必备-16.跨域身份验证方式

最新推荐文章于 2025-03-28 15:52:08 发布
最新推荐文章于 2025-03-28 15:52:08 发布
阅读量1.6k 收藏 3
点赞数 1
分类专栏: 必备 文章标签: 服务器 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pinganaaa/article/details/122204937
版权
本文探讨了三种常见的跨域身份验证方式:Cookie、Session和Token。Cookie方式简单但不安全,Session依赖服务器存储,易丢失。Token(如JWT)提供实时校验且利于分布式部署,但需要额外编码。总结了每种方式的优缺点,为身份验证策略选择提供参考。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

必备-16.跨域身份验证方式

登录态校验

  • 登录态校验
    • 第一步:客户端发送POST请求做登录态校验,服务器端检验用户名密码是否准确,如果正确则返回成功
    • 第二步:客户端收到成功响应后,在本地手动设置cookie,存储登录成功,例如:isLogin=true
    • 第三步:之后再访问页面,检测本地是否有isLogin的cookie信息,有表示已经登陆过了,无需再验证
    • 缺陷
      • 不准确,不安全,cookie可以随便修改

客户端设置cookie

  • 客户端设置cookie:会话存储
    • 第一步:客户端发送POST请求登录,
    • 第二步:服务器做账号密码验证,如果正确在响应头中设置session信息:Set-Cookie:connect.sid
    • 第三步:客户端收到响应头中有Set-Cookie:connect.sid,会在缓存中存储一份
    • 第四步:之后再访问页面,客户端会携带connect.sid请求校验,服务器会查找自己的session来看是否匹配成功
    • 缺陷
      • session中有信息则是登录,否则没登录
      • session容易丢失【过去时间、服务器重启,session信息就没有了】
      • 和cookie相关,它也容易丢失
      • 不利于服务器的分布式
    • 优势:利用了cookie和服务器端的"猫腻",不需要前端自己设置cookie和传递cookie信息
image-20211228160652010

使用Token

  • 使用Token[常用]
    • 第一步:客户端向服务器发送登录请求,服务器进行校验:
      • 账号密码如果正确:基于JWT算法,生成一个Token信息【含有密钥、登录者、过期日期等信息】,“服务器端不需要存储这个Token”
    • 第二步:服务器手动把Token给客户端
    • 第三步:客户端获取Token后,存储到本地:可以用localStorage、sessionStroage、vuex/redux...
    • 第四步:再次访问首页时,需要手动将缓存的Token发给服务器端==【基于axios的请拦截器】==
    • 第五步:服务器拿到Token后,再基于JWT反反解析,验证它的有效性
    • 优点:实时校验,要稳定以及有利于服务器分布
    • 缺点:性能略低[忽略],需要自己写代码。
image-20211228161210767

三种情况

image-20211124182736317

服务器面试必备-网络知识点整理
网易搬砖头
03-08 7万+
epoll的实现知道么?在内核当中是什么样的数据结构进行存储,每个操作的时间复杂度是多少? epoll是Linux系统中提供的一种高效的I/O多路复用机制。其基于事件驱动的模型,可以有效地管理大量的并发连接。 在内核中,epoll使用一个红黑树(RB Tree)来存储所有的事件。这个红黑树是通过一个特殊的数据结构epoll_event来表示的,每个epoll_event对应一个文件描述符和其上感兴趣的事件。 每次调用epoll_wait函数,内核都会检查红黑树中的所有事件,并返回已经就绪(满足条件)
【网络】计算机网络常见面试题 - 前端面试必备 - 吐血整理
YK菌的博客
05-09 3694
文章目录1. 参考模型1. OSI 参考模型 七层2. TCP/IP参考模型 四层2. 在浏览器中输入网址之后执行 会发生什么?3.URL和URI的区别?4. 关于HTTP协议3.2 为什么说HTTP协议是无状态协议?3.3 怎么解决HTTP协议无状态协议?Cookie3.4 HTTP 协议包括哪些请求方法?3.2 简述HTTP中GET和POST的区别GET与POST传递数据的最大长度能够达到多少呢?put和post区别6.常见的状态码有哪些?HTTP如何禁用缓存?如何确认缓存?4. 关于HTTPS3.1
JWT(身份验证
辰伏的博客
03-27 627
1. JWT概念 常用的用户身份认证方法 用户向服务器发送用户名和密码 验证通过后,相关信息(用户角色,登录时间)保存到当前会话 服务器向用户返回session_id,session信息写入用户Cookie 用户的每个后续请求都会通过Cookie中取出的session_id传给服务器 服务器收到session_id并对比之前保存数据,确认用户身份 存在的缺陷和问题 没有分布式架构,无法支持横向扩展 如果使用一个服务器,该模式完全没有问题。但是,如果它是服务器群集或面向服务的体系结构的话,则需要
JWT(JSON Web Token)原理
zhangsan_716的博客
12-02 3191
JWT(JSON Web Token)原理 JWT是目前流行的身份验证解决方案。 这里给大家介绍JWT的原理和用法。 身份验证 Internet服务无法与用户身份验证分开。 传统模式过程如下: 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话(session)中。 3.服务器向用户返回session_id,session信息都会写入...
一篇文章带你了解什么是,弄懂的全部解决方法
最新发布
小二丶的博客
03-28 856
一篇文章带你了解什么是,弄懂的全部解决方法
JWT(身份验证解决方案)
weixin_45703565的博客
03-15 2061
因为json的通用性,所以JWT是可以进行语言支持的,像JAVA、JavaScript、NodeJS、PHP等很多语言都可以使用。因为有了payload部分,所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的。它不需要在服务端保存会话信息, 所以它易于应用的扩展相比传统token的优势?
JSONP访问实现登录验证
baiyou1503的专栏
03-18 283
最近在做一个手机Web项目,硬着头皮上了。现在比较流行的就是使用Phonegap+HTML5+CSS+JS/JQuery做一个看起来native的mobile web app。但是由于时间急,而且这些东西都不是很熟悉,再加上这只是对已有web网站的mobile化,因此采用了Phonegap+几乎纯server端页面的方式,做起来省事多了,但是缺点还是有一大堆的,这里就不细说了。 唠叨之...
Spring项目-域验证与解决
she8292802的博客
02-28 460
前后端分离项目中,问题不可避免。往往发生的情况是,后端开发验证接口没有问题,前端小伙伴说接口报了。后端开发一般都是通过自带的Swagger在线文档或Postman验证接口的,这两个工具,没有问题,所以误导了后端开发人员。
全面网络安全防御:从身份验证到加密技术的必备策略
[全面网络安全防御:从身份验证到加密技术的必备策略](https://firstssl.ru/sites/default/files/pictures/1_what-is-ssl.jpg) # 摘要 随着网络技术的不断进步,网络安全防御面临着越来越多的挑战。本文从身份验证...
软件工程师必备知识.pdf
11-15
3. **云计算 (Cloud Computing)**:云计算通过提供按需计算资源,改变了大规模Web应用的部署方式。它包括并行计算、网格计算(如SETI@home项目)和应用服务虚拟化。亚马逊AWS是云计算的典型代表,提供EC2、S3、...
认证--使用Passport
weixin_33697898的博客
12-22 183
打算实现认证。看了一些资料,决定使用Passport实现。 所谓的passport方式,就是将用户验证,用户状态管理独立出来成为一个单独的站点。 相关站点都通过Passport进行用户验证和用户状态信息的读写。 先做一个流程图出来,希望感兴趣的朋友一起讨论。 深蓝表示Passport服务器,浅蓝表示用户访问的站点。 参考资料:http://www.livebaby.cn/blog...
Jwt 最流行的身份验证解决方案
Jinmindong
01-09 552
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。JWT被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
和认证
qq_44113347的博客
04-01 512
在进行认证时,需要先将用户提交的凭证(如用户名和密码)发送给服务器进行认证,服务器根据凭证判断用户身份是否合法。如果合法,服务器将生成一个认证令牌并返回给客户端,客户端在后续的请求中携带该令牌作为身份认证凭证。服务器在接收到后续请求时,会对请求中的认证令牌进行验证,以确定该请求是否由合法用户发送。在进行请求时,浏览器会先发送请求检查,如果存在,浏览器会先发送一个 OPTIONS 请求,即**“预检请求”**,获取服务器的响应头,检查该请求是否允许。通常情况下,先进行认证,再考虑
JSON Web Token 入门教程
weixin_34067102的博客
07-24 1021
2019独角兽企业重金招聘Python工程师标准>>> ...
基于Kerberos的身份认证实验
Shirongliang的博客
12-03 2582
身份认证技术是身份认证技术的一种典型应用,随着云计算的快速发展和大规模部署,传统的网络架构发生了深刻的变革,带来了新的安全挑战。在云环境下,身份提供者、认证凭证和签发机构的多元化造成用户访问时需穿越多个安全身份认证已成为云安全的难点问题。Kerberos是一种网络认证协议,它使用对称加密的技术实现网络中的身份认证。目前大数据组件(如HDFS/ YARN/ HBase/Hive/Kafka/Spark 等等)基本上都默认支持Kerberos身份认证。
Beego + 登录验证
qq_35795092的博客
11-17 474
#Beego 注册过滤器 beego.InsertFilter("/*", beego.BeforeRouter, UrlManager) 添加过滤器 var UrlManager = func(ctx *context.Context) { //处理 ctx.ResponseWriter.Header().Set("Access-Control-Allow-Origin", ctx.Request.Header.Get("Origin")) ctx.ResponseWriter.Hea
js 域验证代码
qq_30923243的博客
02-22 594
这个文件写在ty.com名下 <!DOCTYPE html> <html> <script type="text/javascript" src='./js/jquery.js'></script> <head> <title></title> <meta charset="utf-8"&gt...
JWT实现身份验证
冲出仁川,走出马德里,故事还会再继续
01-07 1425
JWT实现身份验证1、JWT简介2、JWT的结构2.1 头部(header)2.2 载荷(payload)2.3 签证(signature)3、JWT的原则4、JWT的用法5、JWT的问题和趋势6、整合JWT令牌6.1 在模块中添加jwt工具依赖6.2 创建JWT工具类 1、JWT简介   JWT(JSON Web Token)是目前流行的认证解决方案,是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是
cookie和session区别
热门推荐
weixin_62304567的博客
12-29 4万+
cookie 1.什么是cookie Cookie意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。 2.为什么要用cookie 由于http协议是一种无状态的协议(客户端和服务端互相不认识) Cookies是一些存储在用户电脑上的小文件。它是被设计用来保存一些站点的用户数据,这样能够让服务器为这样的用户定制内容。页面代码能够获取到Cookie值然后发送
前端快速开发必备:js-cookie-jar库解析
Cookies通常用于身份验证、定制化界面以及跟踪用户行为等。 知识点二:JavaScript操作Cookies 在JavaScript中,虽然可以通过操作document.cookie来直接操作Cookies,但这种方式需要手动解析和设置字符串,复杂且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值