Cookie/Session/token鉴权

最新推荐文章于 2024-04-20 04:07:52 发布
最新推荐文章于 2024-04-20 04:07:52 发布
阅读量341 收藏 1
点赞数
文章标签: 网络 tcp/ip 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44775434/article/details/127160711
版权

网络分层:

OSI 网络参考模型 TCP/IP协议簇
7 应用层DNS、HTTP、SSH、SMTP、FTP...5 应用层
6 表示层
5 会话层
4 传输层TCP、UDP、SCTP4 传输层
3 网络层

IPv4、IPv6、ARP、ICMP

3 网络层
2 数据链路层以太网(Ethernet)、无线LAN2 数据链路层
1 物理层光纤、双绞线电缆、无线设备1 物理层

 

HTTP协议

常用请求头:

Content-Type:请求的报文格式

Accept:客户端接收的数据类型

User-Agent:发送请求的客户端类型

X-Request-with:Ajax请求,异步请求

Cookie:请求携带的Cookie信息

常见响应头:

Set-Cookie:服务器返回给客户端的Cookie信息

 

一、Cookie以及Cookie鉴权原理

1.什么是Cookie?

cookie不是缓存,cookie是服务器产生的并且保存在客户端的一小段文本信息,格式是字典,键值对

类型:

会话级Cookie:

持久化Cookie:

 

2.Cookie查看方式

查看单个项目:F12 --> application --> Cookies

查看本地所有:浏览器设置 --> 隐私设置和安全性 --> Cookie及网站数据 --> 查看所有的Cookie和网站数据

name:名称

value:值

Domain:作用的服务器地址

path:作用的路径

Expries:声明周期

Size:大小

 

3.Cookie鉴权原理

如何判断有Cookie鉴权?

只有多个请求之间有相同的Cookie,那么必然存在Cookie鉴权

 

鉴权步骤:

        1.客户端第1次访问服务器的时候,服务器会生成Cookie,然后通过响应头里面的Set-Cookie传输到客户端,然后保存。

        2.客户端第2-N次访问服务器时,在请求头里面通过Cookie把我们保存在本地的Cookie信息传输到服务器以实现鉴权。

 

4.对于测试有什么用

Postman:自动的保存和发送Cookie

        Bug场景:接口地址,接口参数,请求方式,请求头全对,但是返回错误,可以清除postman的Cookie缓存。

Jmeter:对于web项目的接口有一个不用的组件:HTTP Cookie管理器。此组件的作用和浏览器自动保存Cookie以及自动填写的Cookie的作用一模一样的。

 

接口自动化requests:手动关联。

 

致命的缺点:不安全;一般Cookie保存的是一些不重要的数据

 

二、Session以及Session鉴权原理

session叫会话

 

1.session如何实现鉴权?

鉴权步骤:

        1.客户端登录访问服务器的时候,服务器会生成Session,一般用sessionID表示,然后通过响应头里面的Set-Cookie传输到客户端,然后保存。所有的sessionID全部是会话级。session是通过cookie传输。

        2.客户端第2-N次访问服务器时,在请求头里面通过Cookie把我们保存在本地的Sessionid信息传输到服务器以实现鉴权。

 

2.对于测试有什么作用

功能测试:当session失效(登录状态失效)之后系统的反应。session默认的生命周期是半小时,

解决方案:改中间件的配置文件。Tomcat / conf.xml,web.xml

<timeout-session>时间</timeout-session>

接口自动化测试:sess = requests.session();        它可以自动的关联cookie鉴权。

 

缺点:

        session保存在服务器,占用服务器的内存。

 

三、Token以及Token鉴权原理

token:鉴权码

 

1.token如何实现鉴权

第一步:一般是登录之后自动生成token或者是通过一个独立的接口生成token,然后保存在服务器硬盘或者是数据库里面。

第二步:后面所有的请求都必须在请求头里面或者请求参数里面带上token实现鉴权。

 

token一般是经过加密,并且是有生命周期。

token一般有两类:

1.assess_token:生命周期在15分钟-2小时之间。

2.refresh_token:生命周期是15天。

 

加密:

对称加密算法:DES,AES,Base64

双钥加密:RSA

只加密不解密:MD5,SHA

自定义的加密方式:混合加密

 

 

面试题:cookie,session,token的相同点和区别是什么?

相同点:都是用于鉴权,都是服务器生成的;

不同点:

        cookie保存客户端,session保存在服务器的内存,token保存在服务器的硬盘

       cookie一般保存不重要的信息,session一般保存登录等重要的信息,token只用于鉴权。

 

 

 

 

 

 

 

 

 

 

 

 

枫言_枫语
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
鉴权大全(cookiesessiontoken、jwt、单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1404
鉴权大全(cookiesessiontoken、jwt、单点登录),深入理解和搞懂鉴权
接口自动化入门:登录流程中的cookieSession, Token鉴权实践
myh919的博客
07-10 108
http协议:简单、快捷、无连接、无状态。多次请求之间是没有关联的,独立的。 一、cookie鉴权 1、什么是cookiecookie是在服务器产生的存储在客户端的一小段文本信息,格式是字典,键值对。 2、cookie的分类 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除 3、如何查看cookie name,value、domain、path、express、size 4、cookie如何实现鉴权(原理) 当客户端第一次访问服务器时,那么服务器就会产生co
接口自动化入门:登录流程中的cookieSession, Token鉴权实践_接口授权登录获取session
最新发布
2401_84247760的博客
04-20 552
使用用户名、密码、时间戳和所有排过序的参数组合起来,再加密得到的字符串,字符串是唯一的幼犬访问第三方金融接口的鉴权码。=sign接口签名。
接口鉴权cookiesessiontoken
wtf0712的博客
06-19 2254
一、鉴权 鉴权是指验证用户是否拥有访问系统的权利—鉴定权限 二、cookiesessiontoken 为什么会有cookiesessiontoken? 1、 http是无状态协议 什么是无状态呢? 答:当前请求和上一次或者下一次请求是没有任何关系的,好处是速度快,坏处是无法共享信息。 2、 互联网的兴起 以前的网站,基本用来查看些文件或者图片,作为服务器不需要记录谁来放访问...
CookieSession鉴权
m0_47127594的博客
12-16 1548
作为一个测试工程师,做接口自动化时,难免会遇到接口之间的关联以及登录接口等,所以了解cookiesessiontoken是必备的,下面这篇文章来给大家简单介绍Cookie: 一、Cookie 1、什么是Cookie? 目前大部分网络都是采用HTTP协议,那么HTTP协议本身是没有状态的。等同于,服务器无法判断用户的身份,cookie实质是以一个Key-value格式保存的。客户端向服务器发送请求时,response向客户端发送一个cookie,客户端将此cookie保存起来(保存于客户端),当浏览器再次
一文读懂cookiesessiontoken、jwt
LonelyFace的博客
07-31 264
一文读懂cookiesessiontoken、jwt 基于 HTTP 的前端鉴权背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,如何进行编码和防篡改?jwt 是做什么的?refresh token 的实现和意义 sessiontoken 有什么异同和优缺点 从状态说起 「HTTP 无状态」 我们知道,HTTP 是无状态的。也就是说,HTTP 请求方和响应方间无法维护状态,都是一次性的,它不
cookie, session,token鉴权
qq_36697780的博客
04-11 447
一、cookie 什么是cookiecookie是服务器产生的存储在客户端的一小段文本信息。格式是字典,键值对。 cookie的分类? 会话级:保存内容,当浏览器关闭就会丢失 持久化:保存硬盘,只有当失效时间到了才会被清除 如何查看cookie? 包含name,value,domain,path,expire ...
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
Session-server:Session 鉴权服务
05-07
cookie用户前端sessiontoken服务,前端不存取其他用户信息 后端校验,cookie如果存在,token也存在,对得上号,放行,那么假使此时token过期了,再给用户重发一个新的token 数据库vkey在登陆的时候塞回用户cookie...
前后端常见的几种鉴权方式(小结)
11-30
最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。 目前我们常用的鉴权有四种: HTTP Basic Authentication session-...
Session相关知识点PDF版本
05-30
最通俗的关于Cookie, SessionToken和JWT的相关笔记和理解。在中章笔记中主要介绍一下Session。 上章:主要介绍背景和Cookie 中章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义...
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2524
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSessionToken三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSessionToken鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
鉴权cookiesession、JWT
wxiao_xiao_miao的博客
09-26 1098
鉴权:判断某用户是否有权访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 鉴权基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
Cookie,Session,Token鉴权方式
qq_55817438的博客
05-29 629
简述Cookie,Session,Token鉴权方式
鉴权的基本概念及sessioncookie的入门认识
only_zing的博客
08-29 3441
说到鉴权,应该有很多人不太清楚鉴权是啥,有什么作用,那么这篇文章就先了解一下什么是鉴权,它有哪几种方式,然后对session + cookie有一个入门的了解 鉴权 鉴权(authentication)是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授权。 常见的鉴权方式 常见的鉴权方式有以下4种方式: 1)HTTP Basic Authentication 2)token (常用的有JWT) 3)session +cookie 4)OAuth
sessiontoken鉴权方式
weixin_40611700的博客
10-19 1129
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
如何实现用户登录鉴权?两种方式手把手教会你!
weixin_57569942的博客
08-10 1706
利用Session和Jwt生辰的token实现用户登录鉴权
session鉴权cookies鉴权token鉴权原理各是什么
06-08
Session鉴权Session鉴权是通过在服务端保存用户的会话信息,来验证用户身份的一种方式。当用户访问某个需要登录的页面时,服务器会生成一个Session ID,并将该ID保存在服务器端。之后,每次用户访问需要登录的页面时,服务器会通过比对Session ID来验证用户身份。如果Session ID匹配,则说明用户已经登录,可以访问该页面。Session鉴权通常需要配合使用Cookie来实现。 Cookies鉴权Cookies鉴权是通过在客户端保存用户的身份信息,来验证用户身份的一种方式。当用户登录成功后,服务器会在响应中设置一个Cookie,并将该Cookie保存在客户端。之后,每次用户访问需要登录的页面时,客户端会将Cookie信息发送给服务器,并由服务器进行验证。如果Cookie信息匹配,则说明用户已经登录,可以访问该页面。Cookies鉴权相对于Session鉴权,具有更好的性能和扩展性。 Token鉴权Token鉴权是一种基于令牌(Token)验证的方式。当用户登录成功后,服务器会生成一个Token,并将该Token返回给客户端。之后,每次用户访问需要登录的页面时,客户端会将Token发送给服务器,并由服务器进行验证。如果Token信息匹配,则说明用户已经登录,可以访问该页面。Token鉴权相对于Session鉴权Cookies鉴权,具有更好的安全性和跨平台性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值