什么叫做用户认证与授权(一)

最新推荐文章于 2024-09-11 21:45:49 发布
最新推荐文章于 2024-09-11 21:45:49 发布
阅读量898 收藏
点赞数
分类专栏: WEB开发 文章标签: 服务器 java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dongdongdongJL/article/details/127516606
版权

1、为什么需要认证?

HTTP是一种无状态的协议,这就导致一个问题:用户登录以后,下一次请求,还是需要用户进行认证的。(这样的话就是说,用户每次访问都要登录,这样非常不方便)

在互联网发展初期,Web基本上只是内容的浏览而已,服务器不需要记住每个浏览请求的状态,换句话说,服务器不需要有任何的状态信息,每次客户端的请求都是新的请求,这也是http无状态一个很明显的表现。随着互联网大潮的到来,尤其是像在线购物等这种和用户关系密切的系统的大量兴起,系统需要辨识出用户,以便进行各种业务操作,这种需求给Http无状态这种特性一个强烈的冲击,所以最终的解决方案就是客户端请求的时候携带着一种标识,这种标识每个用户不同,这样服务端就可以根据这个标识区分出不同的客户端用户了,这也就诞生了用户认证这个概念。

2、认证和授权的区别?

认证和授权是两个不同的概念,更是两个不同的阶段,绝大多数带有认证和授权的系统,在用户操作流程上都是先进行认证,之后根据认证的结果再进行授权操作,有的初学者容易混淆二者的概念。举一个很简答的栗子:一个OA系统,在用户登录成功之后,一般左侧都会根据当前用户的不同角色或者权限出现不同操作的菜单树,其中用户登录这个过程就是认证的过程,而左侧的菜单树就是对当前用户的授权的一个具体表现形式(当然有的系统可能不这样做,但不代表没有授权的流程)。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1vYq4AKS-1666687663720)(https://segmentfault.com/img/remote/1460000023856628 “image”)]

认证是用来证明一个用户身份的操作流程,授权是用来给当前用户赋予权限的操作流程。

3、什么叫做会话 session?

认证是针对会话来说的。

用户打开浏览器,进行一系列操作,然后最终将浏览器关闭,这个整个过程叫做:一次会话(session)

当用户在浏览器发送第一次请求后,服务器会新建一个session对象,并响应一个对应的Cookie给浏览器,并由浏览器保存在内存中。

当用户继续发送或多次发送请求时,保存的Cokie编号会在服务器中找到对应的session对象。所以这时的session对象都是同一个。

再次访问浏览器的时候,已经不能通过之前的Cookie找到对应的session对象了,这次的会话是新的一次会话,服务器会重写创建一个新的session对象和对应的Cookie。

当用户关闭浏览器后,意味着当前这次的会话结束,浏览器当前保存的Cookie会被清除。

4、Session的相关理解

问题:

1、为什么不使用request对象保存会话状态?为什么不使用ServletContext对象保存会话状态?request.setAttribute()存,request.getAttribute()取,ServletContext也有这个方法。

  • request是请求域。ServletContext是应用域。

    • request是一次请求一个对象。

    • ServletContext对象是服务器启动的时候创建,服务器关闭的时候销毁,这个ServletContext对象只有一个。ServletContext对象的域太大。

    • request请求域(HttpServletRequest)、session会话域(HttpSession)、application域(ServletContext)

    • request < session < application

2、Cookie被浏览器禁用了,session对象还能找到吗?

  • cookie禁用是什么意思?服务器正常发送cookie给浏览器,但是浏览器不要了。拒收了。并不是服务器不发了。

  • 找不到了。每一次请求都会获取到新的session对象。

  • cookie禁用了,session机制还能实现吗?

3、request.getSession()都做了什么?

//获取session的Id

String sessionId = session.getId();

//将session的Id存储到名字为JSESSIONID的cookie中

Cookie cookie = new Cookie(“JSESSIONID”, sessionId);

//设置cookie的有效路径

cookie.setPath(request.getContextPath());

response.addCookie(cookie);

4、sessionID是否可以根据这个值,获得session对象?

答案是肯定的,通过sessionID,是有函数可以获得具体的session对象的,从而这么做了以后,才实现了已经登录的判断。在集群环境下,也是如此判断才实现的。

5、Session认证

因为根据HTTP协议,我们并不能知道是哪个用户发出的请求,所以为了我们的应用可以识别是哪个用户发起请求,我们只能在服务器中存储一份用户的登录信息,这份登录信息会在响应时传递给浏览器,并告诉浏览器保存为Cookie,下次请求时带上这份登录信息,这样我们的应用就可以识别是哪个用户发起的请求了,这就是传统的基于Session认证。

在这里插入图片描述

session工作原理:
1、客户端提交登陆请求,把账号密码提交到服务器验证;
2、服务器验证通过,在服务器开辟内存记录人的信息,生成cookie字符串,通过响应的形式发送给客户端;
3、客户端收到cookie,浏览器保存起来;
4、客户端再次发起请求,浏览器会自动把所有可用的cookie发送给服务器端;
5、服务器端收到cookie后从内存中查找对应信息,找到则证明用户验证成功,针对用户生成特定页面响应给客户端;

ASP.NET Core:认证授权
子昊
01-27 3647
认证 认证是安全体系的第道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是样的。都是基于同认证模型的。 ASP.NET Core的认证功能是通过内置的认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
网页提示未认证授权的应用服务器,授权认证(IdentityServer4)
weixin_28695161的博客
07-31 3689
区别OpenId: Authentication :认证Oauth: Aurhorize :授权输入账号密码,QQ确认输入了正确的账号密码可以登录 --->认证下面需要勾选的复选框(获取昵称、头像、性别)----->授权OpenID当你需要访问A网站的时候,A网站要求你输入你的OpenId,即可跳转到你的OpenId服务网站,输入用户密码之后,再调回A网站,则认证成功。OAuth2...
什么是用户认证授权(二)
梁老师教你编程序
10-25 501
服务器创建session出来后,会把session的id号,以cookie的形式回写给客户机,这样,只要客户机的浏览器不关,再去访问服务器时,都会带着session的id号去,服务器发现客户机浏览器带session id过来了,就会使用内存中之对应的session为之服务。用户B,再开个浏览器的时候,访问到web服务器,此时,web服务器也会创建个session,这个session对象用户A的是不同的对象。每个用户经过认证之后,我们的应用都要在服务端做次记录,以便识别该用户的请求,而通常来说,
用户认证授权
weixin_30883777的博客
10-03 408
概述 因为做的项目涉及到用户认证授权,所以好好总结了下这块。 认证授权 般我们说的认证主要指的是用户登录认证般我们说的授权主要是第三方授权用户登录认证主要有2种方法,种是基于session-id的认证,另种是基于token的认证。 第三方授权主要是Oauth2.0标准的授权,它主要包括授权码模式的授权简单模式的授权。 基于session-id的认证 基于session-id的...
用户认证授权
qq_44322555的博客
04-12 9283
今天简单来介绍下项目中的用户认证授权是怎么做的,也是我之前作过的项目中所经历过的个模块;今天来整理下,分享下经验共同来探讨改进这部分; 先来介绍用户认证授权所用到的技术点都有那些;这些是我做这个认证授权时用到的技术点,可能有所欠缺 springSecurity+Oauth2、JWT、BCryptPasswordEncoder 1、概念说明: 什么是用户认证 用户身份认证就是用......
认证授权详解
白帽子佳奇的博客
05-29 1566
当资源服务器只依赖自包含令牌提供的信息来校验access_token时(真正的无状态令牌验证机制),授权服务器无法影响资源服务器对access_token的校验,只能删除自己数据库中的refresh_token,当客户机应用使用此refresh_token申请新的access_token时,授权服务器将不予签发,而对于之前已签发的access_token,只能等待其自行到期。1、读库令牌:access token值是个随机生成的标识符,在数据库中存储有效期,谁颁发的,颁发给谁的,权限范围等元数据信息。
用户认证授权(登录功能)
qq_43063585的博客
05-31 3891
截至目前,项目已经完成了在线学习功能,用户通过在线学习页面点播视频进行学习。如何去记录学生的学习过程呢?要想掌握学生的学习情况就需要知道用户的身份信息,记录哪个用户在什么时间学习什么课程;如果用户要购买课程也需要知道用户的身份信息。所以,去管理学生的学习过程最基本的要实现用户的身份认证。 什么是用户身份认证用户身份认证用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权用户认证通过后去访问系统的资源,系
说透OAuth 2.0 [1] - 什么是认证授权
李浩好好学习
10-11 2812
说透OAuth 2.0 [1] - 什么是认证授权?引子认证认证实体变更认证方式变更信任系统变更授权总结 引子 我在面试Web相关岗位时,经常会问面试者个问题,什么是认证,什么是授权?(也请你花分钟时间思考下) … 部分面试者会给我如下的答案: 当用户打开浏览器或者App的时候,如果某些功能不是匿名用户能操作的,那么我们就会将用户引导到登录页面,让用户输入自己的用户密码、当然也可能是手机短信验证等方式,在安全性较高的系统还会要求输入验证码。如果验证通过,那么用户就拥有了可以操作这些功能的权限。
SpringSecurity认证授权
最新发布
qq_49474843的博客
09-11 1362
RBAC模型详解,SpringSecurity入门到精通文搞定
Shiro权限框架认证授权实战教程
授权是在用户认证通过后,根据用户的角色或权限来控制其访问特定资源的过程。Shiro使用角色权限作为授权的基本单元。在程序中,可以使用`@RequiresRoles``@RequiresPermissions`注解来声明方法级别的权限控制,...
用户登录认证权限授权(SpringSecurity、JWT、session)
热门推荐
qq_51076441的博客
05-13 1万+
登录认证权限授权是所有项目中必不可少的功能,本篇文章首先将通过最简单的方式(SessionJWT)实现登录认证权限授权,然后再整合Springsecurity框架实现。
用户认证授权(三):用户授权
Ithao2的博客
05-24 2889
1 用户授权业务流程 用户授权的业务流程如下: 业务流程说明如下:1、用户认证通过,认证服务向浏览器cookie写入token( 身份令牌) 2、前端携带token请求用户中心服务获取jwt令牌 前端获取到jwt令牌解析,并存储在sessionStorage3、前端携带cookie中的身份令牌及jwt令牌访问资源服务 前端请求资源服务需要携带两个token,个是cookie中的身份令牌,个是http header中的jwt 前端请求资源服务前在http header上添加jwt请求资源4、网关校验
怎样理解认证授权
04-10 4630
认证授权是web开发中绕不开的话题,任何开发的系统都需要对用户身份信息进行认证授权,那什么是认证授权呢?
我的手摸着你的手来搞懂什么是授权认证
xnxqwzy的博客
12-28 1677
凭证实现认证授权的前提是需要种**媒介(证书)**来标记访问者的身份,这个媒介(证书)就是凭证在互联网应用中,常见的就是在登录之后,服务器会给该用户使用的浏览器颁发个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌。​ token是在访问服务端资源时候需要携带的种验证凭证​ 简单的token组成:userID(用于标识唯用户身份)+time(当前时间的时间戳)+sign(签名,token 的前几位以哈希算法压缩成的定长度的十六进制字符串)验证流程。
关于实现平台账号密码登录后,再进行微信授权认证步骤的实现方法
qq_45130645的博客
02-07 862
登录初步设想逻辑
认证授权中的基本概念
赵广陆
02-07 359
目录1 什么是认证1.1 什么是会话2 什么是授权3 授权的数据模型4 RBAC4.1基于角色的访问控制(般不用)4.2基于资源的访问控制 1 什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号密码即可登录微信,输入账号密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据资源,用户的身份合法方可访问该系统的资源。 认证用户认证就是判断用户
认证授权基础概念详解
m0_53157173的博客
10-19 1177
CookieSession都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太样。维基百科是这样定义CookieCookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie存放在客户端,般用来保存用户信息。下面是Cookie我们在Cookie中保存已经登录过的用户信息,下次访问网站的时候页面可以自动帮你登录的些基本信息给填了。除此之外,Cookie还能保存用户首选项,主题其他设置信息。使用Cookie保存SessionId或者。
Spring Cloud Gateway整合OAuth2思路分享
Trouvailless的博客
04-28 814
微服务做用户认证授权直都是个难点,随着OAuth2.0的密码模式被作废,更是难上加难了。今天胖哥群里的个群友搭建用户认证授权体系的时候遇到了些棘手的问题,这让作者觉得是时候分享些思路出来了。 两种思路 通常微服务的认证授权思路有两种: 所有的认证授权都由个独立的用户认证授权服务器负责,它只负责发放Token,然后网关只负责转发请求到各个微服务模块,由微服务各个模块自行对Token进行校验处理。 另种是网关不但承担了流量转发作用,还承担认证授权流程,当前请求的认证信息由网关中继给下游
做项目必须懂的三个概念 认证、会话、授权
传智燕青
09-30 2103
1 认证授权、会话基础概念 什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号密码即可登录微信,输入账号密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据资源,用户的身份合法方可访问该系统的资源。 认证用户认证就是判断用户的身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值