基于JWT token认证机制和基于session认证机制

最新推荐文章于 2022-03-28 21:32:05 发布
最新推荐文章于 2022-03-28 21:32:05 发布
阅读量334 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44758458/article/details/90480114
版权

基于session认证机制

http协议本身是一种无状态的协议,而这就意味着如果用户通过应用向服务器提供了用户名和密码进行认证,下一次请求时,用户还要再一次进行用户认证,因为根据http协议,服务器并不知道是哪个用户发出的请求,所以,为了识别是哪个用户发出的请求,这样需要在服务器端存储一份用户登录信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给服务器进行验证,这样,应用就能识别请求是来自哪个用户了,这是基于session认证机制。

基于session认证存在以下问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

基于JWT  token认证机制

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

基于JWT token的鉴权机制类似于http协议也是无状态的,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

流程上是这样的:

  • 用户使用用户名密码来请求服务器
  • 服务器进行验证用户的信息
  • 服务器通过验证发送给用户一个token
  • 客户端存储token,并在每次请求时附送上这个token值
  • 服务端验证token值,并返回数据

JWT的构成

第一部分我们称它为头部(header),第二部分我们称其为载荷(payload),第三部分是签证(signature).

这三部分内容,用. 隔开

1)头部(header):包含token类型和加密算法信息,使用base64编码生成字符串

2)载荷(payload):保存有效的数据,通常还包含token的有效时间,使用base64编码生产字符串

3)签证(signature):防止jwt token被伪造,由服务器生成jwt token是,将header和payload内容拼接,用. 隔开,使用密钥加密而成

jwt说明点

1)jwt token有服务器生成,交给客户端进行存储,不占用服务器的存储空间

2)适合于分布式站点的应用场景

3)使用payload中不要存储敏感信息,因为这部分内容容易被客户端解码

4)服务端的密钥需要保存好,泄露密钥之后jwt token数据可以被随意伪造

 

 

Moses·Zhen
关注
jwt重放攻击_【干货分享】基于JWTToken认证机制及安全问题
weixin_39720807的博客
12-19 4722
一步一步教你基于JWTToken认证机制实现,以及如何防范XSS攻击、Replay攻击和中间人攻击。文章目录一、几种常用的认证机制1.1 HTTP Basic AuthHTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名...
接口使用jwt返回token_基于JWTtoken认证
weixin_31237295的博客
01-12 1905
阿里云API网关在Json Web Toke(JWT)这种结构化令牌的基础上实现了一套基于用户体系对用户的API进行授权访问的机制,满足用户个性化安全设置的需求。一、基于token认证1.1 简介很多对外开放的API需要识别请求者的身份,并据此判断所请求的资源是否可以返回给请求者。token就是一种用于身份验证的机制,基于这种机制,应用不需要在服务端保留用户的认证信息或者会话信息,可实现无状态、...
session、cookie、tokenJWT详解
qq_43205267的博客
08-16 569
session、cookie、tokenJWT详解 不保存session id 了, 只是生成token , 然后验证token Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不
基于session认证和基于Token认证的区别
qq_41635401的博客
10-26 524
一、session的状态保持及弊端 二、token认证机制 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。 弊端: 1、服务器压
基于 session 和基于 token 的用户认证方式到底该如何选择
weixin_33698823的博客
03-09 1101
2019独角兽企业重金招聘Python工程师标准>>> ...
Web应用中4类登录会话管理机制(基于session、基于cookie、基于token、基于认证
u012324798的博客
04-18 3307
Web应用中4类登录会话管理机制场景需求背景概念1 基于session的会话管理机制1.1 本质特征1.2 会话过程1.3 优点1.4 缺点2 基于cookie的会话管理机制2.1 本质特征2.2 会话过程2.3 优点2.4 缺点3 基于token的会话管理机制3.1 本质特征3.2 会话过程3.3 优点3.4 缺点4 服务器无状态的会话管理机制4.1 本质特征4.2 会话过程4.3 优点4.4 ...
基于sessiontoken的身份认证方案
weixin_30564901的博客
05-08 239
一、基于session的身份认证方案 1.方案图示 2.比较通用的鉴权流程实现如下: 在整个流程中有两个拦截器。 第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中取user对象,如果session中有,就放user对象到threadlocal中。这是为了业务处理的时候能直接获取用户对象。 第二个拦截器AuthActionInteceptor是...
jwttoken解码_基于JWT前后端token认证
weixin_33437929的博客
01-14 1210
WT简介JWT(json web token)是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。基于session的登录认证在传统的用户登录认证中,因为http是无状态的,所以都是采用session方式。用户登录成功,服务端会保证一个session,当然会给客户...
基于JWTToken认证
互联网叫兽
03-02 2206
1、什么是JWT JSON Web Tokens,是一种开发的行业标准规范RFC 7519。广泛的用在系统的用户认证方面。 2、JWT结构 JWT 由三个部分依次组成 Header(头部) Payload(载荷) Signature(签名) 2.1、Header Header 部分是一个 JSON 对象,描述 JWT 的元数据,包含算法和token类型。 需要对json进行base64url加密 { "alg": "HS256", "typ": "JWT" } 2.2、Payload 用来存
前后端身份认证 -------session机制JWT机制(jsonwebtoken
qq_43682422的博客
03-28 837
1. 前后端身份认证 1.1 Web开发模式 目前主流的Web开发模式有两种,分别是: 1)基于 服务端渲染 的传统web开发模式 2)基于 前后端分离 的新型web开发模式 服务端渲染web开发模式 服务端渲染的概念: 服务器发送给客户端的HTML页面是在服务器通过字符串的拼接动态生成的,因此客户端不需要使用Ajax这样的技术额外请求页面的数据。代码示例如下: app.get('/index.html',(req,res)=>{ //1.要渲染的数据 const user = {name
Cookie、SessionToken的区别:基于Session的验证机制和基于Token的验证机制
DongZhaoCheng
03-02 420
Cookie、SessionToken的区别 《基于Token的登录流程》 《彻底理解Cookie、SessionToken》 1、Cookie Cookie是一个很具体的东西,就是浏览器里面的一种能永久保存的数据,仅仅是浏览器实现的一种数据存储功能。 Cookie存储在浏览器中,其结构是键值对形式,但值只能存储ASCII码字符 Cookie的大小受浏览器限制,很多是4K大小 Cookie不太安全,容易被恶意查看 2、Session Session是存储在服务器上的用于保存用户信息、会话状态以及相关
基于token和基于session用户认证两种方式区别
abde630154071的博客
02-16 2113
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用...
基于session的验证方式和Token验证方式的区别,以及JWT的具体实现流程
qq_40971025的博客
07-29 556
1、传统的cookie认证过程 长期以来,基于Session认证Session based authentication)一直处于主流地位。由于http协议是无状态的,借助cookie,客户端登陆成功后,服务端就能识别其后续请求,而不需要每次都登陆。它是有状态的(statefull),也就是服务端和客户端都需要保存生成的session,也就是说在服务端需要在数据库中追踪session是否alive,客户端要把session写入cookie中。基本过程如下: 客户端登陆,一般输入用户名和密码 服务端如
用户认证:基于jwtsession的区别和优缺点
hailang2ll的专栏
02-28 198
作者:yuanrw源文:https://juejin.im/post/5cefad23e51d4510774a87f4背景知识:Authentication和Authorization的...
彻底理解coookie、sessiontoken
学Java,找哪吒
05-04 2092
一、发展史 1、很久很久以前,web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的,这段时间就很嗨皮。 2、但是随着交互式web应用 ...
Koa(2)之——鉴权(Cookie/SessionToken和OAuth)
weixin_33722405的博客
06-12 2040
  前后端未分离以前,页面都是通过后台来渲染的,能不能访问到页面直接由后台逻辑判断。前后端分离以后,页面的元素由页面本身来控制,所以页面间的路由是由前端来控制了。当然,仅有前端做权限控制是远远不够的,后台还需要对每个接口做验证。   为什么前端做权限控制是不够的呢?因为前端的路由控制仅仅是视觉上的控制,前端可以隐藏某个页面或者某个按钮,但是发送请求的方式还是有很多,完全可以跳过操作页面来发送某个请...
理解基于Token的WEB后台认证机制
"基于Token的WEB后台认证机制是现代Web应用程序中常见的安全实践,它相比传统的HTTPBasicAuth、OAuth和CookieAuth提供了更多的优势。本文将深入探讨这些认证机制及其应用场景。 HTTPBasicAuth是最简单的认证方式,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值