各种登录方式梳理

于 2025-02-14 00:44:54 发布
阅读量680 收藏 28
点赞数 9
文章标签: 网络 java github git 算法 eclipse tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64317904/article/details/145623348
版权

一、基于 Cookie-Session 的登录鉴权

1. 实现原理

  • 用户登录成功后,服务端生成唯一的 Session ID,并将其存储在服务器内存或数据库中。
  • 通过 Set-Cookie 响应头将 Session ID 返回给浏览器,浏览器后续请求自动携带该 Cookie。
  • 服务端通过 Session ID 验证用户身份。

2. 优缺点

优点:
  • 实现简单:易于理解和实现,兼容性强。
  • 兼容性好:适用于传统 Web 应用。
缺点:
  • 服务器内存压力:Session 数据存储在服务器内存中,用户量较大时对内存有较高要求。
  • 分布式问题:在集群或分布式架构中,需要同步 Session 数据,影响性能。
  • 单点故障:如果服务器宕机,Session 数据可能丢失。

3. 补充

  • IP Hash 映射:通过请求的 IP 进行 Hash 映射,确保同一用户始终访问同一台服务器。但如果服务器宕机,会导致部分用户 Session 数据丢失。

二、基于 Token(如 JWT)的无状态认证

1. 实现原理

  • 用户登录成功后,服务端生成一个签名后的 Token(如 JWT),返回给客户端。
  • 客户端将 Token 存储在 LocalStorageCookie 中,并在请求头中携带(如 Authorization: Bearer <token>)。
  • 服务端通过验证 Token 的签名和有效期来确认用户身份。

2. JWT 结构

JWT 由三部分组成:

  1. Header:描述 Token 类型和加密算法。
{
  "alg": "HS256",  // 加密算法
  "typ": "JWT"     // Token 类型
}
  1. Payload:存放用户信息和声明。
{
  "sub": "1234567890",  // 用户ID
  "name": "John Doe",   // 用户名
  "iat": 1516239022,    // 签发时间
  "exp": 1516242622     // 过期时间
}
  1. Signature:对 Header 和 Payload 的签名,确保 Token 的完整性。
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret

3. 优缺点

优点:
  • 无状态:服务端无需存储 Token,天然支持分布式系统。
  • 自包含:Token 中包含用户信息,减少数据库查询。
  • 安全性:通过签名防止篡改,支持加密算法(如 HMAC、RSA)。
缺点:
  • 无法主动失效:Token 一旦签发,服务端无法主动使其失效(除非过期)。
  • 续期问题:Token 过期后,用户必须重新登录,难以实现无感刷新。

三、Redis 存储 Token 的增强方案

1. 实现原理

  • 用户登录成功后,服务端生成一个随机 Token(如 UUID),并将其作为 Key,用户信息作为 Value 存储在 Redis 中,设置过期时间。
  • 客户端存储 Token,并在请求时携带。
  • 服务端通过 Redis 验证 Token 的有效性。

2. 优缺点

优点:
  • 主动失效:通过删除 Redis 中的 Token,可以主动使其失效。
  • 会话控制:可以限制用户的并发会话数。
缺点:
  • 依赖 Redis:增加了系统架构的复杂度。
  • 登录时间控制问题:固定过期时间可能导致用户体验不佳,滑动过期可能增加安全风险。

3. 适用场景

  • 需要高安全性和会话控制的中大型应用。

四、OAuth 2.0 / 第三方登录

1. 实现原理

  • 允许用户通过第三方平台(如微信、GitHub)登录。
  • 服务端通过 OAuth 协议获取用户授权信息,完成本地登录或注册。

2. 授权码模式流程

  1. 用户点击“第三方登录”,跳转到第三方授权页面。
  2. 用户授权后,第三方回调应用并返回授权码(Authorization Code)。
  3. 服务端用授权码向第三方换取 Access Token。
  4. 服务端通过 Access Token 获取用户信息(如 OpenID),完成本地登录或注册。

3. 适用场景

  • 需要第三方账号快速登录的应用。

五、双 Token 机制

1. 实现原理

  • Access Token
    • 作用:用于访问受保护的资源,携带用户信息和权限。
    • 特点:
      • 有效期较短(如 5 分钟)。
      • 每次请求都需要携带。
      • 过期后需要重新获取。
  • Refresh Token
    • 作用:用于获取新的 Access Token。
    • 特点:
      • 有效期较长(如 24 小时)。
      • 不携带用户信息,仅用于刷新 Access Token。
    • 存储在安全的地方(如 HttpOnly Cookie)。

2. 工作流程

  • 用户登录
    • 用户提交账号密码,服务端验证成功后生成 Access Token 和 Refresh Token,并返回给客户端。
  • 请求受保护资源
    • 客户端在请求头中携带 Access Token(如 Authorization: Bearer <accessToken>)。
    • 服务端验证 Access Token:
    • 如果有效,处理请求并返回数据。
    • 如果过期,返回错误码(如 401 Unauthorized),提示客户端刷新 Token。
  • 刷新 Access Token
    • 客户端检测到 Access Token 过期后,使用 Refresh Token 请求新的 Token。
    • 服务端验证 Refresh Token:
    • 如果有效,生成新的 Access Token 和 Refresh Token,并返回给客户端。
    • 如果过期,返回错误码(如 401 Unauthorized),提示用户重新登录。
  • 用户重新登录
    • 如果 Refresh Token 也过期,客户端提示用户重新输入账号密码登录。

3. 优缺点

优点

○ Access Token 有效期短,减少泄露风险。即使 Access Token 被截取,攻击者也仅能在短时间内利用。

○ Refresh Token 存储在安全的地方(如 HttpOnly Cookie),避免被恶意脚本窃取。

○ 用户无需频繁登录,通过 Refresh Token 自动刷新 Access Token,提升了用户的使用便利性。

○ 可以根据业务需求调整 Access Token 和 Refresh Token 的过期时间,支持滑动过期和会话控制。

缺点

○ 相比单 Token 机制,双 Token 机制的实现更为复杂,需要额外处理 Refresh Token 的存储、验证和失效逻辑。

○ 无法主动失效:Token 一旦签发,服务端无法主动使其失效。

六、双 Token 三验证机制

1. 背景

  • 单 Token ,双 Token,Redis 存储 Token 都没有真正完全解决这两个问题
    • 有效期设置矛盾:短有效期影响用户体验,长有效期增加安全风险。
    • 无法主动失效:Token 一旦签发,服务端无法主动使其失效。

2. 实现原理

  • 双 Token
    • Access Token:有效期短(如 5 分钟),用于日常请求。
    • Refresh Token:有效期长(如 24 小时),用于刷新 Access Token。
  • 三验证
    1. Access Token 验证:每次请求验证 Access Token 是否有效。
    2. Refresh Token 验证:Access Token 过期后,使用 Refresh Token 刷新。
    3. Redis 验证:Refresh Token 存储于 Redis,确保只能使用一次。

3. 流程

  1. 用户登录
    • 生成 Access TokenRefresh Token
    • Refresh Token 存储到 Redis,设置过期时间。
    • 返回双 Token 给客户端。
  1. 请求验证
    • 客户端携带 Access Token 请求资源。
    • 服务端验证 Access Token
      • 有效:处理请求。
      • 过期:返回 401,提示客户端刷新 Token。
  1. 刷新 Token
    • 客户端使用 Refresh Token 请求新的 Token。
    • 服务端验证 Refresh Token
      • 有效:生成新的双 Token,更新 Redis。
      • 无效:返回 401,提示用户重新登录。
  1. 主动失效
    • 服务端检测到异常(如异地登录),删除 Redis 中的 Refresh Token,使其失效。

4. 优点

  • 安全性
    • Access Token 有效期短,减少泄露风险。
    • Refresh Token 存储于 Redis,可主动失效。
  • 用户体验
    • 用户无需频繁登录,通过 Refresh Token 自动刷新 Access Token
  • 灵活性
    • 支持滑动过期和会话控制。

5. 适用场景

  • 对安全性和用户体验要求较高的系统(如金融、电商)。
  • 需要支持多设备登录和会话管理的场景。

七、总结

方案

状态管理

扩展性

安全性

适用场景

Cookie-Session

有状态

传统 Web 应用

JWT

无状态

中高

分布式系统、移动端

Redis + Token

有状态

需会话控制的企业应用

OAuth 2.0

依赖第三方

第三方登录集成

双 Token 机制

有状态

极高

高安全需求场景

双 Token 三验证

有状态

极高

高安全需求场景

通过 双 Token 三验证机制,系统在安全性、用户体验和灵活性之间取得了平衡,是登录鉴权模块的最佳实践方案。

几种登录模式
classOurself的博客
03-25 2927
1. 正常登录 收集用户信息、校验、请求接口后台校验得到token 2. 委托登录 初始登录模式相同,中间加了一层,初始登录请求来主账号信息(含token)及委托人数组,再使用委托人信息登录(委托人token)或者跳过(主账号token)。验证码通过transform、rotato实现。 3. 验证码登录 点击发送验证码将对应手机号发送到第三方,第三方会将验证码转发给手机及相应后台,点击登陆验证对应手机号及验证码信息。 4. 扫码登录 二维码登录原理主要基于token的认证机制+二维码状态变化
单点登录大概逻辑梳理
qq_34823218的博客
12-31 856
在用户登录时一起将sessionid传进去,记录到数据库 再加一个接口去获取用户ID(唯一)对应的sessionID 在之后跳转或者刷新页面时调用这个接口判断当前sessionID和存储到数据库的sessionID是否是同一个。不是同一个跳转到登录页面,重新登录。是就可以进入界面 ...
登录实现的几种方式
10-17 3923
普通的登录 这个是极其普通的登录需求,要的就是一个登录页面,输入账号密码,提交Form表单,后端查询数据库对应用户名的密码,匹配正确则把用户记录到Session,不正确则返回错误。 这种登录,在上学的时候,也许敬爱的老师就已经教过你了。 但可能他没有教你的是,密码需要hash加密,session为什么可以记录登录用户的原理。 密码Hash 密码hash,就是存进数据库的密码是一串密文,密文是明...
VUE中的RSA非对称加密的应用
Kilven
06-15 957
从通常的登录流程中, 我们发现服务器判断用户是否登录, 依赖于sessionId, 一旦其被截获, 黑客就能够模拟出用户的请求。于是我们需要引入token的概念: 用户登录成功后, 服务器不但为其分配了sessionId, 还分配了token, token是维持登录状态的关键秘密数据。在服务器向客户端发送的token数据,也需要加密。于是一次登录的细节再次扩展。 客户端向服务器第一次发起登录请求(不传输用户名和密码)。 服务器利用RSA算法产生一对公钥和私钥。并保留私钥, 将公钥发送给客户端。 客户
前端登录方案?这一篇就够了
小生方勤
07-08 860
登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?今天我们就来介绍几种常用的登录方式。Cookie + Sessio...
四种常见的登录方案
Carol的小星球
07-08 1万+
1.Cookie + Session 登录 HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判断用户的登录状态。 为了解决 HTTP 无状态的问题,Lou Montulli 在 1994 年的时候,推出了 Cookie。 Cookie 是服务器端发送给客户端的一段特殊信息,这些信息以文本的方式存放在
Token与Cookie、Session登录机制
huan1213858的博客
08-02 1148
session 和 token 本质上是没有区别的,都是对用户身份的认证机制,只是他们实现的校验机制不一样而已(一个保存在 server,通过在 redis 等中间件获取来校验,一个保存在 client,通过签名校验的方式来校验),多数场景上使用 session 会更合理,但如果在单点登录,一次性命令认证上使用 token 会更合适,最好在不同的业务场景中合理选型,才能达到事半功倍的效果。详细跳转。
撞库攻击最新梳理与预防方式
07-19
撞库攻击最新梳理与预防方式 撞库攻击是一种网络攻击方式,攻击者使用被盗的用户名和密码组自动注入网站登录表,从而未授权直接登录用户的账户。撞库攻击的增多,不仅在于数据泄露事件中被盗凭证的增加,另一重要...
第二节:Vben Admin 登录逻辑梳理和对接后端准备
cui_win的专栏
02-23 3680
第一节,我们已经配置了前端环境,运行起来了我们的Vben Admin的项目。本节内容,我们先熟悉下项目的目录和文件,然后开始准备对接后端程序路由在 src/router页面在 sr/views本节前端登录逻辑梳理完成了,后端只要在/api/login 接口编写返回逻辑,前后段就可以打通了,具体详情我们下一节介绍。
功能需求梳理模板
09-19
- **登录方式切换**:默认登录方式按优先级排序,支持手动切换。 - **密码更新提示**:超过180天未更改密码的用户会在登录成功后收到提示。 - **IP地址变更**:IP地址变化时提示用户重新登录。 #### 三、UE交互设计...
owncloud登录流程梳理及接口重写
桔梗迷的博客
10-11 664
owncloud的登录接口重写owncloud登录实现1.渲染登录表单2.登录提交方法3.自己实现登录(原有登录接口不受影响)4.注意事项5.题外 owncloud登录实现 1.渲染登录表单 它原本流程从index.php的(OC::handleRequest();)进入处理,然后看最后一行代码**(linkToRouteAbsolute(‘core.login.showLoginForm’))**,这里可以定位到core/Controller/LoginController.php的showLoginFo
app的登录认证与安全
热门推荐
MOKA
03-16 2万+
一、登录机制 粗略地分析, 登录机制主要分为登录验证、登录保持、登出三个部分。登录验证是指客户端提供用户名和密码,向服务器提出登录请求,服务器判断客户端是否可以登录并向客户端确认。 登录认保持是指客户端登录后, 服务器能够分辨出已登录的客户端,并为其持续提供登录权限的服务器。登出是指客户端主动退出登录状态。容易想到的方案是,客户端登录成功后, 服务器为其分配sessionId, 客户端随后每次请
单点登录原理与实现方式
qq_63668886的博客
05-06 682
有了会话机制,登录状态就好明白了,我们假设浏览器第一次请求服务器需要输入用户名与密码验证身份,服务器拿到用户名密码去数据库比对,正确的话说明当前持有这个会话的用户是合法用户,应该将这个会话标记为“已授权”或者“已登录”等等之类的状态,既然是会话的状态,自然要保存在会话对象中,tomcat在会话对象中设置登录状态如下。如果不存储,注销的时候就麻烦了,用户向sso认证中心提交注销请求,sso认证中心注销全局会话,但不知道哪些系统用此全局会话建立了自己的局部会话,也不知道要向哪些子系统发送注销请求注销局部会话。
谈谈前端登录那些事儿
h841440416的博客
07-24 357
登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?今天我们就来介绍几种常用的登录方式。 Cookie + Session 登录 Token 登录 SSO 单点登录 OAuth 第三方登录 Cookie + Session 登录 HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:
登录的几种方式
weixin_44925711的博客
04-22 633
2、客户端收到这个 Cookie 后自动保存,并在下次访问时带上这个 Cookie,届时服务器就能通过这个 Cookie 中的 SESSIONID 找到对应的 Session 从而识别用户。3、问题:对于分布式系统而言,服务器之间是隔离的,Session 是不共享的,存在 Session 共享问题。验证成功后 ,创建一个 Token 存储在 Redis 中,并将这个 Token 返回给客户端。3、客户端收到这个 Token 后将其保存,并在下次访问时带上这个 Token。2、服务器通过查询数据库进行验证。
系统登录方式汇总
最新发布
每天進步一點點
07-19 609
Token 是服务端生成的一串字符串,以作为客户端请求的一个令牌。单点登录指的是在公司内部搭建一个公共的认证中心,公司下的所有产品的登录都可以在认证中心里完成,一个产品在认证中心登录后,再去访问另一个产品,可以不用再次登录,即可获取登录状态。登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?在上文中,我们使用单点登录完成了多产品的登录态共享,但都是建立在一套统一的认证中心下,对于一些小型企业,未免太麻烦,有没有一种登录能够做到开箱即用?
常见的登录方式
B__B_B的博客
04-04 629
单点登录(SSO):在分布式系统中,用户只需要登录一次,在多个应用中就可以实现无需重复登录的功能。这通常通过一个中心认证服务来实现,用户只需要在认证服务上登录一次,然后在其他应用中可以直接访问,无需再次登录。基于第三方认证的登录:用户可以选择使用第三方平台(如Google、Facebook、Twitter等)的账号进行登录。用户通过提供第三方平台的授权信息,后端服务器通过与第三方平台进行通信来验证登录信息。基于Token的登录:用户在登录时,后端服务器生成一个Token,并将其发送给客户端。
前端登陆功能
CaraYQ的博客
03-05 4738
标题手机扫码登陆pc端二维码app认证机制 手机扫码登陆pc端 原文 二维码 二维码的内容不止可以存数字,还可以存任何的字符串。我们可以认为,它就是字符的另外一种表现形式。 手机扫码这个过程,其实是对二维码的解码,获取二维码中包含的数据。 二维码包含什么:服务端必须给数据生成惟一的标识作为二维码ID,同时还应该设置二维码过期的时间。服务端也应该保存二维码的一些状态:未扫描、已成功、已失效。PC端根据二维码ID等数据生成二维码。 app认证机制 我们发现,只有装载APP,第一次登录的时候,才需要进行基于账号
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值