JWT认证机制(session具有局限性)支持跨域 原理 组成

最新推荐文章于 2024-03-18 16:56:13 发布
最新推荐文章于 2024-03-18 16:56:13 发布
阅读量348 收藏
点赞数
分类专栏: Node.js 文章标签: 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47295886/article/details/126831160
版权

        session认证机制需要配合cookie才可以实现、但是cookie默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口时,需要做很多额外的配置,才能实现跨域session认证——比较麻烦

  • 当前端请求后端接口不存在跨域问题、推荐使用 session身份认证机制
  • 前端需要跨域请求后端接口,不推荐使用session身份认证机制,推荐使用JWT认证机制

 JWT(json web token)认证机制

jwt是目前最流行的跨域认证解决方法,工作原理 

浏览器                                                                    服务器

浏览器提交账号和密码给服务器                        服务器验证账号和密码

                                                    验证通过,服务器将用户的信息对象,经过加密生成Token字符串

                                                    ·                Token字符串服务器不会保留,直接响应给客户端

客户端将token字符串(已经加密的用户信息),

存储到LocalStorage或SessionStorage中

客户端需要再次发送请求的时候,

通过请求头的Authorization字段,将Token发给服务器

                                                                        服务器把token字符串还原成用户的信息对象

                                                                        用户的身份认证成功后,服务器对当前的用户

                                                                        生成特定的响应内容

                                                                         服务器响应,把当前用户的对应内容响应给浏览器

用户信息通过token字符串的形式,保存在客户端浏览器中,服务器通过还原token字符串的形式来认证用户的身份。

在session中用户的信息保存在服务器中,在jwt中用户的信息保存在客户端中                                                              

 JWT的组成部分头部(Header)、有效荷载(Payload)、签名(Signature) 三者之间使用英文的.分隔。类似于:Header.Payload.Signature

Payload:是真正的用户信息,它是用户信息经过加密之后生成的字符串

Header、Signature是安全性相关的部分,是为了保证Token的安全性

JWT的使用方式:

客户端收到服务器返回的JWT之后,通常会将它存储在localstorage或sessionStorage中,此后,客户端每次与服务器通信,都要带上JWT字符串,从而进行身份认证。推荐做法将JTW放在HTTP请求头的authorization字段中,(在请求头中携带JWT身份认证字段)

格式如下

        Authorization:Bearer空格<token>

 

¡Venceremo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JWT你必须了解的认证登录方案.docx
06-26
JSON Web Token(JWT)是一种基于JSON格式的开放标准...尽管JWT有其局限性,但它提供了现代Web应用认证的一种有效解决方案,尤其在应对跨域和分布式环境时。开发者应根据具体需求和安全性考虑,选择合适的认证机制
分布式之Session共享及Session原理
qq_40278285的博客
07-13 196
分布式之Session共享及Session原理session原理 session原理 作用域: 1、不能跨域session,是在访问服务器后产生,对于不同的域名会产生不同的 sessionId。所以 session不能跨域的 2、不能跨服务:多个相同的服务,请求时域名相同。因为服务内部内存不能共享,session不能共享 解决方案 1、不能跨域: (1)、因为域名的不同,他们的sess-id也不同。可以设置域名的作用域,来达到子域名可以使用父域名的session-id 那么在设置ses
cookie和session
weixin_69282446的博客
05-24 628
Cookie Cookie是po;由服务器端生成,发送给浏览器,浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时自动发送该Cookie给服务器 Cookie可以用来在某个WEB站点会话间持久的保持状态 Session Session是另一种记录客户状态的机制,基于Cookie实现,客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是Session,客户端浏览器再次访问时只需要从Session中查找该客户的状态就可以了 区别与联系 Cook
session域与application域
weixin_54010017的博客
05-14 203
sessionsession一般是与cookie一起使用的,cookie和session的共同之处在于:cookie和session都是用来跟踪浏览器用户身份的会话方式。cookie 和session的区别是:cookie数据保存在客户端,session数据保存在服务器端。 每一个session都有唯一的sessionid,可以通过一个特殊的cookie,name为JSESSIONID的传过来,但当cookie失效时,就把session的id附加在URL路径的后面。如果不存在sessionid的话,就会
springboot跨域全局配置
ITzhongzi的博客
12-26 901
核心代码 package com.itzhongzi.videoedu.config; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframew...
前后端分离获取后端session为null,session跨域问题
cyndi_pzw的博客
04-07 1696
1.需要在前端代码每次发送请求时添加 axios.defaults.withCredentials = true 这段代码2.配置拦截器注册到适配器中。
jwt简单的介绍和了解
10-27
### JWT局限性 尽管JWT有许多优点,但也存在一些限制,例如: - 如果JWT过大,可能会导致HTTP头过大,影响性能。 - 由于JWT是自包含的,一旦发出,就无法修改,若其中包含的信息有误,只能撤销并重新发放。 - ...
jwt_token_test.zip
05-21
5. JWT的安全性与局限性JWT的安全性主要依赖于签名密钥的保密性。如果密钥泄露,攻击者可以伪造JWT。因此,密钥必须妥善管理,且定期更换。另外,由于JWT默认不支持撤销,一旦签发,即使用户注销,也无法立即阻止...
Cookie、Session和Token三者的区别及使用
11-13
- **Token**特别适合API认证跨域访问的场景,具有更高的安全性和灵活性。 根据不同的应用场景和技术需求,选择合适的方案是关键。例如,在安全性要求较高的场景下,使用Token结合适当的加密算法是一种常见做法;...
.net MVC使用Session验证用户登录(4)
10-18
但是,开发者也需要了解它的局限性,并根据项目需求选择合适的用户认证和授权机制。在实际应用中,开发者还应考虑到安全性问题,比如使用HTTPS协议来保护用户数据,以及对用户输入进行严格的验证,防止跨站脚本攻击...
交互中的跨域问题,cookie机制session机制
qq_53332185的博客
07-28 728
一.交互中的跨域问题 1.什么是跨域 广义跨域就是指跨域访问,简单来说就是 A 网站的 javascript 代码试图访问 B 网站,包括提交内容和获取内容。由于安全原因,跨域访问是被各大浏览器所默认禁止的。 当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。这就形成了“跨域”。 它是由浏览器的同源策略造成的,是浏览器施加的安全限制。 所谓同源是指,域名,协议,端口均相同 例子: http://
Session的缺点总结及解决方法
qq_33358062的博客
09-25 3715
Session有些局限制性,或者说是一些缺点吧。现在我们再来看看Session的缺点:    ①当mode="InProc"时,也就是默认设置时,容易丢失数据,为什么?因为网站会因为各种原因重启。    ② 当mode="InProc"时,Session保存的东西越多,就越占用服务器内存,对于用户在线人数较多的网站,服务器的内存压力会比较大。   ③当mode="InProc"时,程序的扩展...
跨域引起的session失效
weixin_42202352的博客
07-06 1718
业务场景 解决方式 总结 业务场景 ​ 场景1、 A系统原来访问B系统,之前是通过nginx前端配置的跨域方式访问(验签),然后再经B系统重定向到nginx中的前端指定页面;此时的访问链接形式如: http://a.com/a/b?redirectUrl=http://a.com/index.html 场景2、 后来由于业务需求,需要使用A-系统需要使用https来访问B系统,在不能影响A系统访问B的前提下申请了LB(loadbalance)通过LB的https负载到nginx的域名上a.com,此时的
JWT跨域身份验证解决方案)
最新发布
我是菜鸟
03-18 1079
同时服务器保存的用户信息会生成一个sessionid(相当于用户信息是一个value值, 而sessionid是value值的key)返回给客户端, 客户端将sessionid保存到cookie中,当用户再次访问服务器时,会携带sessionid,服务器会拿着sessionid从服务器获取session数据,然后进行用户信息查询,查询到,就会将查询到的用户信息返回,从而实现状态保持。这就意味着基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
升级springboot 2.x 踩过的坑——跨域导致session问题
weixin_44771582的博客
04-07 519
https://www.cnblogs.com/hujinshui/p/11025848.html
Session跨域共享解决方案
qq_18991813的博客
08-20 2241
一、Session跨域 所谓session跨域就是摒弃了系统(tomcat)提供的session,而使用自定义的类似Session机制来保存客户端数据的一种解决方案。如:通过设置cookie的domain来实现cookie的跨域传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务...
跨域session失效问题
linge-的博客
03-10 557
两个不同工程之间互相访问引发的跨域问题: 应客户要求A工程里面需要有一个单独模块跳转连接B工程中的模块,不是平常理解的Ajax请求跨域, 因为两个工程存在不同的session,而且A,B工程的菜单都是由session(为什么菜单信息放进session呢,因为存在 不同用户间的访问权限,在用户登录的时候会验证一遍权限信息,然后根据相应的访问权限,将不同的菜单信息返回)提供的, A中打
服务跨域以及Session保持问题
热门推荐
zhaoenweiex的博客
09-03 1万+
前言随着前后端分离以及微服务的应用越来越广,跨域session保持问题已经是大家所熟知的问题,由于项目需要本周进行了相应资料的调研和测试,最终在客户端,前台,代理,服务端等多个层面上共同解决了这个问题,特别在此记录一下,希望能帮助大家。跨域来自于浏览器的安全基石,即”同源政策”(same-origin policy)。
记一次Session跨域问题
铃萌的博客
03-01 1582
背景:网站域名:aa.abc.com,客户有需求,需要定制专属域名,如:kehu.abc.com。 项目介绍:前后端未分离的项目,登录授权是使用的shiro做的,页面是使用JSP写的。登录成功后,会将获取到的token写入cookie,接口有拦截器处理,shiro是未登录态时,会尝试使用cookie来登录,实现单点登录。 方案:申请专属域名,使用Nginx映射到网站域名上;后台服务也做了处理,如果登录用户判断有专属域名,则直接重定向到专属域名上,否则使用网站域名。逻辑很简单,流程如下,其他跳转页面的接口
JWT身份认证机制原理与实现
背景了解户身份认证的种式,主要有两种:Session验证和Token验证。 **Session验证** Session验证是传统的身份认证方式。其流程如下: 1. 客户端使用用户名和密码请求登录。 2. 服务端接收请求,验证信息,成功后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值