有状态/无状态认证

最新推荐文章于 2024-09-06 21:04:21 发布
最新推荐文章于 2024-09-06 21:04:21 发布
阅读量461 收藏 2
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50369190/article/details/128790184
版权

文章目录

一、什么是有状态认证?

在这里插入图片描述
有状态认证,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。

例如登录:用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。

缺点是什么?

  • 服务端保存大量数据,增加服务端压力
  • 服务端保存用户状态,无法进行水平扩展
  • 客户端请求依赖服务端,多次请求必须访问同一台服务器

二、什么是无状态认证?(token)

微服务集群中的每个服务,对外提供的都是Rest风格的接口。而Rest风格的一个最重要的规范就是:服务的无状态性,即:

  • 服务端不保存任何客户端请求者信息
  • 客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份

带来的好处是什么呢?

  • 客户端请求不依赖服务端的信息,任何多次请求不需要必须访问到同一台服务
  • 服务端的集群和状态对客户端透明
  • 服务端可以任意的迁移和伸缩
  • 减小服务端存储压力

三、无状态分布式认证解决方案

无状态认证的流程:

  • 当客户端第一次请求服务时,服务端对用户进行信息认证(登录)
  • 认证通过,将 用户信息进行加密形成token,返回给客户端(保存到前端 Cookie或LocalStroage中),作为登录凭证
  • 客户端以后每次请求,客户端都携带Cookie中的认证信息的token
  • 服务端对token进行解密,判断是否有效(身份合法性校验)。
  • 服务端从token中解析出登录用户信息(用户ID,用户角色等)

流程图:
在这里插入图片描述

整个无状态认证过程中,最关键的点是什么?

token的安全性!!!

因为token是识别客户端身份的唯一标示,如果加密不够严密,被人伪造那就完蛋了。所以token应该是加密的!

session认证适用并发量小的,用户量少的。token认证适用并发量大的,用户量多的。

宁愿一生都不说话
关注
专栏目录
Elastic认证特训营 难点解读06——集群状态变的非绿怎么办?
铭毅天下Elasticsearch
08-07 1772
1、集群状态的含义 红色:至少一个主分片未分配成功; 黄色:至少一个副本分片未分配成功; 绿色:全部主&副本都分配成功。 2、排查实战思路 2.1 查看集群状态 GET _cluster/health 返回状态举例: "status" : "red", 红色,至少一个主分片未分配成功。 2.2 到底哪个节点出现了红色或者黄色问题呢? GET _cluster/health?level=indices 如下的方式,更明快直接 GET /_cat/indices?v&he
状态认证 JWT+RSA鉴权
weixin_45262834的博客
03-17 1043
JWT+RSA鉴权使用场景一, 有状态认证及无状态认证的区别有状态认证:无状态认证:二、JWT什么是jwt?JWT格式的三部分数据:三、RSA加密算法(1)JWT+HS256算法:jwt + RSA非对称加密登录和鉴权流程:总结: 使用场景 当我们将网站部署在多台服务器时 ,使用传统的登录认证(有状态认证),当我们在A服务器 记录登录信息,但访问另一台服务器时,反而需要重新授权,引出了cookie的共享的问题。 一, 有状态认证及无状态认证的区别 有状态认证: 有状态认证,服务端需要记录每次会话的客户端
使用JWT的无状态身份验证
allway2的博客
11-07 1049
如果您对基于令牌的身份验证感兴趣,那么此博客适合您。在此博客中,我主要针对基于令牌/无状态的身份验证,以及如何使用JWT(Json Web令牌)来实现。 无状态/基于令牌的身份验证 无状态身份验证意味着,在服务器端,我们不维护用户状态。服务器完全不知道谁发送了请求,因为我们不维护状态。我们可以通过使用JWT(JSON Web令牌)来实现无状态身份验证。但是在进入基于JWT和基于令牌的身份验证之前,让我们看一下过去使用会话cookie进行身份验证的方式。 状态验证 这个怎么运作? 浏览器..
状态token和有状态token
m0_65732083的博客
08-28 352
状态token:不包含用户会话信息,每次请求都需要重新验证。适用于分布式系统和微服务架构。有状态token:包含用户会话信息,可以在多个请求之间保持登录状态。适用于需要维护用户会话的应用,如单页面应用。
状态登录
JustinNeil的博客
08-13 1389
状态登录什么是有状态?什么是无状态如何实现无状态 什么是有状态?   有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如Tomcat中的Session。例如登录:用户登录后,我们把用户的信息保存在服务端Session中,并且给用户一个Cookie值,记录对应的session,然后下次请求,用户携带cookie值来(这一步由浏览器自动完成...
javaweb:无状态和有状态的两种不同认证方式
行云
03-07 604
权限管理和令牌认证是一个系统最基本的功能, 在以往的方案中, 最常见的方案是把信息保存至 session 中实现有状态认证。 随着分布式和微服务的兴起, 一种新的认证方法又流行了起来, 那就是JWT, 采用了无状态认证
Token认证的未来:无状态身份验证的新趋势
weixin_52533007的博客
08-08 1292
本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远!Token认证是一种无状态的身份验证机制,用于验证客户端的身份并授权其访问受保护的资源。在Token认证中,客户端通过向身份验证服务器发送身份验证请求来获取一个Token。而后,客户端在后续的请求中,将Token作为凭据携带到服务器进行验证。服务器验证Token的有效性和签名,并根据Token中的信息授权用户访问所请求的资源。
laravel-token-auth:允许在 Laravel 中使用 API 令牌作为无状态身份验证的一种形式
07-02
允许在 Laravel 中使用 API 令牌作为无状态身份验证的一种形式。 这个包被设计为不依赖任何特定的令牌或令牌黑名单实现,但是默认情况下包用于提供基于 JWT 的令牌实现,而antarctica/laravel-token-blacklist包...
状态session 解决方案 JWT
qq_35809876的博客
06-23 2082
问题描述:        现在分布式微服务的逐渐使用广泛,前后端分离已经成为互联网项目开发标准,它会为以后的大型分布式架构打下基础。为以后服务的横向扩展提供了方便 JSON Web Tokens(JWT)能提供基于JSON格式的安全认证。JWT可以跨不同语言,自带身份信息,并且非常容易传递。  JWT即JSON WEB TOKEN的缩写,轻量级的令牌认证(相比于oauth),可用于数据交换间的安全...
RESTful API使用JWT做无状态的身份认证
云中采薇
12-30 7729
JWT设计RESTful架构的前后端,天然要求API是无状态的,JWT(JSON Web Token)简单易用,适合在分布式系统中做API无状态的身份认证。jwt由Header、Payload、Signature三部分组成,使用 . 分割开,一个JWT形式:Header.Payload.Signature这三部分分别对应的是加密算法、携带的用户信息、加密后的字符串(签名)。jwt自带签名,能够防止伪
Spring Boot集成无状态Shiro--内容详细介绍
坤哥的博客
11-23 9250
这里对昨天的shiro项目做个说明,整个项目主要参考的是GitHub的一个项目,他是基于session会话的,有集成redis,如果需要的话大家可以参考下:https://github.com/lovelyCoder/springboot-shiro。 我的项目GitHub地址:https://github.com/rhettpang/Springboot-Shiro。现在说下我的无状态的shir
搭建微服务下统一认证授权服务,鉴权客户端大致流程(基于无状态)
BurukeYou
02-11 6678
1.简介 基于无状态令牌(jwt)的认证方案,服务端无需保存用户登陆状态 基于spring security框架 + oauth2协议 搭建 基于spring cloud nacos,服务调用使用RestTemplate 前置知识: jwt (也就是这里用到的token) 就是一大串加密的字符串,用户的登陆状态都保存在里面,但这种字符串里面的数据不能被修改,一但修改校验一定会出错....
用户认证中的有状态和无状态
最新发布
huaqianzkh的专栏
09-06 933
在实际的系统设计中,需要充分理解需求,合理的使用技术,不同的技术方案适用不同的场景,技术存在即合理。1、目前大部分的互联网的产品中使用 JWT 的认证方式居多。2、在一些企业内部的管理系统中采用 cookie - session 的居多。
浅析权限认证中的有状态和无状态
asc8251的博客
04-08 223
前言 我们在设计构建一个系统的时候,权限管理和用户认证是最基本功能,其中关于用户认证这块是一个比较常见的模块。在已有的方案中,我们最常见的就是保存到 tomcat 中的 session 对象中。随着微服务的兴起,一种新的认证方法又火了起来,那就是JWT,下面我就浅析下自己对两种认证方式的认识,一些经验和大家探讨。 浅谈认证 我对认证的理解就是,当一个设备(客户端)向一个设备(服务端)发送...
状态身份验证和有状态身份验证
weixin_34112900的博客
08-03 300
状态的:比如session,cookie,spring项目都用spring session实现redis存储session,或者用nginx + redis+tomcat实现负载均衡,使用ip_hash策略,能将来自同一IP的客户端请求派发给同一个服务实例,在分布式环境中,可以解决session不共享的问题。不要使用轮询策略。 无状态的:比如JWT(JSON Web Token),是可在网络上传...
JWT+Redis+Spring Security 实现无状态认证
萌教授的博客
07-19 7882
目的 我们需要实现以下几种效果: 集群环境下,用户于一台服务器上某个端口下的应用登陆后,于其他任何本服务器或非本服务器上的应用,无需进行二次权限认证。且登陆信息始终共享。 面对同一时间对访问用户较大的情况下,避免session存储过多而内存溢出。 修改用户密码信息后,用户登陆状态主动失效,强制重登 修改用户信息,如禁用、锁定等信息后,用户登陆状态主动失效 支持根据用户信息的设定,能够实...
状态认证神器:JWT
weixin_44295717的博客
08-28 770
说起身份认证,可能大家的第一反应就是Session认证,其通过在服务端保存一份用户登录信息,并返回一个SessionId保存在Cookie中,这样在下次请求时就可以通过SessionId来识别用户。 我们通常会采用Spring-Session-Data-Redis组件来实现,正常使用情况下不会有任何问题,但是如果服务达到每秒万级别的调用量时,如何解决应用系统与Redis的远程调用开销导致的响应能力下降?如果Redis发生异常中断服务时,如何来保证认证服务?这些都值得我们去思考,是不是可以去中心化呢,是不是
SpringSecurity 无状态JWT验证
Doub1's Blog
06-22 814
SpringSecurity 改为无状态 JWT验证引言pom.xmlSecurity Config编写JWTUtils 用来创建和解析JWT控制器 写login方法,返回JWTJWTAuthenticationFilter 自定义过滤器 引言 朋友问到JWT的东西,其实这个东西很简单,只是将信息加密,以后前端访问带着这端信息过来,我们只需要解密后匹配一次看看信息是否正确即可。 必须使用JWT吗? JWT只是一种规范,事实上你可以使用任何格式进行加密,没有必须让你写成json后加密。你可以将信息按照自己的格
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值