用户的无状态登录原理(token认证机制)

最新推荐文章于 2024-08-28 16:45:17 发布
原创 最新推荐文章于 2024-08-28 16:45:17 发布 · 1.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

有状态服务如session在用户登录后保存用户信息,但会增加服务端压力并限制水平扩展。无状态登录通过Rest接口实现,每次请求包含自描述信息,如token。登录时,服务端验证用户信息,生成加密的token发送给客户端,后续请求携带token进行身份验证,确保安全性。

 

什么是有状态

 

有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。传统项目中,在用户登录后我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。

当登录数量过大,就需要我们新增服务器了。但是利用tomcat提供的session共享存在着不小的问题,缺点是什么?

  • 每台服务端都保存大量数据,增加服务端压力

  • 服务端保存用户状态,无法进行水平扩展

  • 客户端请求依赖服务端,多次请求必须访问同一台服务器

 

 

什么是无状态

 

微服务集群中的每个服务,对外提供的都是Rest风格的接口,Rest风格的服务是无状态的,它表现在服务端不保存任何客户端请求者信息、客户端的每次请求必须具备自描述信息,通过这些信息识别客户端身份

 

无状态登录的流程

  • 当客户端第一次请求服务时,服务端对用户进行信息认证(登录)

  • 认证通过,将用户信息进行加密形成token,返回给客户端,作为登录凭证

  • 以后每次请求,客户端都携带认证的token

  • 服务的对token进行解密,判断是否有效。

 

这个过程中最关键的就是保证token的安全性,我们通过JWT+RSA非对称加密技术对token进行加密

 

springboot+shiro+jwt实现基于token无状态授权认证
书生灬今天不吃饭的博客
07-11 2664
springboot+shiro+jwt实现基于token无状态登录鉴权
微服务统一登陆认证怎么做?JWT ?
u013085496的博客
11-23 1110
无状态登录原理 1.1.什么是有状态? 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如tomcat中的session。 例如登录用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,...
(PHP)基于Token的身份验证中对无状态的理解
Somethings
06-12 2043
假设我们设计的Token储存的信息为:            用户名.发行时间.过期时间.签名 在用户登录成功后,我们获取到用户用户名、此时的时间戳,并将它们和我们设置的过期事件拼接在一起,组成一个字符串,假设为: $info = 'foo.1497279169.1497379180'; 然后我们根据以上信息信息生成签名(这里我们假设密钥为‘mystar’) $signa
你知道微服务中的vue项目中没有登录如何实现token验证流程
weixin_42591908的博客
02-11 555
微服务中的Vue项目如果没有登录,可以通过实现以下流程来实现token验证: 客户端登录时,向服务器发送用户名和密码,服务器验证通过后,返回一个token; 客户端在之后的请求中,将token作为请求头发送到服务器; 服务器验证该token是否有效,如果有效则允许请求,否则返回错误信息。 这就是简单的token验证流程,它可以保证只有通过身份验证的用户才能访问受保护的资源。 ...
未经过token验证的用户A使用正常用户登录后的有效token访问A自己的资源
aeowuguozhi的博客
03-09 917
用户ID和token: 已经登陆的用户: { "status": 200, "msg": "登录成功!", "data": { "userId": "83c68099-6522-4d22-a841-7059089c18cd", "token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpZCI6Ijgz YzY4MDk5LTY1MjItNGQyMi1hODQxLTcwNTkwODljMThjZCIsInR5
token的有状态和无状态
mywaya2333的博客
02-24 1274
简而言之,有状态认证系统依赖于服务器端存储的会话状态来验证用户身份和权限,而无状态认证系统则不依赖于服务器端存储的会话状态,所有的认证信息都被包含在每个请求中。在身份验证和授权领域,"有状态"(stateful)和"无状态"(stateless)通常用来描述系统处理用户认证信息的方式。
无状态登录token实现jwt
weixin_45684556的博客
07-12 530
jwt是token的一种实现方式,还有uath2等实现方式, token就像是个人证件 jwt就好比身份证,auth2好比港澳通行证,都可以证明身份,知识证件类型不一样 jwt由三部分组成 header:申明类型,如jwt类型 载荷:如个人身份信息等有效信息 签名:是整个信息的认证信息系 前两部分是用户有效信息,经过前两部分的加密得到签名 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200712224548605.png?x-oss-process=image/
【Web安全与认证】Cookie、Session、Token技术解析:用户登录状态保持机制设计与应用
最新发布
12-20
内容概要:本文深入解析了Cookie、Session和Token的概念及其在保持用户登录状态中的作用与关系。首先介绍Cookie作为浏览器端的小型文本文件,用于在每次HTTP请求中自动携带用户信息;接着阐述Session作为服务器端的...
【 Web认证 】Cookie、Session 与 JWT Token:Web 认证机制原理、实现与对比文章源码
11-28
Session的安全性相对较高,但需要服务器有状态,对服务器的存储和内存要求较大,同时扩展性不如无状态认证机制。 JWT(JSON Web Tokens)是近年来广泛使用的Web认证技术。它是一个紧凑的、URL安全的方式,表示要...
Token认证机制原理与实践
本文系统地回顾了Token认证机制的理论基础,包括认证协议的演进、Token的工作原理及其安全性分析。在实践应用方面,文中详细探讨了JWT的实现、OAuth 2.0与OpenID Connect的应用,以及Token的管理和存储策略。文章还...
vue下axios拦截器token刷新机制的实例代码
10-15
然而,当涉及到用户认证和安全性时,我们需要处理令牌(如JWT或OAuth token)的管理,包括令牌的刷新机制。Vue和axios结合使用时,可以通过设置拦截器来实现自动刷新令牌的功能,确保请求能够不间断地进行。以下是一...
token的意思
weixin_44236424的博客
07-07 1135
token的一些概念
记录免登录获取token
dazhangyu168的博客
03-28 900
事情是这样的,有一个想嵌入别人系统生成一个网址作为别人菜单项的功能。要先弄登录接口,然后才有对应的token生成。之后所有的接口的请求头都必须携带这个token去请求。然后再每次发送请求的时候就要携带token了,必须在axios之前加上即可。好了,虽然还有响应之后token过期怎样处理之类的,这里就不再讲述。这时我们就要把登录接口做成一个同步的请求。
token(令牌)的理解
芝识分享
04-10 1565
1 、若是单纯的浏览文档,不需要记录是谁发送了请求,在某一段时间里浏览了什么,每一次都是一个新的请求。 随着交互式WEB应用的兴起,像购物网站、需要登录的网站等,这就需要区分每个用户,因为HTTP协议是无状态的,无状态的意思就是服务器不保存与客户端交互的任何状态,也就是说,上一次请求对这次没有任何影响,每一次请求都是新的。一开始是使用session和cookie机制,见文档“https://blog.youkuaiyun.com/weixin_42037528/article/details/115584069” 这样
无状态token和有状态token
m0_65732083的博客
08-28 690
无状态token:不包含用户会话信息,每次请求都需要重新验证。适用于分布式系统和微服务架构。有状态token:包含用户会话信息,可以在多个请求之间保持登录状态。适用于需要维护用户会话的应用,如单页面应用。
浅析权限认证中的有状态和无状态
asc8251的博客
04-08 278
前言 我们在设计构建一个系统的时候,权限管理和用户认证是最基本功能,其中关于用户认证这块是一个比较常见的模块。在已有的方案中,我们最常见的就是保存到 tomcat 中的 session 对象中。随着微服务的兴起,一种新的认证方法又火了起来,那就是JWT,下面我就浅析下自己对两种认证方式的认识,一些经验和大家探讨。 浅谈认证 我对认证的理解就是,当一个设备(客户端)向一个设备(服务端)发送...
token的作用
yiXin_Chen的博客
02-27 8185
token是服务端生成的一串字符串, 充当客户端进行请求的一个令牌, 当第一次登录后, 服务器生成一个token, 将token返回客户端, 客户端存储token, 客户端只需带上token来请求数据即可, 服务端验证token并返回数据. token的作用: 1. 防止表单重复提交 客户端首次登录时, 调用后端代码, 后端生成一个token返回给客户端, 客户端存储token, 可以存在cookie 中或者Local Storage(本地存储) ,客户端再次访问时, 将request中的token
理解 Cookie、Session、Token
weixin_46200045的博客
05-06 450
Cookie Cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 Cookie 由服务器生成,发送给浏览器,浏览器把 cookie 以 kv 形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该 cookie 发送给服务器。 由于 cookie是存在客户端上的,所以浏览器加入了一些限制确保 cookie 不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的 cookie 数量是有限的。 Session Session 从字面上讲,就是会
token解决http无状态问题
Fire_Pot的博客
08-28 1491
概述 http协议是应用层的超文本传输协议,用于客户端和服务器之间的通信,是无状态的,不能识别用户身份和状态 场景需求 需要对用户登录状态进行验证,如果用户已经登录,允许此用户进行操作,如果用户没有登录,则必须登录后才可操作 cookie技术分析 针对这种需求,cookie和session技术(session基于cookie,下文统称cookie)已经可以满足,但是cookie技术是针...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值