一篇文章带你搞懂 cookie session 和 jwt

已于 2023-04-14 13:13:48 修改
阅读量228 收藏
点赞数
分类专栏: 记开发 文章标签: 前端 后端 vue.js reactjs
于 2023-04-14 12:57:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54252035/article/details/130151153
版权

文章目录

服务器端渲染

使用 session

因为 http 协议是无状态的,这是使用 session 的前提。

就像进出学校的时候,如果保安就看一下你的校园卡,都不看你是不是校园卡上的样子,那么这时候校园卡就是 cookie

登录成功之后,服务器端会给浏览器颁发 cookie 。

cookie = Name + Value + (有效期、安全性、使用范围)

20220726145553

cookie 的特性:

  • 自动发送
  • 域名独立
  • 过期时限
  • 4 KB限制

使用 cookie 完成身份验证的过程:
(cookie 是自动发送的 -> 程序员不需进行操作)

20220726160802

20220726160823

关于 cookie 的安全性:

cookie 不具有安全性

谁捡到你的校园卡都可以使用

浏览器端的 cookie 不能存储用户的重要数据。

提高用户身份认证的安全性

校园卡 + 刷卡认证

如果保安认真看了你是不是卡上的人,甚至然你刷卡验证,这时候就是 cookie 和 session 相结合了

session 的工作原理:

20220726162033

express-session 中间件的使用

// 导入session 中间件
let session = require(' express-session');

// 配置 session 中间件
app.use(sesison({
    secret:'niubi', // 配置任意字符串,负责对 session 进行加密
    resave:false,
    svaUninitialized:true
}))

向 session 中存数据:
通过 req.session 来操作 session。

req.session.user = req.body;
req.session.islogin = true;

从 session 中取数据:

app.get('/api/username',(req,res)=>{
    // 判断用户是否登录
    if(!req.session.islogin){
        return res.send({status:1,msg:'fail'})
    }

    res.send({status:0,msg:'success',username:req.session.user.username})
})

清空 session:

// 退出登录的接口
app.post('/api/logout',(req,res)=>{
    // 清空 session 的信息
    req.session.destory();

    res.send({status:0,msg:'退出登录成功!'})
})

前后端分离

使用 jwt

session 的局限性:
session 认证机制需要配合 cookie 才能够使用,由于 cookie 默认不支持跨域访问,所以需要做很多额外的配置,才能够使用跨域 session 认证。

注意:
使用session还是jwt主要取决于是否跨域。

jwt -> JSON web token

jwt 的工作原理:

加密 + 还原

20220726164608

jwt 的字符串 = header(头部) + payload(有效载荷) + signature(签名)

格式:
header.payload.signature

payload 部分是真正有用的用户信息,其余两部分与安全性有关。

20220726165320

jwt 存储在请求头的 Authorization: Bearer

在 express 中使用 jwt

两个包:
jsonwebtoken -> 生成 jwt字符串
express-jwt-> 将 jwt 字符串还原为 JSON 对象

const jsonwebtoken = require('jsonwebtoken');
const expressJWT = require('express-jwt');

我们需要定义 jwt 的加密密钥

  • 加密
  • 还原
const secretKey = 'ljj^_^'

具体的使用:

// jwt 生成
// 登录接口
// 用户登录成功后,生成 jwt 字符串,通过 token 响应给客户端
app.use('/api/login',function (req,res) {
    //登录失败的代码
    ...
    //登录成功
    res.send({
        status:200,
        msg:'success',
        // sign的单个参数:用户信息,密钥,配置对象(有效期)
        token:jsonwebtoken.sign({username:userInfo.username},secretKey,{expiresIn:'30s'})
    })
})

// jwt 还原
// 使用 unless({path:[/^\/api\//]}) 来指定哪些页面不需要访问权限
app.use(expressJWT{secret:secretKey}.unless({path:[/^\/api\//]}))
// 成功后,req.user即可使用

express 的错误中间件:

app.use(errr,req,res,next) => {
    // token 导致的错误
    if(err.name === 'UnauthorizedError'){
        return res.send({...})
    }

    // 其他原因导致的错误
    res.send({...})
}
城南顾北
关注
专栏目录
sessionjwt区别 @by_TWJ
u010101252的博客
03-28 1358
基于session,用户信息存放在session里,在分布式下,是需要使用一个数据库(redis)存放共用的session信息的。,我觉得session会更优,因为我可以管理用户登录状态,我让他下线就下线。,我觉得jwt更优,这样jwt可以不用扩展搞redis,而且不用在服务端存放用户登录信息,减少了服务器使用内存,减少成本。jwt 存放在客户端本地,基于本地,但也可以存放在cookie等,可以自定义。基于jwt,因为用户信息都在jwtToken里,所以直接解析就能获取用户信息。jwt 有两个很关键的点,
nodejs express-jwt解析
BigManing的博客
08-04 1万+
作用是什么express-jwt是nodejs的一个中间件,他来验证指定http请求的JsonWebTokens的有效性,如果有效就将JsonWebTokens的值设置到req.user里面,然后路由到相应的router。 此模块允许您使用Node.js应用程序中的JWT令牌来验证HTTP请求。 JWT通常用于保护API端点。express-jwt和jsonwebtoken是什么关系express-
十五、Express 中使用JWT进行登录验证
灵魂学者的博客
01-11 2167
JWT是目前最流行的跨域认证解决方案,将用户的信息进行验证验证成功后会将用户信息进行加密,生成Token之后服务器将它响应给到客户端,客户端拿到这个Token之后将它保存起来,可保存在LocalStorage或SessionStorage中,那么在下次客户端再次发起请求之后,会再将未过期的Token发给服务器去还原验证,如果验证成功服务器会将请求相应的用户信息内容返回给客户端这样一个过程。
Express + JWT用户认证最轻实践
仗剑天涯,从摘要开始
03-24 334
Express + JWT用户认证最轻实践 最近给自己列了一个list,Ummm...列来列去大概是下面这个样子: React SSR服务端渲染 jwt用户认证 Vue全家桶 微信小程序开发 ... 等等 好吧,谁让自己菜呢,没什么好抱怨的,一个一个来吧。正好最近看了一些token身份认证的文章,发现其中大部分都是说token登录怎么怎么好,反正没有几个认认真真的实现的。。。正好,秉...
express 里面前后端身份验证 JWT 认证总结
峰会路转的博客
04-09 1305
我们在其他接口中解析客户端的token信息的时候,最新版的express-jwt有变化,需要使用req.auth来获取客户端的token,与较早版本的获取方式有差异,req.user,这里需要注意!由于 Cookie 默认不支持跨域访问,所以,当涉及到前端跨域请求后端接口的时候,需要很多额外的配置,才能实现跨域 Session 认证。总结:用户信息通过 token 字符串的形式,保存在客户端浏览器中,在需要验证身份的接口中,服务端对请求中的头信息进行分析,还原 token 信息来进行身份认证。
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
05-26
前端知识】Cookie, Session, Token和JWT是Web开发中用于管理用户状态和身份验证的重要概念。本篇文章主要探讨了Cookie的定义、特点、重要属性、优缺点、使用场景及其面临的问题。 1. 背景 Cookie的诞生源于HTTP...
鉴权大全(cookiesession、token、jwt、单点登录),深入理解和搞懂鉴权
qzwzsl的博客
07-18 1476
鉴权大全(cookiesession、token、jwt、单点登录),深入理解和搞懂鉴权
jwt太难懂?一篇文章你征服它
wdj_yyds的博客
01-10 916
本文的完整示例代码,见github仓库。小q只在文中介绍最关键的代码块。 https://github.com/yuanluoji/purestart-springboot-jwt 复制代码 关于jwt是什么,这里就不再啰嗦了。总体来讲,它有Header、Payload、Signature三个部分,每一部分,都有一些细分的属性,这个原理扫一眼就可以,对我们的使用没有实质性的帮助。 使用jwt可以让后台服务彻底的无状态化,让登录这个过程无需session的参互,这样服务端就会获得强大的横向扩容能力,前
【网络】CookieSession与Token、JWT及CSRF攻击
Voiceu的博客
06-10 682
由于HTTP是一种无状态的协议,所以当我打开淘宝,登录后,点击跳转结账(另一个页面),服务器端就不知道现在发请求的是不是我了,就得让我再次登录来确认身份。所以每一次请求的发生都是全新的,那么就需要一个来记录身份并且验证的东西,相对于通行证一样。这就是CookieSession的作用, 流程 客户端首次发出请求,服务器端收到后开辟一块 Session 空间(创建了Session对象),同时生成一个 sessionId ,并通过响应头的 **Set-Cookie:JSESSIONID=XXXXXXX **命
3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型篇】基于Session、Token、JWT怎么选?
天罡gg的专栏
03-29 4929
接下来开始第三章,主要用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
jwt java redis_一步一步搭建react应用-使用 jwt + redis 来基于token的用户身份认证...
weixin_28888459的博客
02-27 190
基于token的认证流程客户端用户发登录请求服务端验证用户名密码验证成功服务端生成一个token,响应给客户端客户端之后的每次请求header中都上这个token服务端对需要认证的接口要验证token,验证成功接收请求这里我们采用jsonwebtoken来生成token,jwt.sign(payload, secretOrPrivateKey, [options, callback])使用exp...
JWT详解
热门推荐
baobao的博客
07-07 27万+
本文从本人博客搬运,原文格式更加美观,可以移步原文阅读:JWT详解 JWT简介 1.什么是JWT 在介绍JWT之前,我们先来回顾一下利用token进行用户身份验证的流程: 客户端使用用户名和密码请求登录 服务端收到请求,验证用户名和密码 验证成功后,服务端会签发一个token,再把这个token返回给客户端 客户端收到token后可以把它存储起来,比如放到cookie中 客户端每次向服务端请求资源时需要携服务端签发的token,可以在cookie或者header中携 服务端收到请求,然后去验证客户端请
探索优雅的Web开发:React-Express-Blog-Demo项目解析
gitblog_00095的博客
03-24 344
探索优雅的Web开发:React-Express-Blog-Demo项目解析 项目地址:https://gitcode.com/Nealyang/React-Express-Blog-Demo 项目简介 React-Express-Blog-Demo 是一个开源的博客系统示例项目,它巧妙地融合了React前端框架与Express后端框架,为开发者提供了一个快速构建现代Web应用的起点。此项目不仅适...
jwt鉴权(react express jsonwebtoken)
furfur-jiang的博客
02-14 1048
此文记录jwt鉴权(react express jsonwebtoken)思路流程 整个项目可以在https://github.com/furfur-jiang/DevConnector处查看,欢迎start jwt鉴权(react express jsonwebtoken)思路流程后端四步1. 配置一个随机内容,全局使用2. 登录接口,返回token3. 后端添加鉴权中间件,解析后返回解码后的内容,便于后续中间件使用4. 需要权限的接口,加上auth中间件即可前端五步1. 前端登录后,存储token、用户
【Vue】a-radio-group单选框数字与字符串回显问题
叶为正的博客
10-08 256
根据后端接口返回数字或字符串,来配置Ant Design of Vue中a-radio-group单选框的回显问题,注意value中的取值是不一样的。
web扩展
最新发布
x737510的博客
10-10 512
HTTP(Hypertext Transfer Protocol)协议中的它们在用途和使用方式上有一些区别。用于请求服务器上的资源,通常是获取数据。GET 请求是幂等的,多次请求返回的结果应该是相同的,而且不应该对服务器产生任何副作用。用于向服务器提交数据,通常是提交表单数据或上传文件等。POST 请求可能对服务器产生副作用,例如在数据库中创建新的资源。数据通过 URL 参数传递,附在 URL 后面。因为数据在 URL 中可见,所以不适合传递敏感信息,且有长度限制。
快餐食品检测系统源码分享[一条龙教学YOLOV8标注好的数据集一键训练_70+全套改进创新点发刊_Web前端展示]
m0_73388125的博客
10-08 1378
数据集信息展示在本研究中,我们使用了名为“burger detection”的数据集,以改进YOLOv8在快餐食品检测系统中的表现。该数据集专门针对快餐食品的多样性进行设计,涵盖了六个主要类别,分别是:bbq、bread、bun、hotdog、pattty和patty。这些类别的选择不仅反映了快餐食品的常见种类,还考虑到了它们在实际应用中的重要性,尤其是在餐饮行业的食品识别和分类任务中。数据集的构建过程经过精心设计,确保每个类别的样本数量和质量都能满足深度学习模型训练的需求。
基于Java(Jsp+Sevlet)+MySql 实现的(Web)成绩管理系统
神仙别闹的自留地
10-08 1649
如果能把负责学生成绩管理的模块独立出来形成一个独立的系统,便可以有效降低教务系统的数据量,不仅可以方便管理员对于所有学生的信息进行系统的管理,而且便于教师对学生成绩进行查询和修改,学生也可以查询自己的成绩。因此,开发一套合适的、兼容性好的系统是很有必要的。:DAO层主要是数据持久层的工作,负责与数据库进行联络的一些任务都封装在此,DAO层的设计首先是设计DAO的接口,然后定义此接口的实现类,然后就可在模块中调用此接口来进行数据业务的处理,而不用关心此接口的具体实现类是哪个类,显得结构非常清晰。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

城南顾北

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值