的重要步骤。在这个练习中,我们关注的是两种常见认证方式:Session认证和JSON Web Token (JWT)认证。这两种方法都有其独特的优势和适用场景,下面将详细...
各种移动通信系统中安全认证机制的分析.pdf
10-10
移动通信系统作为现代通信技术的重要组成部分,其安全认证机制直接关系到用户信息的安全和通信的可靠性。本文分析了各种移动通信系统中安全认证机制,下面将从多个角度详细阐述这些安全机制的知识点。 首先,安全...
java常见用户安全认证机制归纳
最新发布
qq_35757427的博客
09-25 1074
默认的,当我们关闭浏览器的时候,cookie会被删除。在身份鉴定的实现中,传统方法是在服务端存储一个session,给客户端返回一个cookie,而使用JWT之后,当用户使用它的认证信息登陆系统之后,会返回给用户一个JWT,用户只需要本地保存该token(通常使用local storage,也可以使用cookie)即可。secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。
Java学习笔记_身份验证机制
ajwh64482的博客
03-07 440
身份验证机制(authentication):确定一个用户具有自己声称的那个身份 应用程序关心用户是否通过了验证而不关心是通过何种方式进行的验证??? 授权(访问控制:authorization):★坚持使用来声明所有角色 用户信息的提供: 首选由容器提供的身份验证:(具有静态特征;效率?) a.HTTP基本身份验证(BASIC):usr/pwd通过Base64编码后加入某个请求首部 b...
java安全机制与权限校验
whsq1987的博客
11-21 174
  http://xylong.iteye.com/blog/1679691 http://www.ibm.com/developerworks/cn/java/j-lo-rtsecurity/
第二代身份证 验证
wang050116的专栏
01-04 392
<br />今天,在盛大某网站注册的时候,身份证必填,但我又不想填真实身份证号码,于是随便编了串自认为合法的身份证号码,但是却马上被提示号码错误,由于响应速度极快,可以肯定不是联机校验正确性的,那也就是说第二代身份证除了大家都知道的几位表示生日和性别的规则以外,还有另外的自我校验规则。于是翻开页面源码查看,发现这段js没有被压缩,所以规则也很好懂。<br />就在这里给大家科普下,不知道是不是火星了,呵呵。<br />以下代码来自这里,版权归盛大。当然,你也可以在维基百科找到更详细的介绍和算法。 <br
Java Token的原理和生成使用机制
weixin_34149796的博客
05-18 2796
在此之前我们先了解一下什么是CookieSession、Token 1、什么是Cookiecookie指的就是浏览器里面能永久存储数据的一种数据存储功能。cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏...
常见认证机制
qq_42141141的博客
03-19 1591
Java学习笔记 - 常见认证机制一、HTTP Basic Auth二、Cookie Auth三、OAuth四、Token Auth1、Token Auth认证机制2、基于JWT的Token认证机制实现2.1、加密方式2.2、JWT组成   一、HTTP Basic Auth   HTTP Basic Auth 就是每次请求API时都需要提供用户的账号和密码来验证用户身份,是配合 RESTful API 使用的最简单的认证方式(服务端不保存用户状态),但由于有把账号和密码暴露给第三方客户端的风险,因此在开
常见认证机制的理解
Dreamer.
04-10 1479
1.HTTP Basic Auth HTTP Basic Auth就是每次请求API时都提供用户的username和password。简单的说,Basic Auth是配合RESTful API使用的最简单的认证方式,只需要提供用户名和密码就可以了。目前在生成环境中被使用的越来越少,因为有将用户名密码暴露给第三方客户端的风险。在使用RESTful API上,尽量避免使用。 2.Cookie Auth...
常见认证机制及JWT的Token认证机制
weixin_44232093的博客
05-27 1111
文章目录1. 常见认证机制1.1 HTTP Basic Auth(风险高)1.2 Cookie Auth (服务器压力大)1.3 OAuth (第三方认证免注册)1.4 Token Auth (目前最常用)1.4.1 Token Auth的优点2. 基于JWT的Token认证机制2.1 什么是JWT2.2 JWT组成2.2.1头部(Header)2.2.2 载荷(playload)2.2.3 签证(signature) 1. 常见认证机制 1.1 HTTP Basic Auth(风险高) HTTP Ba
常用认证机制
小安安
08-10 891
常用认证机制
SaaS-常见认证机制
逍遥云恋
12-29 1334
4 常见认证机制 4.1 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽...
智能手机APP安全登录认证机制的研究.pdf
08-26
智能手机APP安全登录认证机制的研究 智能手机APP安全登录认证机制的研究是当前移动互联网快速发展和智能手机使用量增长的背景下,迫切需要解决的一个问题。随着移动App的日益普及,移动终端上的App种类也在急剧增长...
解决打包时本地jar无法加载问题(XXX不存在)
weixin_43655644的博客
12-09 3822
在pom中添加下面的配置 <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</art...
#oracle WM_CONCAT 函数失效问题及重建
weixin_43655644的博客
12-11 1857
失效原因:版本不支持,WM_CONCAT是oracle的非公开函数,并不鼓励使用,新版本oracle并没有带此函数,需要手工加上。 --首先使用dba账号登录oracle数据库 --解锁wmsys用户 (可以是你自己定义的用户zhangsan、lisi之类的都可以) alter user wmsys account unlock; --并为wmsys用户授权,可根据需要授权,不建议授权所有权限...
登录监控的一些方法
weixin_43655644的博客
07-18 1091
定义一个接口,声明一个方法,返回一个tuple,表示某一项是否存在风险 trait RiskEvaluate { /** * @param currentValue 当前评估值 * @param historyValue 历史评估值 * @return */ def evaluate(currentValue:Any,historyValue:Any):(S...
创建oracle FN_split函数
weixin_43655644的博客
05-27 920
创建fn_split前 CREATE OR REPLACE TYPE ty_row_str_split as object (strValue VARCHAR2 (4000)); CREATE OR REPLACE TYPE ty_tbl_str_split IS TABLE OF ty_row_str_split; 直接保存到函数 CREATE OR REPLACE FUNCTION "FN_SPLIT" (p_str IN VARCHAR2, .
springboot easyui 验证码
weixin_43655644的博客
07-15 599
KaptchaController import com.google.code.kaptcha.impl.DefaultKaptcha; import jdk.internal.dynalink.beans.StaticClass; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframewor...
图片上传回显
weixin_43655644的博客
07-12 255
可以把回显代码封装成一个jquery的扩展方法 新建一个jquery.extend.js,封装代码如下: $.fn.extend({ //定义图片回显方法,需要一个参数options imgShow:function (options) { $(this).change(function () { for (var i = 0; i < eve...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值