基于Session的认证与授权实践

最新推荐文章于 2025-02-18 16:09:40 发布
原创 最新推荐文章于 2025-02-18 16:09:40 发布 · 647 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#servlet #java #spring

本文详细介绍了基于Session的认证与授权实践,包括创建工程、实现认证、会话功能和授权功能。通过Servlet、SpringMVC和Servlet3.0,展示了登录验证、会话持久化以及权限拦截的实现过程。最后,给出了项目演示和小结。

基于Session的认证方式

基于 session 的认证方式如下图:

​基于 Session 的认证机制由 Servlet 规范定制,Servlet 容器已实现,用户通过 HttpSession 的操作方法即可实现,如下是 HttpSession 相关的操作API。

创建工程

本项目使用 maven 搭建,使用 SpringMVC、Servlet3.0 实现。

创建maven工程

导入依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <parent>
    <artifactId>spring-security-study</artifactId>
    <groupId>com.msdn.security</groupId>
    <version>1.0-SNAPSHOT</version>
  </parent>
  <modelVersion>4.0.0</modelVersion>

  <artifactId>springmvc-session</artifactId>

  <packaging>war</packaging>
  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
  </properties>


  <dependencies>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-webmvc</artifactId>
      <version>5.3.23</version>
    </dependency>
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>javax.servlet-api</artifactId>
      <version>4.0.1</version>
      <scope>provided</scope>
    </dependency>
    <dependency>
      <groupId>org.projectlombok</groupId>
      <artifactId>lombok</artifactId>
      <version>1.18.20</version>
    </dependency>
    <dependency>
      <groupId>cn.hutool</groupId>
      <artifactId>hutool-all</artifactId>
      <version>5.8.5</version>
    </dependency>
  </dependencies>

  <build>
    <plugins>
      <plugin>
        <groupId>org.apache.maven.plugins</groupId>
        <artifactId>maven-compiler-plugin</artifactId>
        <configuration>
          <source>8</source>
          <target>8</target>
        </configuration>
      </plugin>
    </plugins>
  </build>
</project>

Servlet Context配置

本案例采用 Servlet3.0 无 web.xml 方式,在 config 包下定义 WebConfig.java,它对应于 DispatcherServlet 配置。

@Configuration//就相当于springmvc.xml文件
@EnableWebMvc
@ComponentScan(basePackages = "com.msdn.security"
        ,includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {

    //视图解析器
    @Bean
    public InternalResourceViewResolver viewResolver(){
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setPrefix("/WEB-INF/view/");
        viewResolver.setSuffix(".jsp");
        return viewResol
最低0.47元/天 解锁文章
SpringBoot为WebSocket添加安全认证授权功能
AI天才研究院
07-29 3609
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证授权功能提供了开箱即用的解决方案。
session身份认证机制
qq_43781887的博客
10-12 956
本博客讲述session身份认证机制,在了解session身份认证机制之前,需要先了解以下内容。前端身份认证主要分为两种,一种是Session身份认证,一种是JWT身份认证。(3)Session身份认证的工作原理(重要!(4)在Express中使用session认证。服务端渲染推荐使用session认证机制。前后端分离推荐使用JWT认证机制。Cookie在身份认证中的作用。Cookie不具有安全性。(1)HTTP无状态性。提高身份认证的安全性。
跟着燕青学Spring Security认证授权04--Servlet3.0 SpringMVC实现Session认证方式
传智燕青
10-09 691
1 认证流程 基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。下图是...
基于session认证
Leon_Jinhai_Sun的博客
12-20 277
目前大多数web应用的用户认证机制都是基于session的。用户认证成功后,在服务端生成用户相关的数据保存在session中(当前会话),而发给客户端的sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户登出或过期时把服务端session销毁,客户端的session_id也就无效了。 而在分布式的环境下,基于session认证会出现一个问题。当我们第一次访问网站的时候,负载均衡
SpringSecurity】十三、基于Session实现授权认证
llg___的博客
03-19 1425
定义三个接口,登录,服务端保存session,登出,让session失效。以及一个资源接口,查看当前是登录访问资源,还是未登录访问资源。客户端下次再请求,就带上sid,服务端校验是否存在对应的session,存在则不要求用户再登录了。服务端返回给客户端session id (sid),被客户端存到自己的cookie中。用户认证成功后,服务端生成用户数据保存在session中。拦截器add并放行/login,只测/r**接口。修改实体类,加个权限字段,存储用户权限。加个测试资源接口/r2。
Session 认证和Token 认证
abc_138的博客
01-02 1544
概念:JWT 全称 JSON Web Token,是一种基于 Token 的认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
Vert.x,认证授权 - 基于Session身份认证
10-22
在Vert.x中,基于Session身份认证是一种常见的安全实践,它能够在用户登录后创建一个会话,并在后续请求中使用该会话来验证用户身份,从而授权用户访问特定资源。 在Vert.x中,认证授权通常通过认证提供者...
Spring Boot 安全实战:基于 OAuth2 JWT 的微服务身份认证授权方案(代码详解版)
最新发布
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
02-18 1533
在微服务架构中,前后端分离以及各个服务的独立部署使得安全问题变得尤为关键。传统的基于 Session认证方式在分布式环境下往往难以满足无状态和高扩展性的要求。基于 OAuth2 JWT(JSON Web Token)的认证授权方案成为了解决这一问题的主流选择。本文将详细介绍如何在 Spring Boot 环境中构建一个安全、可扩展的微服务认证体系。我们将通过完整的代码示例,包括授权服务器和资源服务器的配置,以及客户端的调用示例,帮助你构建一个从认证授权全流程的解决方案。
shiro的全流程demo,世界shiro在spring认证授权流程,自定义授权类型,分布式session授权缓存的实现
09-11
本项目是一个基于 Spring Boot 的 Shiro 全流程示例,涵盖了从用户登录认证到权限控制的完整流程,并实现了自定义授权类型、分布式 session授权缓存。 首先,我们来看 Shiro 的认证过程。在 Spring Boot 应用中...
SpringSecurity in Action》一: 基于Session实现登陆认证
shangcunshanfu的博客
04-10 1625
SpringSecurity - 基于Session实现登陆认证1 依赖2 代码示例2.1 代码说明 1 依赖 <dependencies> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
基于Session的安全认证方式
天天向上
07-14 591
1. 基于Session的安全认证方式 描述:当我们没有进行安全认证的时候,直接在浏览器地址栏输入http://127.0.0.1:8080/Security_Session/index.jsp会直接访问页面,这是我们不希望看到的。我们希望index.jsp页面是我们管理员角色才能访问的,因此需要进行一个安全认证。 原理:借助session机制,我们将用户的角色信息记录在session中,在页面对session中的角色进行认证,如果是admin角色则允许访问index.jsp页面,否则重定向到login.
SpringSecurity-基于Session认证方式
ginger_mr的博客
11-15 1827
文章目录基于Session认证方式1. 认证流程2.创建工程1.创建maven工程2. Spring 容器配置3. servletContext配置4. 加载Spring容器 基于Session认证方式 1. 认证流程 基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户
基于Session认证方式
mry6的博客
10-24 994
基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发给客户端的session_id存放到cookie中,这样客户端请求时带上session_id就可以验证服务器端是否存在session数据,以此完成用户的合法校验。因此,在认证成功后,一般会把认证成功的用户信息放入Session中,在后续的请求中,系统能够从Session中获取到当前用户,用这样的方式来实现会话机制。基于Session认证方式是一种常见的认证方式,至今还有非常多的系统在使用。
基于Session进行登录校验
abc123mma的博客
10-23 2543
黑马点评项目,基于Session进行登录校验
Session认证机制
weixin_45650502的博客
03-28 5604
不同开发模式下的身份认证: (1)服务端渲染推荐使用Session认证机制; (2)前后端分离推荐使用JWT认证机制。
基于session和token的身份认证方案
weixin_30564901的博客
05-08 287
一、基于session身份认证方案 1.方案图示 2.比较通用的鉴权流程实现如下: 在整个流程中有两个拦截器。 第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中取user对象,如果session中有,就放user对象到threadlocal中。这是为了业务处理的时候能直接获取用户对象。 第二个拦截器AuthActionInteceptor是...
Web应用程序的身份验证:Session认证、Token认证
Waylon_Ma的博客
04-01 4333
当用户进行登录操作时,服务器会创建一个Session,并给这个Session分配一个唯一的标识符(Session ID),然后将这个Session ID发送给客户端保存。例如,在电子商务网站中,用户需要登录才能访问个人购物车和订单等敏感信息,此时可以使用 session 来验证用户身份,并在服务器端存储相关的用户信息和状态。Token是无状态的,不需要在服务器端保存用户的登录信息,因此具有良好的可扩展性,并且可以很方便地实现分布式系统中的认证授权。① session数据持久化,写入数据库或别的持久层。
#基于session实现认证授权
m0_46569883的博客
07-15 476
基于session实现认证授权 1.基本概念 1.2 什么是认证 ​ 简而言之,系统中的登录即为认证认证用户的身份是否合法。进行系统认证可以有效的实现保护用户的隐私数据以及资源,用户的身份合法即可访问该资源。 ​ 用户认证就是判断一个用户的身份是否合法的过程,系统去访问资源时,系统要求验证用户的身份信息,身份合法即可继续访问,不合法拒绝访问。常见的用户登录方式有:账号密码登录,二维码登录,手机短信登录,指纹认证,刷脸认证等等。 1.3 什么是会话 ​ 用户进行认证之后,为了避免用户每次的操作都需要进
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值