鉴权方式对比-jwttoken和cookie+session

最新推荐文章于 2023-07-24 11:38:04 发布
最新推荐文章于 2023-07-24 11:38:04 发布
阅读量217 收藏
点赞数
分类专栏: 其他 文章标签: session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43759110/article/details/117459471
版权

1.cookie + session

实现原理:

为了识别请求是来自哪个用户/客户端,后台会生产一个session来保存会话状态,session依靠不同的sessionId来进行区分,sessionId会在第一次请求后保存到客户端,之后的请求都要在cookie中带上sessionId,服务器端会解析Cookie获取sessionId进行识别。

 

 

 

优点:

 

  • 技术上实现简单

缺点:

  • 不适合分布式应用,跨平台性差
  • Cookie传输会影响通信性能
  • HTTP协议本身是无状态的,而Cookie+Session机制硬生生的给加了状态进去,不符合设计理念
  • 存在安全风险:因为Cookie是存储在客户端的,客户端可以随意更改Cookie,存在伪造请求的风险

 

2.token

实现原理:

使用用户名+密码的方式进行登录

服务器验证用户信息

服务器通过验证发送给用户一个token

客户端存储token值,并在请求头添加token

再次请求的时候服务端验证token值

优点:

  • 真正的无状态,适合分布式,扩展性好
  • 性能高,安全性好

缺点:

  • 无法在服务端注销,很难解决劫持问题

 

 

那就叫我枫哥吧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT实现鉴权
柠檬树
03-10 8834
一、前言 JWT全称JSON Web Token,是一种基于JSON的,用于在网络上声明某种主张的令牌(Token)。JWT通常由三部分组成:头信息(header)、消息体(payload)、签名(signature)。 头信息(Header)指定了该JWT使用的签名算法: header = '{"alg":"HS256","typ":"...
JWT学习笔记_01:概念+为什么+认证流程+优缺点
耿鬼不会笑的博客
01-27 742
JWT学习笔记_上篇 本文基于B站UP主 【编程不良人】 视频教程 【 JWT认证原理、流程整合springboot实战应用,前后端分离认证的解决方案】 进行整理记录,仅用于个人学习/交流使用 视频连接:https://www.bilibili.com/video/BV1i54y1m7cP 官方资料:http://www.baizhiedu.xin JWT学习笔记上篇: JWT学习笔记下篇: 目录标题JWT学习笔记_上篇一、什么是JWT二、JWT能做什么三、为什么使用JWT基于传统的Session认证基
JWT鉴权-JWT原理
最新发布
weixin_47906106的博客
07-24 918
先抛开JWT,回顾一下我们传统的网页,是通过Cookie方式实现鉴权的,在用户登陆完成后,返回能识别该用户的信息到浏览器的Cookie中,下一次浏览器请求相同域名的时候,会自动把上次从服务器获取的Cookie提交上去,从而实现用户鉴权。关于flask-jwt-extended的讲解就在这里,学会这些,您在前后端分离项目中的鉴权,将没有任何问题。当然,也可以把jwt设置到cookie中,Body中,甚至是请求URL的参数中,但设置在请求头中实际上是最方便的,只要在请求方法中封装好,调用起来非常方便。
vue搭配element获取token登录校验
weixin_45631430的博客
01-06 2519
Vue项目登录页面获取token验证 实现思路 1、第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 2、后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 3、前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 4、前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有则跳转到对应路由页...
如何实现jwt鉴权机制?
zz130428的博客
12-10 1210
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息。在分布式系统中,每个子系统都要获取到秘钥,那么这个子系统根据该秘钥可以发布和验证令牌,但有些服务器只需要验证令牌。,分成了三部分,头部(Header)、载荷(Payload)、签名(Signature),并以。一旦前面两部分数据被篡改,只要服务器加密用的密钥没有泄露,得到的签名肯定和之前的签名不一致。这时候可以采用非对称加密,利用私钥发布令牌,公钥验证令牌,加密算法可以选择。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
4.3鉴权&授权-Token1
08-08
Token1是鉴权和授权的重要组件,用于验证用户的身份和授权用户访问资源。 Token1是JSON Web TokenJWT)的实现,JWT是一种基于JSON的开放标准,用于在双方之间安全地传输信息。Token1由三部分组成:Header、...
jsp cookie+session实现简易自动登录
01-08
本文实例为大家分享了jsp cookie+session实现简易自动登录的具体代码,供大家参考,具体内容如下 关闭浏览器只会使存储在客户端浏览器内存中的session cookie失效,不会使服务器端的session对象失效。 如果设置了...
jwt鉴权
qq_37291761的博客
03-16 628
背景: 一个普通项目配置在一台服务器上并发性并不高,但是像一些大型的电商 门户网站,每一天的访问量过千万,也就是说在同一时间可能会有近万人访问。一台服务器的并发量就难以满足。这个时候人们 就想到了利用分布式架构。采用集群的方式来提高并发性。 一般会配一个nginx集群来进行反向代理,使得多个服务器上分担的压力均衡,达到负载均衡。如图 这个时候就存在一个问题,传统方式我们登陆注册需要将登陆...
详说JWT鉴权机制
努力的鋜
03-28 261
JWT(JSON Web Token),本质就是一个字符串书写规范,如下图,作用是用来在用户和服务器之间传递安全可靠的信息
常见鉴权方式
weixin_40213018的博客
04-25 389
HTTP Basic Authentication 这种授权方式是浏览器遵守http协议实现的基本授权方式,HTTP协议进行通信的过程中,HTTP协议定义了基本认证认证允许HTTP服务器对客户端进行用户身份证的方法。仅仅是base64加密,这种加密方式是可逆的。同时在每个请求的头上都会附带上用户名和密码信息,这样在外网是很容易被嗅探器探测到的。 session-cookie 利用服务器端的session(会话)和浏览器端的cookie来实现前后端的认证,由于http请求时是无状态的,服务器正常情.
网关进行jwt鉴权
FourZeroZero's home
04-12 2734
前端接口都进过网关,然后通过网关进行分发。所以在网关中鉴权,就可以把没有需要登录的请求在网关层进行拦截。 redis进行存储tokenjwt实现token两种方案的对比 去中心化的JWT实现oken 优点: 去中心化,便于分布式系统使用 基本信息可以直接放在token中。 username,nickname,role 功能权限信息可以直接放在token中。用bit位表示用户所具有的功能权限 缺点:服务端无法主动让token失效 中心化的 redis token / memory session
jwt 私钥_关于JWT鉴权安全问题
weixin_31485835的博客
12-30 1289
什么是JWT JSON Web Token(JWT ? https://jwt.io )是一种跨域身份验证解决方案,其主要认证原理是提供一个可信签名,利用存在客户端的secret_key将明文的鉴权数据做一个签名,用于跨域校验权限的合法性。 举一个例子:Authorizatione: yJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyIj...
使用JWT生成Token进行接口鉴权实现方法
penriver的博客
09-24 2384
利用JWT进行鉴权的思路 用户发起登录请求。 服务器使用私钥创建一个jwt字符串,作为token; 服务器将这个token返回给浏览器; 在后续请求中,token作为请求头的内容,发给服务端。 服务端拿到token之后进行解密,正确解密表示此次请求合法,验证通过;解密失败说明Token无效或者已过期 返回响应的资源给浏览器 JWT介绍 什么是JWT JSON Web令牌(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在通信双方之间安全地传输信息。由于该
SpringCloud微服务之最全JWT学习教程03
Maynor的博客
11-18 760
1.JWT 1.0 为什么要学习JWT? 1.1.简介 JWT,全称是Json Web Token, 是JSON风格轻量级的授权和身份认证规范,可实现无状态、分布式的Web应用授权;它是分布式服务权限控制的标准解决方案! 它跟RBAC的区别:两者不冲突,在项目中后台权限服务的数据库设计使用RBAC,而前端项目访问后台微服务的权限校验使用jwt 官网:https://jwt.io . GitHub上jwt的java客户端:https://github.com/jwtk/jjwt 什么是token:http
前后端常见的几种鉴权方式
热门推荐
wang839305939的博客
01-03 11万+
常见的授权四种授权方式HTTP Basic Authentication,session-cookie,token(jwt),OAuth(开放授权)
授权认证登录之 CookieSessionTokenJWT 详解
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、CookieSession 的区别 五、什么是 Token(令牌) Acesss Token ...
JWT相关知识及Cookie, Session,TokenJWT的区别总结.pdf
05-31
本资源是一份关于CookieSessionTokenJWT的详细对比和深入解析的前端笔记。笔记由四个章节构成,分别探讨了这些概念的基础知识和发展历程。 在第一章,作者回顾了Cookie的历史背景,并介绍了其基本工作原理,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值