认证鉴权方案

VIP文章 已于 2024-05-07 15:12:25 修改
阅读量828 收藏 18
点赞数 22
分类专栏: 认证授权 文章标签: java
于 2023-11-29 11:32:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50458070/article/details/134681743
版权

现在一般使用比较多的认证方式有四种:

  • Session
  • Token
  • SSO单点登录
  • OAtuth登录

1.Cookie + Session

Cookie与Session是Web开发中常用的两种机制,用来处理持久化数据和用户认证等问题。

存储位置

  • Cookie:保存在客户端浏览器中,作为浏览器的一部分。
  • Session:保存在服务器端,一般存储在内存或者数据库中。

数据存储

  • Cookie:以键值对的方式存储的小型文本信息。
  • Session:以键值对的方式存储,可以存储各种类型的数据,包括整型、字符串、对象等。

安全性

  • Cookie:由于保存在客户端,可能被他人篡改或者窃取,存在一定的安全风险。
  • Session:保存在服务器端,对客户端不可见,相对安全。

生命周期

  • Cookie:可以设置过期时间,可以在一段时间内保持持久化,也可以设置为会话Cookie,在会话结束后失效。
  • Session:默认在关闭浏览器后失效,但可以通过设置session的过期时间来延长其有效期。

资源消耗

  • Cookie:由于在客户端存储,对服务器端来说不会占用过多的资源。
  • Session:由于在服务器端存储,会占用服务器的内存和存储空间。

综上所述,Cookie适用于存储较小的数据,比如用户标识等,而Session适用于存储较大的、敏感的数据,比如用户的登录信息、购物车等。在实际应用中,Cookie与Session可以结合使用,共同完成用户认证和数据存储的功能。

        每个Cookie都有自己的域名、路径和过期时间等属性,服务器端会根据请求的域名和路径,选择合适的Cookie进行处理。具体是哪个Cookie会被发送给服务器,取决于服务器需要的Cookie条件和Cookie的属性设置。

最常见的就是 Cookie + Session 认证。

cookie只是session的一种实现方式。

Session,是一种有状态的会话管理机制,其目的就是为了解决HTTP无状态请求带来的问题。
当用户登录认证请求通过时, 服务端会将用户的信息存储起来,并生成一个 SessionId 发送给前端,前端将这个 SessionId 保存起来 。之后前端再发送请求时都携带 SessionId,服务器端再根据这个 SessionId 来检查该用户有没有登录过。这个 SessionId, 一般是保存在Cookie中
如果用户第一次访问某个服务器时,服务器响应数据时会在响应头的 Set-Cookie 标识里将Session Id 返回给浏览器,浏览器就将标识中的数据存在Cookie中。 
@RestController
@RequestMapping("/user")
public class UserController {
    @PostMapping("/login")
    public String login(@RequestBody User user, HttpSession session) {
        if ("admin".equals(user.getUsername()) && "admin".equals(user.getPassword())) {
            // 登录成功 写入Session
            session.setAttribute("sessionId", user);
            return "login success";
        }
        return "username or password incorrect";
    }

    @GetMapping("/logout")
    public String logout(HttpSession session) {
        // 注销 删除Session
        session.removeAttribute("sessionId");
        return "logout success";
    }
    @GetMapping("/api")
    public String api(HttpSession session) {
        // 用户操作 判断是否登录
        User user = (User) session.getAttribute("sessionId");
        if (user == null) {
            return "please login";
        }
        return "return data";
    }
}

response.addCookie方法和HttpSession.setAttribute方法之间有几个主要的差异:

  1. 作用范围:addCookie方法主要用于将一个Cookie对象添加到响应中,将其发送给客户端进行保存。而setAttribute方法是将一个属性添加到当前会话的HttpSession对象中,用于在会话范围内保存数据。

  2. 生命周期:Cookie对象可以通过设置不同的有效期来设置其生命周期,可以是临时的或者是持久

最低0.47元/天 解锁文章
weixin_50458070
关注
  • 22
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入聊聊微服务架构的身份认证问题
02-25
从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验。为了适应架构的变化、需求的变化,身份认证鉴权方案也在不断的变革。面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证鉴权方案。随着微服务架构的兴起,传统的单体应用场景下的身份认证鉴权面临的挑战越来越大。单体应用体系下,应用是一个整体,一般针对所有的请求都会进行权限校验。请求一般会通过一个权限的拦截器进行权限的校验,在登录时将用户信息缓存到session中,后续访问则从缓存中获取用户信息。而微服务架构下,一个应用
Http Digest 鉴权
06-21
“摘要”式认证( Digest authentication)是一个简单的认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。 摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。
汽车信息化平业务认证鉴权计费方案.ppt
12-05
汽车信息化平业务认证鉴权计费方案.ppt
汽车信息化平业务认证鉴权计费方案PPT学习教案.pptx
10-05
汽车信息化平业务认证鉴权计费方案PPT学习教案.pptx
rpc 微服务架构下的安全认证鉴权1
08-08
2. 分布式 Session 方案分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中,且通常由用户会话作为 key 来实现的简单分布式哈希映射 3.
浅谈认证鉴权
weixin_51955084的博客
10-27 1968
认证鉴权
认证、授权、鉴权、权限控制
weixin_35016347的博客
09-24 9939
相关概念 几个易混淆的个概念: 认证(Identification): 根据声明者持有的特定信息,来确认声明者的身份 例如身份证、用户名/密码、手机(包括短信、二维码、手势密码)、电子邮箱、生物特征(虹膜、面部、指纹、语音等) 高安全要求的场景下,会使用多种认证方式组合进行身份校验,即多因素认证 授权(Authorization): 资源所有者委派执行者,赋予其指定范围的权限,执行对资源的操作 授权实体例如银行卡、门禁卡、钥匙、证书等 例如web服务的session机制、浏览器的cookie机制、
鉴权与身份认证
ZXT02的博客
05-08 1161
鉴权与身份认证、常用的鉴权方式和原理
登录认证鉴权
weixin_39805244的博客
03-23 1170
登录认证的应用场景很广泛,例如用户登录微信之后才能发起聊天,看朋友圈;登录支付宝之后才能进行支付等等。这些场景涉及用户权限,所以系统要知道当前用户是谁,以及用户有没有操作权限,那么具体怎么实现呢?
前后端鉴权的10种方案
追求幸福,探索未知的博客
01-28 4888
前后端鉴权的10种方案
统一认证+多租户体系+鉴权
08-27
统一认证+多租户体系+鉴权
基于Java的面向REST API高性能认证鉴权框架设计源码
最新发布
04-10
本项目是一个基于Java的面向REST API的高性能认证鉴权框架设计源码,共包含626个文件,其中包括227个Java文件、125个Markdown文件等。系统采用了Java、CSS、JavaScript、HTML和Kotlin等技术,为用户提供了一个功能...
SpringCloud认证鉴权的6种方案
热门推荐
十年呵护的专栏
01-26 4万+
认证鉴权 SpringCloud认证鉴权方案 开始我们接触的时候权限认证 无从下手,但是当接触之后会发现 权限认证时一件很简单的事情,但是我们 方案众多又该如何选择呢,下面会分别对每种方案进行简单的阐述,有问题或者不明白的可以私信或者下方留言,一起讨论 含义 认证:简单来说,认证这个用户是谁。 鉴权:简单来说,就是了解这个用户能做什么事情 本篇章介绍如下几种方式 1.单体应用...
Spring security + Oauth2 + Jwt认证鉴权方案
TylerGuoj的博客
05-20 5059
基础概念 用户身份认证 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式 用户授权 用户认证通过后去访问系统的资源,系统会判断用户是否拥有访问资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问 http 3xx 重定向状态码 重定向状态码用来告诉浏览器客户端,它们访问的资源已被移动, Web服务器发送一个重定向状态码, 告诉客户端新的资源地址在哪。浏览器客户端会根据提供的地址,重新发送新的Reques
session和token鉴权方式
weixin_40611700的博客
10-19 1111
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
如何实现用户登录鉴权?两种方式手把手教会你!
weixin_57569942的博客
08-10 1524
利用Session和Jwt生辰的token实现用户登录鉴权
#登录鉴权——(cookie&session)&JWT
weixin_44813858的博客
09-03 364
express实现登录鉴权
认证鉴权的几种方式
yangzhe19931117的博客
11-22 1056
认证鉴权的几种方式
浅谈认证鉴权
haohaoge_jx的专栏
04-28 3603
1. 认证 认证一般用于对用户身份进行鉴别,判断其是否允许进行系统后续的操作。 1.1 Basic 认证(基本认证) 它应该是所有认证中最简单的一种方式了,注意利用用户的信息进行简单的编码来通讯。它在Http报文头中具有如下的格式: WWW-Authenticate: Basic realm="aGVsbG86d29ybGQ=" 说明: 这里的用户名:密码为(hello:world) 其中计算方式为: Base64(username:password) 特...
spring cloud gateway鉴权
09-02
Spring Gateway提供了多种方式实现鉴权,以下是一种常见的实现方式: ...以上只是一些简单的实现方式,具体的鉴权方案还需要结合实际业务需求来选择和实现。希望对你有所帮助!如果还有其他问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值