授权认证登录之 Cookie、Session、JWT 详解

于 2024-07-15 11:14:19 发布
阅读量630 收藏 16
点赞数 30
分类专栏: java 文章标签: 计算机网络 java http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcf123456_/article/details/140428942
版权

一.状态

先从状态说起,http无状态

我们知道,HTTP 是无状态的。也就是说,HTTP 请求方和响应方间无法维护状态,都是一次性它不知道前后的请求都发生了什么的,每一次请求都是独立的,下一次请求并不会携带上一次请求的数据。

但是有的场景,我们需要维护状态,就比如说一个用户登录想访问其他资源就必须是在登录的状态下进行访问,评论、关注等

那怎么办,我们是不是需要一个标记对不对!

二.登录校验

三.会话技术

1.会话:

用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。在一次会话中可以包含多次请求和响应

2.会话跟踪

一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。

3.会话跟踪技术方案
  • 客户端会话跟踪技术:Cookie
  • 服务端会话跟踪技术:Session
  • 令牌技术
4.Cookie

4.1 举例:
@Slf4j
@RestController
public class sessionController{
//设置Cookie
@GetMapping("/c1")
public Result cookiel(HttpServletResponse response){
response.addCookie(new Cookie( name: "login username",value:"itheima"));
return Result.success();
}




//获取Cookie
@GetMapping("/c2")
public Result cookie2(HttpServletRequest request){
Cookie[]cookies=request.getCookies();
//获取所有的Cookie
for(Cookie cookie:cookies){
if(cookie.getName().equals("login username")){//输出name为 login username 的cookie
System.out.println("login username: "+cookie.getValue());
}
}
return Result.success();
}
4.2 测试

此时看到服务端返回的Set-Cookie,然后保存在浏览器

再访问c2接口,看看是否把cookie携带到服务端

4.3 总结

5.Session(基于cookie)

第一次访问时,服务端会生成会话seesion对象并存储,对应一个sessionId,并通过http的响应头自动返回,值在Set-cookie里面,

5.1 举例

5.2 测试

首先看到是响应回来的Set-cookie,也就是id

可以看到cookie里面又多了一个sessionID

然后再访问s2接口

5.3 总结

6.令牌技术

本质其实就是一个字符串,常见的令牌技术有很多,例如JWT、OTP、ORTOken、OAuth令牌等

以JWT为例进行讲解

6.1 JWT(JSON Web Token)
  • 定义了一种简洁的、自包含的格式,用于在通信双方以ison数据格式安全的传输信息。由于数字签名的存在,这些信息是可靠的.

组成:

  • 第一部分:Header(头),记录令牌类型、签名算法等。例如:{alg":"HS256","type":"JWT”}
  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。例如:{"id":"1","username":"Tom")
  • 第三部分:signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

例如那么是如何将上面的json数据变成底下的字符串的呢?其实是进行了编码-Base64 编码

需要注意的是第三部分:

数字签名部分不是直接对头部和载荷的Base64URL编码结果进行加密,而是先对头部和载荷的Base64URL编码字符串用”.”(点)连接起来,然后使用头部中指定的签名算法和密钥对这个连接后的字符串进行加密。加密后的结果再进行Base64URL编码,得到最终的签名部分。

其实就是两个步骤:

  • 登录生成令牌
  • 后续请求校验令牌
6.2 生成JWT

1.引入依赖

<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>

2.生成

public void testGeniwt(){
Map<sString,object>claims =new HashMap<>();
claims.put("id",1);
claims.put("name","tom");
String jwt = Jwts.builder().signwith(SiqnatureAlgorithm.Hs256,"itheima").setclaims(claims)
.setExpiration(new Date(system.currentTimeMillis()+ 3600*1000)).compact();
System.out.println(jwt);
}

3.解析

6.3 总结

蛋哥tatan
关注
专栏目录
CookieSessionJWT详解
miaozy
04-10 1471
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
Basic Auth认证, Session/Cookie认证,JWT Token认证使用场景和优缺点分析
qq_33101689的博客
08-21 3610
Session/Cookie认证, Basic Auth认证, Token认证使用场景和优缺点分析 一. 为什么要授权认证 二. 传统Session/Cookie认证 三. Basic Auth 四. jwt token认证 四. 总结 一. 为什
彻底搞懂CookieSession、Token到底是什么
dency
04-04 2205
Cookie 洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛:马冬梅啊。 大爷:马什么没? 夏洛:行,大爷你先凉快着吧。 在了解这三个概念之前我们先要了解HTTP是无状态的Web服务器,什么是无状态呢?就像上面夏洛特烦恼中经典的一幕对话一样,一次对话完成后下一次对话完全不知道上一次对话发生了什么。如果在Web服务器中只是用来管理...
Cookie Session Jwt
rjlmylover_zyw的博客
02-14 382
文章目录cookiesessioncookiesession区别jwt cookie 是存在于浏览器的一个凭证 当浏览器第一次访问服务器 , 会在服务器创建一个cookie 再返回浏览器 cookie里面有用户的所有信息 当用户再次访问服务器时 , 携带着cookie(一个凭证) 服务器根据携带的cookie信息不同分别不同用户 session 浏览器访问服务器的时候 , 服务器创建一个session , 同时生成一个特殊的cookie , (name为JSESSIONID的固定值,value为
sessioncookiejwt
qq_32037561的博客
08-04 230
session,cookie,jwt
JWTCookieSession
m0_61504888的博客
09-23 148
Cookie 定义:是由服务器端生成,发送给浏览器,浏览器会将cookie中key/value保存到某个目录下的文本文件内,下次请求同一网站时将自动发送该cookie给浏览器 特点: 1、是以键值队的格式存储数据的 2、不同域名之间的cookie是不能互相访问的 3、当浏览器请求某网站时,会将所关联的cookie发送给浏览器 Session 应用:对于一些相对于很敏感的信息,一般是由session保存在服务器端进行状态保持 Django项目默认...
CookieSessionJWT
God_Hearing的博客
10-05 322
cookie cookie是保存在本地浏览器的一个明文的用户信息 session session是保存在服务器端的一个键值对类似字典的数据 他的主要作用就是加密和保存登录状态和会话 登陆时验证用户名密码,如果正确,就会返回session的key,以后,浏览器端直接携带key访问,无需验证用户名和密码 session缺点: 1.这种模式最大的问题是,没有分布式架构,无法支持横向扩展。 2.如果使用一个服务器,该模式完全没有问题。 3.但是,如果它是服务器群集或面向服务的跨域体系结构的话,则
【ASP.NET编程知识】ASP.NET Core学习之使用JWT认证授权详解.docx
05-15
ASP.NET Core 使用 JWT 认证授权详解 在 ASP.NET Core 中,使用 JWT(JSON Web Token)认证授权是一种常见的身份验证方式。本文将详细介绍 JWT 的优势和劣势,以及在 ASP.NET Core 中如何集成 JWT 认证认证和...
sso单点登录的原理详解,及Shiro同时支持SessionJWT Token两种认证方式,和SessionJWT整合方案
阿啄debugIT
08-25 1119
1. 单点登录是什么? 单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包括单点登录与单点注销两部分。 2. 单点登录的原理 相比于单系统登录,sso需要一个独立的认证中心,只有认证中心能接受用户的用户名密码等安全信息,其他系统不提供登录入口,只接受认证中心的间接授权。间接授权通过令牌实现,sso认证中心验证用户的用户名密码没问题,创建授权令牌,在接下来的跳转过程中,授权令牌作为参数发送给各...
Cookie,SessionJWT
林北
10-19 1081
Cookie,SessionJWTHTTP是无状态的协议,每次客户端和服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,因此也无法知道上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。 Cookie Cookie是存储在客户端的一小块数据,也就
还分不清 CookieSession、Token、JWT
代码技巧
02-04 790
作者:秋天不落叶https://juejin.im/post/5e055d9ef265da33997a42cc什么是认证(Authentication)通俗地讲就是验证当前用户的身份,证...
CookieSession、Token、JWT
一蓑烟雨任平生
08-24 327
目录 什么是认证(Authentication) 什么是授权(Authorization) 什么是凭证(Credentials) 什么是 Cookie CookieSession 的区别 什么是 Token(令牌) Acesss Token Refresh Token Token 和 Session 的区别 什么是 JWT 生成 JWT JWT 的原理 JWT 的使用方式 项目中使用 JWT Token 和 JWT 的区别 常见的前后端鉴权方式 常见的加密算法 .
cookiesessionjwt
飞鸟慕鱼的博客
09-18 148
cookie 1.cookie就是键值对 2.cookie保存在客户端 3.服务端可以对cookie进行操作,添加、删除、查询 4.cookie是一种技术,是客户端和服务端交流信息的一种渠道,一种手段,一种方式。 5.在cookie中保存一些简单的信息,用户时谁 6.安全性不高,任何人都能查看 7.每次浏览器访问的时候,都会发送cookie信息 8.cookie不能存储用户的密码,...
JWTSessionCookie
N_a_n的博客
04-13 662
文章目录会话管理cookieSessionsessioncookie的优缺点JWTJWT工作JWT的优缺点优点缺点为什么Token可以防止CSRFCSRF工作原理总结 会话管理 由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。 这几个技术都是对HTTP协议的一个补充。 co...
CookieSessionJwt
m0_45887053的博客
06-24 292
将数据持久化保存到服务器端或者浏览器端让浏览器和服务器进行多次数据交换时产生连续性
授权认证CookieSession、Token、JW技术概述
最新发布
LiuCJ_20000的博客
04-11 1059
Session就是一个存储于服务器的特殊对象,通过session可以实现数据共享,session有一个JSESSIONID,这个是session的唯一标识,使用它可以查找到sessionsession是会话级别的,对于每一个客户端来说是独享它所拥有的session的,我们使用session在进行页面跳转时,服务端可以利用session进行数据共享。session由服务器进行控制。session的创建和销毁都是服务器进行管理的。服务器会为每一个客户端创建一个session
详细讲解CookieSessionJWT令牌技术
2301_77358195的博客
03-26 1221
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
JWT详解:与Cookie, Session和Token的区别及其安全挑战
本资源是一份关于CookieSession、Token和JWT的详细对比和深入解析的前端笔记。笔记由四个章节构成,分别探讨了这些概念的基础知识和发展历程。 在第一章,作者回顾了Cookie的历史背景,并介绍了其基本工作原理,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值