token以及session

最新推荐文章于 2024-05-03 17:58:21 发布
最新推荐文章于 2024-05-03 17:58:21 发布
阅读量989 收藏 2
点赞数 3
文章标签: 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64105376/article/details/126833042
版权

本篇文章会主要讲解一下token以及session的验证过程,以及cookie的安全问题,以及在实际开发中如何使用,其实这算是老生常谈了,但是我也是吧这篇文章写出来做一个梳理,总结吧,希望你们也能从这篇文章中获益。

一、session验证过程

客户端向服务端发送请求(携带相关数据),服务端把相应的数据存储在服务端中,并给客户端返回一个sessionid,当下一次用户再次请求的时候,会在cookie中携带sessionid,服务端验证进行校验,辨别用户并验证sessionid是否过期,如果没过期可以直接把用户之前存储在服务端的数据拿出来。

弊端:1.因为大量数据存储在服务器端,造成服务器端压力过大

           2.由于session传递,需要依赖于cookie,cookie有不安全性(后面会简单介绍一下cookie的不安全性),且对一些非浏览器的客户端以及移动端并不适用

           3.浏览器可以禁用cookie,这样就没有办法传递session了

二、cookie的不安全性

1.存储在浏览器端的cookie易被脚本获取

2.存在cookie欺骗,当获取到你cookie中的信息的时候,其实并不需要对cookie中的信息进行解密,只需要正常提交给服务器就可以,服务器会自动识别

解决办法:给cookie一个合理的有效期

                    HttpOnly:true防止XSS攻击

                    key使用uuid

                    https协议比http协议更加安全

三、token的验证过程(token作用是一个令牌)

用户向服务端发送用户名和密码,服务器验证用户名和密码,成功后返回一个token给客户端,存在cookie或者localStorage里,每次请求把token携带过去,服务端收到请求,验证token,如果一致,返回客户端请求的数据

四、JWT

jwt的本质是字符串,包含header,有效载荷(payload),签名(signature)

优点:数据量小,速度比较快

           不需要再服务端保存信息,不依赖于cookie

           对单点登录很友好

五、实际开发过程中主要过程

1.登陆后,通过uuid生成一个token,将该token作为key的一部分,作为value存储数据库中,并设置过期时间。

2.将token作为jwt的payload生成字符串发挥前端

3.前端请求携带jwt字符串

4.后端定义一个拦截器,每次收到请求时都先查看jwt中的token

刘依铭
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie、SessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookie,sessiontoken的使用及原理
10-16
主要介绍了彻底理解cookie,sessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Cookie、SessionToken之间的区别到底在哪?
D-的博客
10-21 9210
在了解三者之间的区别之前,我们首先得清楚什么是HTTP协议的无状态性。对Cookie、SessionToken的理解
token登录验证机制与session登录验证机制的优缺点
清风丨的博客
03-19 1万+
首先我们需要来了解tokensession登录验证的过程 token登录验证机制 前几天研究了一下springboot security的一个项目,分析了源码,里面就是在使用token的登录验证机制,主要使用过程如上图,登录后根据security的安全算法生成一个唯一的token值(基于JWT),然后存储到redis中,并设定过期时间,之后把token值返回前台,前台保存到localStora...
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 3031
Cookie Session Token讲解及用法
cookie、sessiontoken之间的关系
热门推荐
开发猫
10-30 1万+
cookie、sessiontoken之间的关系 token 令牌,是用户身份的验证方式。 最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名)。对Token认证的五点认识 一个Token就是一些信息的集合; 在Token中包含足够多的信息,以便在后续请求中减少查询数据库的几率; 服务端需要对cookie和HTTP Authrorizat...
Tokensession的区别
飞扬的博客
06-08 542
其实session认证只是完成sessionID信息的存储操作,只是相对安全而已。session实现是一种简单认证方式,只要存在sessionID,即可得到用户的全部权限。2.session是依赖链路层来提高通信安全,而token是通过身份认证方式,对请求进行签名从而防止监听或重放攻击等,所以它们两者并不冲突。如果需要实现有状态,可以添加session服务器端来完成状态保存操作。1.session是有状态化,会记录并存储会话信息,token是无状态化的,不会存储会话信息。
sessiontoken 比较,各自的优缺点, cookie进行存储
qq_43631129的博客
03-07 1253
sessiontoken 比较,各自的优缺点, cookie进行存储
java不同项目加token访问_干掉服务状态!从 SessionToken
weixin_39898854的博客
11-19 379
来自公众号:会点代码的大叔在讲Token之前,先简单说说什么是 Session 和 Cookie。首先要知道 HTTP 请求是无状态的;无状态的意思就是:每一次请求都是独立的;每一次请求不会受到前面请求的影响,也不会影响后面的请求;比如我们登录一个系统的时候,验证用户名密码之后,打开系统各个页面的时候就不需要再进行登录操作了,直到我们主动退出登录或超时退出登录;为了让服务器有“记忆功能”...
Vue保持用户登录状态(各种token存储方式)
耕耘——从菜鸟到高手的蜕变
05-04 2456
目录在前端中,实现保持用户登录状态的方法有很多种,你通过可以存Cookie、SessionToken等信息来保持,不管后台向前端发送哪个我们要做的就是将这些信息存在在本地浏览器中,浏览器再次发送请求时,将设置了‘键'=‘值'的Cookie再次抛给服务器服务器通过Cookie的。
.Net 实操将Token存入Session
xy的博客
10-16 95
theme: smartblue 一、参考 .NET Session - 掘金 (juejin.cn) .NET 让Swagger中带JWT报文头 - 掘金 (juejin.cn) .NET ActionFilter行为过滤器 - 掘金 (juejin.cn) 二、环境搭建 2.1 依赖下载 Microsoft.AspNetCore.Session 2.2 服务注册 主要...
创建带时间戳的session值,以及设置token
02-20
创建带时间戳的session值,以及设置token,网上找了好多的资源,都没有现成的,都是一点点拼凑起来的为什么一定要分数才行呢?免费共享不好吗?
Cookie、SessionToken、JWT.xmind
01-30
Cookie、SessionToken、JWT.xmind
cookie,token,session
05-13
cookie,token,session
element-ui的bug记录
nick_zhang的博客
04-29 386
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1078
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 272
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 262
createWs("测试数据", (res) => {
菜鸡学习netty源码(三)—— Reactor 模型
最新发布
u013127325的博客
05-03 334
我们先进行理解一下Reactor模型,知道什么是Reactor模型,它有什么特别之处。我们先来简单介绍一下这个Reactor模型。Reactor模型的核心思想:就是将所关注的I/O事件进行注册到一个多路复用器上,一旦有I/O事件的发生,将事件进行分发到对应的事件处理器中,执行I/O事件对应的函数。Rector模型有3中模型的实现:单Reactor单线程模型,单Reactor多线程模型,多Reactor多线程模型。
tokensession
08-19
### 回答1: TokenSession都是用于身份验证和授权的机制,但它们的实现方式不同。 Token是一种轻量级的身份验证方式,通常是一串加密后的字符串,包含有关用户身份和权限的信息。当用户进行登录或授权操作时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中携带该Token服务器通过解析Token来识别用户身份和权限。 Session服务器端的一种状态管理机制,服务器会为每个会话分配一个唯一的Session ID,将该ID存储在客户端的Cookie中。当用户进行登录或授权操作时,服务器会创建一个Session,并将Session ID返回给客户端。客户端在后续的请求中携带该Session ID,服务器通过该ID来识别用户身份和权限。 总的来说,Token适用于分布式系统或跨域场景,而Session适用于同一域名下的Web应用。 ### 回答2: TokenSession都是用于身份验证和授权的机制,用于验证用户的身份和为用户提供访问权限。 Token服务器为客户端生成的一串字符,作为客户端在后续请求中进行身份验证的凭证。它可以是短暂的或永久的,在有效期内可以用来访问特定的资源或执行特定的操作。通常情况下,当用户成功登录后,服务器会生成一个token并返回给客户端,客户端将token保存在本地,之后每次请求时携带token信息,服务器通过校验token的合法性来判断用户的身份和权限。 Session是一种服务器端的机制,用于跟踪和记录用户的状态。服务器会为每个会话创建一个唯一的sessionID,并将sessionID存储在服务器上。当用户通过进行登录后,服务器会创建一个session,并将sessionID返回给客户端。客户端在后续的请求中将会携带此sessionID,而服务器可以通过检查sessionID来确定用户的身份和权限。 TokenSession的主要区别在于存储位置和实现方式。Token是存储在客户端的,而Session是存储在服务器端的。Token相对来说更容易扩展和实现分布式的系统,因为服务器不需要存储和维护session信息。而Session则可以更好地保护用户的敏感信息,因为session数据存储在服务器端,用户无法直接访问和修改。 在实际应用中,我们可以根据需求和场景选择使用TokenSession机制来进行身份验证和授权,确保系统的安全性和用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值