#登录鉴权——(cookie&session)&JWT

最新推荐文章于 2024-08-03 21:02:21 发布
最新推荐文章于 2024-08-03 21:02:21 发布
阅读量479 收藏 1
点赞数 1
文章标签: express 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44813858/article/details/132646395
版权

登录鉴权是业务系统中常见的功能:

​ 当登录系统时,如果不是系统的内置用户,则需要提示并引导用户注册,如果是已经注册过的用户,在登录时要判断其输入的用户名和密码是否匹配,如匹配则跳转至首页,如不匹配,则提示用户名和密码错误重新输入;另一种场景是当登录安全性较高的系统时,假设长时间停在某一个页面未进行其他操作,比如某些银行的移动客户端,停留在某个页面三十分钟未进行操作,再次进入的时候会提示长时间未操作请重新登录,然后引导跳转至登录界面重新登录。

​ 下面概述一下实现原理:

​ 在数据库我们会默认留一个用户,并且分发给每个用户一个令牌,首次登录需要判断输入的用户名和密码是否正确,如不正确,需要提示用户输入正确的用户名和密码;如正确,判断令牌是否在有效时间内,如果有效则正常登录进行操作,如果失效则提示重新登录并生成新的令牌传给后端进行校验。

​ 以上功能需要前后端配合实现,下面分别记录一下利用cookie和session实现校验以及利用JWT(JSONWebToken)来实现

一、cookie和session实现登录鉴权

cookie介绍:

Cookie是一种存储在客户端浏览器中的数据,它的作用是让浏览器记住一些信息,以便在后续的请求中使用。当浏览器访问某个网站时,它会发送一个 请求给服务器,请求的内容会包含一些信息,如用户ID、访问时间等。服务器在收到请求后会生成一个Cookie,并将它存储在客户端浏览器中。在后续的 请求中**,浏览器会将生成的Cookie再次发送给服务器**,服务器在接收到Cookie后,可以识别出它是之前发送过的请求,从而简化后续请求的处理流程,提 高网站的性能。

​ cookie是有大小限制的,它的大小取决于服务器和浏览器设置的具体限制,当cookie过大时会造成浏览器缓存过多,影响服务器的性能。

​ 总的来说,Cookie的作用是提高网站的性能和用户体验,它可以让服务器更好地理解用户的行为,从而生成更个性化的内容,或提供更好的搜索和登录体 验。

总结:大小受限,存储在浏览器的客户端,可手动设置,会随每次请求传到服务端

session介绍:

Session是一种在Web应用程序中实现用户状态的方法。通过Session,Web应用程序可以在用户登录后将用户状态保存在客户端的浏览器中,以便在后续的请求中使用。具体来说,Session可以用于以下场景:

用户登录时保存用户信息:用户在登录时,服务器将用户信息保存到Session中,然后在后续的请求中使用这些信息。

保存用户信息:用户在浏览某个页面时,可以将一些信息(如登录状态、购物车内容等)保存在Session中,以便在后续的页面中使用。

记住用户的搜索历史:当用户在搜索框中输入关键字并点击搜索时,服务器会将用户的搜索历史保存在Session中,以便在用户后续的搜索请求中使用。
总的来说,Session可以提高Web应用程序的用户体验和性能,因为它可以让服务器记住用户的特定信息,并在后续的请求中使用这些信息,从而简化服务器端的工作流程。

在Web应用程序中,Session的大小限制通常取决于服务器端和客户端的具体设置。
服务器端:在服务器端,我们可以通过在Session中设置过期时间来限制其大小。通过设置过期时间,服务器可以确保在一定的时间内使用完保存的信息,从而避免过大的Session对服务器性能造成影响。
客户端:**在客户端,我们可以通过在浏览器设置Cookie大小时限来限制其大小。**通过设置Cookie大小时限,用户可以确保浏览器不会保存过多的信息,从而避免影响后续请求的性能。

​ 总结:存储在客户端,方便存取,大小需要限制

实现流程

​ 将每次用户登录的相关信息(用户名,id等)都存储在cookie中,随着请求传递到服务端,然后后端将这些信息单独存储在数据库中生成一个id, 将这个id返回给客户端,客户端将接收到的sessionID存储在localStorage或者sessionStorage中,随后在每次向服务端的请求中客户端都将读取并将该值写入cookie传递给服务端,服务端判断max-age和cookie对应关系的算法来判断传入的cookie是否是有效的,如果是则返回正确的数据,如果不是则返回401,提示重新登录。

由于暂时写的不是前后端分离的,我们依然利用ejs模板来写前端,后端采用插件:express-session

首先安装express-session: npm i express-session

1.在app.js中进行配置:
1.在app.js中进行配置:
// express-session引入
const expressSession = require('express-session')

//注册session中间件
// [注]:配置一定要放在路由和api文件之前
app.use(expressSession({
   
      name: 'cjSystem', //名称
      secret: 'secret',//密钥
      cookie: {
   
        maxAge: 1000 * 60 * 60 //一个小时
      },
      resave: true, //表示重新设置session之后,cookie的过期时间会重新计算,必须设置
      saveUninitialized: true, //表示一开始就设置cookie,但是此时cookie是无效的,除非登录之后设置
      secure: false,//值为true时表示只能在https中访问cookie,为false时表示可以在http中访问cookie
      store:MongoStore.create({
   
          mongoUrl:'mongodb://10.45.126.221:27017/cj_session',//新创建一个数据库 存储session
          ttl: 1000 * 60 *60 //与上述cookie的时间保持一致
      })
    }
))

// 设置中间件: session过期校验
app.use((req,res,next) => {
   
    //排除login相关的路由
    if(req.url.includes('login')){
   
        next()
    }else if(req.session.user){
   
        // 重新设置session,刷新c
最低0.47元/天 解锁文章
岑静无妄
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CookieSession、Token、JWT.xmind
01-30
CookieSession、Token、JWT.xmind
一文理解登录鉴权(CookieSessionJwt、CAS、SSO)
追寻梦想的青春
10-16 1336
登录鉴权是任何一个网站都无法绕开的部分,当系统要正式上线前都会要求接入统一登陆系统,一方面能够让网站只允许合法的用户访问,另一方面,当用户在网站上进行操作时也需要识别操作的用户,用作后期的操作审计。
身份验证——Cookie&Session&Token&JWT
weixin_44915595的博客
12-17 1201
什么是凭证 在互联网应用中,一般网站(如掘金)会有两种模式,游客模式和登录模式。游客模式下,可以正常浏览网站上面的文章,一旦想要点赞/收藏/分享文章,就需要登录或者注册账号。当用户登录成功后,服务器会给该用户使用的浏览器颁发一个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌,就可以使用游客模式下无法使用的功能。 Cookie HTTP是无状态的协议(对于事务处理没有记忆能力,每次客户端与服务器会话完成后,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当
鉴权cookiesessionJWT
wxiao_xiao_miao的博客
09-26 1109
鉴权:判断某用户是否有权访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 鉴权基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
随笔--鉴权机制 && session
weixin_42910765的博客
07-20 461
单点登录: https://www.cnblogs.com/ywlaker/p/6113927.html SSO一般都需要一个独立的认证中心(passport),子系统的登录均得通过passport,子系统本身将不参与登录操作,当一个系统成功登录以后,passport将会颁发一个令牌给各个子系统,子系统可以拿着令牌会获取各自的受保护资源,为了减少频繁认证,各个子系统在被passport授权以后,会建立一个局部会话,在一定时间内可以无需再次向passport发起认证。 session-cookie 这个方式是
前端鉴权cookiesession、token、jwt、单点登录
2401_83384536的博客
06-13 950
HTTP 是无状态的,为了维持前后请求,需要前端存储标记cookie 是一种完善的标记方式,通过 HTTP 头或 js 操作,有对应的安全策略,是大多数状态管理方案的基石session 是一种状态管理方案,前端通过 cookie 存储 id,后端存储数据,但后端要处理分布式问题token 是另一种状态管理方案,相比于 session 不需要后端存储,数据全部存在前端,解放后端,释放灵活性token 的编码技术,通常基于 base64,或增加加密算法防篡改,jwt 是一种成熟的编码方案。
登录鉴权——node(express框架)
mantou_riji的博客
07-09 1354
当用户想要访问主界面是,必须要判断用户是否登录,如果用户已经登陆就返回主界面,如果用户未登录就返回登录界面。不能说无论用户是否登录都可以通过修改请求路径直接跳转到主页面,这显然是错误的。解决该问题就是需要登录鉴权。验证用户的身份我们一般有两种方式,一种是采用cookieSession ,另一种是采用JWT(token)方法。登陆页面,主页面,用户登陆后可以跳转到主页面,现在还没有进行登录鉴权,所以用户直接访问请求地址也可以跳转到主页面。项目是通过express生成的框架. 项目目录: controll
前端鉴权cookiesession 和 token 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 1387
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
springcloud gateway集成JWT——实现登录鉴权
tang_seven的博客
10-24 7741
springcloud gateway基于jwt token,实现用户登录鉴权功能
计算机网络——cookiesession、token原理
庄小焱
11-14 1778
而 Token ,如果指的是 OAuth Token 或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对 App。当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。
SpringBoot集成Spring Security用JWT令牌实现登录鉴权的方法
08-19
在本文中,我们将深入探讨如何在SpringBoot应用中集成Spring Security并使用JWT(Json Web Token)来实现用户登录鉴权。首先,我们先理解JWT的基本概念。 **1. JWT概念** JWT是一种开放标准(RFC 7519),用于在...
JWT授权鉴权--相当nice
08-14
3. 客户端将JWT保存(例如在Cookie或LocalStorage中),并附带在后续对受保护资源的请求中。 4. 服务器验证JWT的有效性,如果有效,允许访问受保护的资源。 JWT的优势在于: - 无状态:服务器不需要存储会话信息,...
再一次,CookieSession、Token、JWT.xmind
02-05
再一次,CookieSession、Token、JWT.xmind
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
- **身份验证**:用户登录后,服务器会返回一个JWT,之后用户可以将其储存在本地(例如Cookie或LocalStorage),每次请求时附带上JWT以证明身份。 - **授权**:JWT可以包含权限信息,允许客户端直接访问受保护的资源...
DP读书:鲲鹏处理器 架构与编程(六)PCI Express 总线
DarrenPig的博客
08-16 2063
PCI Express总线的拓扑发现是指通过一定的协议和机制,在系统中识别和确定PCI Express设备的连接关系和数据传输路径的过程。根据不同的事务类型,事务层会产生不同类型的TLP报文,并根据不同的路由方式进行数据转发。总之,PCI Express总线中的另一个重要组件是PCI Express桥,它的作用是将PCI Express总线连接到其他类型的总线或设备,从而形成一个更大的网络。通过以上步骤,可以获取PCI Express总线的拓扑结构,包括设备的连接关系、设备的配置信息和数据传输路径等。
J031_使用TCP协议支持与多个客户端同时通信
最新发布
lzn20161229的博客
08-03 199
使用TCP协议支持与多个客户端同时通信。
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
互联网架构小马的博客
07-31 524
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
Lusen的博客
08-02 401
Vulnhub系列Connect-The-Dots靶场做题记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值