Cookie、Session、Token 、JWT、单点登录 详解

于 2024-07-23 09:11:23 发布
阅读量877 收藏 24
点赞数 16
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68074170/article/details/140621444
版权

HTTP是无状态说起,因为 HTTP 请求方和响应方间无法维护状态,都是一次性的,它不知道前后的请求都发生了什么。但在有些应用场景下,我们需要维护用户状态,比如登录状态,最典型的,一个用户登陆微博,发布、关注、评论,都应是在登录后的用户状态下的。

一、“前端”标记方式:Cookie 

Cookie是服务端发送到用户浏览器并且保存到本地的一小块数据,它会在浏览器下次向同一服务器发起请求时,被携带到服务器上。

  • 经常用来做一些用户会话状态管理、个性化设置等等。
  • cookie是跨域的,也就是在不同的域名中,访问的cookie的时候,只能访问对应的域名的cookie。

CSRF(跨站伪造请求)

用户登陆了a网站(后续所有请求都携带a网站的Cookies),然后跳转到b网站,b网站直接发送一个a网站的请求(b网站发送带a网站Cookies的请求,因此称为“伪造”),进行一些危险操作,就发生了CSRF攻击!

  • 攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。
  • 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。

最好的办法是使用Token。一般情况下我们使用 JWT 的话,在我们登录成功获得 JWT 之后,一般会选择存放在 localStorage 中。前端的每一个请求后续都会附带上这个 JWT,整个过程压根不会涉及到 Cookie。因此,即使你点击了非法链接发送了请求到服务端,这个非法请求也是不会携带 JWT 的,所以这个请求将是非法的。

XSS(跨站脚本攻击)

XSS是由于不安全的数据引起的,有可能是表单提交的数据,有可能是页面路径的参数问题。

  • XSS是通过盗取用户的敏感信息而达到攻击的目的

常见的避免 XSS 攻击的方式是过滤掉请求中存在 XSS 攻击风险的可疑字符串。

在 Spring 项目中,我们一般是通过创建 XSS 过滤器来实现的。

二、“前后端”状态管理方案:Session

Session 代表着服务器和客户端一次会话的过程。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当客户端关闭会话,或者 Session 超时失效时会话结束。

cookie是实现session认证的一种途径

Session 的分布式问题

通常服务端是集群,而用户请求过来会走一次负载均衡,不一定打到哪台机器上。那一旦用户后续接口请求到的机器和他登录请求的机器不一致,或者登录请求的机器宕机了,session 不就失效了吗?

这个问题现在有几种解决方式。

  • 一是从「存储」角度,把 session 集中存储。如果我们用独立的 Redis 或普通数据库,就可以把 session 都存到一个库里。
  • 二是从「分布」角度,让相同 IP 的请求在负载均衡时都打到同一台机器上。以 nginx 为例,可以配置 ip_hash 来实现。

但通常还是采用第一种方式,因为第二种相当于阉割了负载均衡,且仍没有解决「用户请求的机器宕机」的问题。

三、“前端”状态管理方案:token

cookie 并不是客户端存储凭证的唯一方式。token 因为它的「无状态性」,有效期、使用限制都包在 token 内容里,对 cookie 的管理能力依赖较小,客户端存起来就显得更自由。但 web 应用的主流方式仍是放在 cookie 里,毕竟少操心。

token 的流程是这样的:

  • 用户登录,服务端校验账号密码,获得用户信息
  • 把用户信息、token 配置编码成 token,通过 cookie set 到浏览器
  • 此后用户请求业务接口,通过 cookie 携带 token
  • 接口校验 token 有效性,进行正常业务接口处理

总结

狭义上,我们通常认为 session 是「种在 cookie 上、数据存在服务端」的认证方案,token 是「客户端存哪都行、数据存在 token 里」的认证方案。对 session 和 token 的对比本质上是「客户端存 cookie / 存别地儿」、「服务端存数据 / 不存数据」的对比。

客户端存 cookie / 存别地儿

存 cookie 固然方便不操心,但问题也很明显:

  • 在浏览器端,可以用 cookie(实际上 token 就常用 cookie),但出了浏览器端,没有 cookie 怎么办?
  • cookie 是浏览器在域下自动携带的,这就容易引发 CSRF 攻击

存别的地方,可以解决没有 cookie 的场景;通过参数等方式手动带,可以避免 CSRF 攻击。

服务端存数据 / 不存数据

  • 存数据:请求只需携带 id,可以大幅缩短认证字符串长度,减小请求体积
  • 不存数据:不需要服务端整套的解决方案和分布式处理,降低硬件成本;避免查库带来的验证延迟

四、token 生成方案:JWT(JSON Web Token)

JSON Web Token (JWT) 是一个开放标准,定义了一种传递 JSON 信息的方式。这些信息通过数字签名确保可信。

JWT 本质上就是一组字串,通过(.)切分成三个为 Base64 编码的部分:

  • Header(头部) : 描述 JWT 的元数据,定义了生成签名的算法以及 Token 的类型。Header 被 Base64Url 编码后成为 JWT 的第一部分。
  • Payload(载荷) : 用来存放实际需要传递的数据,包含声明(Claims),如sub(subject,主题)、jti(JWT ID)。Payload 被 Base64Url 编码后成为 JWT 的第二部分。Payload 部分默认是不加密的,一定不要将隐私信息存放在 Payload 当中!!!
  • Signature(签名):服务器通过 Payload、Header 和一个密钥(Secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。生成的签名会成为 JWT 的第三部分。JWT 安全的核心在于签名,签名安全的核心在密钥。

两点建议:

  1. 建议将 JWT 存放在 localStorage 中,放在 Cookie 中会有 CSRF 风险。
  2. 请求服务端并携带 JWT 的常见做法是将其放在 HTTP Header 的 Authorization 字段中(Authorization: Bearer Token)。

如何加强 JWT 的安全性?

  1. 使用安全系数高的加密算法。
  2. 使用成熟的开源库,没必要造轮子。
  3. JWT 存放在 localStorage 中而不是 Cookie 中,避免 CSRF 风险。
  4. 一定不要将隐私信息存放在 Payload 当中。
  5. 密钥一定保管好,一定不要泄露出去。JWT 安全的核心在于签名,签名安全的核心在密钥。
  6. Payload 要加入 exp (JWT 的过期时间),永久有效的 JWT 不合理。并且,JWT 的过期时间不易过长。

五、单点登录——「一次登录,全线通用」

  • “虚假”的单点登录(主域名相同):如果业务系统都在同一主域名下,比如wenku.baidu.com tieba.baidu.com,就好办了。可以直接把 cookie domain 设置为主域名 baidu.com,百度也就是这么干的。

  • “真实”的单点登录(主域名不同):比如滴滴这么潮的公司,同时拥有didichuxing.com xiaojukeji.com didiglobal.com等域名,种 cookie 是完全绕不开的。这要能实现「一次登录,全线通用」,才是真正的单点登录。这种场景下,我们需要独立的认证服务,通常被称为 SSO。

  • 用户进入 A 系统,没有登录凭证(ticket),A 系统给他跳到 SSO
  • SSO 没登录过,也就没有 sso 系统下没有凭证(注意这个和前面 A ticket 是两回事),输入账号密码登录
  • SSO 账号密码验证成功,通过接口返回做两件事:一是种下 sso 系统下凭证(记录用户在 SSO 登录状态);二是下发一个 ticket
  • 客户端拿到 ticket,保存起来,带着请求系统 A 接口
  • 系统 A 校验 ticket,成功后正常处理业务请求
  • 此时用户第一次进入系统 B,没有登录凭证(ticket),B 系统给他跳到 SSO
  • SSO 登录过,系统下有凭证,不用再次登录,只需要下发 ticket
  • 客户端拿到 ticket,保存起来,带着请求系统 B 接口

六、参考 

你真的了解 Cookie 和 Session 吗 - 掘金 (juejin.cn)
Cookie的设置、读取以及是否自动携带问题 - 掘金 (juejin.cn)
前后端数据交互(六)——ajax 、fetch 和 axios 优缺点及比较 - 掘金 (juejin.cn)
面试:彻底理解Cookie以及Cookie安全 - 掘金 (juejin.cn)
前端鉴权的兄弟们:cookie、session、token、jwt、单点登录 - 掘金 (juejin.cn)
HTTP协议之涉及到cookie字段 - 掘金 (juejin.cn)
/juejin.cn/post/6844904102544031757)
前端鉴权的兄弟们:cookie、session、token、jwt、单点登录 - 掘金 (juejin.cn)
HTTP协议之涉及到cookie字段 - 掘金 (juejin.cn)
原文链接:https://blog.csdn.net/klji234/article/details/124314796

每天进步一......
关注
  • 16
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第1节、用户登录业务Token介绍
小小木的博客
12-02 596
1. 用户登录业务介绍 1.1.单一服务器模式 早期单一服务器,用户认证。 缺点:单点性能压力,无法扩展 1.2.SSO(single sign on)模式 分布式,SSO(single sign on)模式 优点: 用户身份信息独立管理,更好的分布式管理。 可以自己扩展安全策略 缺点: 认证服务器访问压力较大。 1.3.Token模式 业务流程图{用户访问业务时,必须登录的流程} 优点: 无状态:token无状态,ses...
CookieSessionTokenJWT
weixin_58045199的博客
07-08 417
CookieSessionTokenJWT(
前端鉴权必须了解的 5 个兄弟:cookiesessiontokenjwt单点登录
FANSHUHAI的博客
12-24 148
本文你将看到: 基于 HTTP 的前端鉴权背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,如何进行编码和防篡改?jwt 是做什么的?refresh token 的实现和意义 sessiontoken 有什么异同和优缺点 单点登录是什么?实现思路和在浏览器下的处理 从状态说起 「HTTP 无状态」我们知道,HTTP 是无状态的。也..
单点登录token
qq_45398535的博客
05-12 1782
单点登录
使用token单点登录 - 整合JWT工具
weixin_44610169的博客
10-27 2583
注册接口和登录差不多,我们同样写一个提交的注册信息vo,在实现类拿到vo提交上来的各注册信息,然后进行判断是否为空,验证码是否正确,手机号是否已经注册(baseMapper.selectCount)得到的数据>0则代表已经被注册,通过校验后提交信息到数据库就可以了
session,cookie,token详解介绍以及单点登录的介绍
ywn0601的博客
03-10 289
详解session,cookie,token http是一种无状态的协议,即这一次请求和上一次请求是没有任何关系,互不认识,没有管理的,所以需要使用一些手段将其关联起来 session 就是一个会话,服务器用来区分不同客户的"身份标识",客户端请求带上这个标识,服务器就可以通过自己存储的数据知道是哪个客户端,客户端存储这个身份标识的方式一般是用cookie cookie浏览器中存储kv数据的一种具体功能,由服务器生成,发给浏览器,每个域的cookie的数量是有限的 token 由于session是存在服
sso单点登录的原理详解,及Shiro同时支持SessionJWT Token两种认证方式,和SessionJWT整合方案
阿啄debugIT
08-25 1110
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各...
CookieSessionJWT详解
miaozy
04-10 1428
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
CookieSessionToken三者的区别及使用
11-13
- 单点登录(SSO): 实现用户在一个系统内的不同服务之间无缝切换。 #### 四、CookieSession的区别 - **存储位置**: - Cookie: 存储在客户端浏览器。 - Session: 存储在服务器端。 - **安全性**: - Cookie: 较低...
cookie单点登录
littlekard的博客
03-30 98
cookie支持二级域名应用直接读取顶级域名cookie值,因此可通过SSO系统顶级域名,集成应用系统二级域名的方式实现通过cookie单点登录
cookie实现单点登录
fansofhaitao的专栏
03-09 482
http://www.cnblogs.com/sueris/p/5674169.html
有关token实现单点登录步骤
热门推荐
九七的博客
01-02 1万+
有关token实现单点登录步骤 服务端 1. 客户端使用username和pwd进行请求登录 2. 服务端收到请求,验证用户名和密码 3. 验证通过之后,服务端会签发一个token令牌,(存储到redis 还可以设置有效时间)再把token发送给客户端 4. 客户端收到token以后,存储到cookie或者session 5. 客户端每次向服务器请求资源都需要带着token 6. 服务端收到请求,然后去验证客户端请求里的token,如果验证成功,就向客户端返回请求的数据。 客户端 1、第一次登录的时候,
网络安全-CookieJWT
最新发布
Saki_Python的博客
02-19 965
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
Token、Redis实现单点登录
chaojiyingxiong的博客
01-27 5941
token、redis实现单点登录cookiesession的区别
JWT(JSON Web Token) 多网站的单点登录,放弃session
weixin_34104341的博客
08-22 486
多个网站之间的登录信息共享, 一种解决方案是基于cookie - session的登录认证方式,这种方式跨域比较复杂。 另一种替代方案是采用基于算法的认证方式, JWT(json web token)的方式。 参考链接: http://www.tuicool.com/articles/IRJnaa https://coderwall.com/p/8wrxfw/goodbye-php-sessio...
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。 session:是一种在服务器端存储用户信息的机制,用于跟踪用户在网站上的活动和状态。 token:是一种用于身份验证和授权的字符串,通常包含加密的用户信息和有效期限等信息。 jwt:是一种基于token的身份验证和授权机制,使用JSON格式存储用户信息和有效期限等信息,具有安全性高、可扩展性强等优点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值