基于Session、Token的身份验证小结

最新推荐文章于 2024-09-07 17:32:18 发布

LesterWeng

最新推荐文章于 2024-09-07 17:32:18 发布

阅读量743

点赞数 1

CC 4.0 BY-SA版权

分类专栏： JS 文章标签： cookie session

本文链接：https://blog.youkuaiyun.com/qq_33576343/article/details/83657965

JS 专栏收录该内容

24 篇文章

订阅专栏

本文深入探讨了Cookie、Session和Token三种用户认证机制的区别与工作原理。详细讲解了Cookie如何存储在客户端，Session如何在服务器端管理和清理，以及Token的签发与验证流程。通过对比，帮助读者理解不同场景下选择合适认证方式的重要性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

名词：

Cookie 存储在client

Session 会话，存储在server，server需要对session进行定期清理

Token 服务端验证成功后根据一定规则签发的一个‘令牌’，server端每次收到请求都用相同的规则再次生成'令牌'与其对比，而无需存储

验证流程：

=> 发送http请求，账号密码验证成功

=> server端通过response Set-Cookie的方式将sessionId传递到clinet作为cookie（后端或前端跳转）

=> client后续再发送http请求，header自动携带cookie，用于server端鉴权

=> server端通过http请求头中的sessionId进行鉴权，成功则返回数据，否则报错（重定向到登录页）

（使用token的差别在于将session换成token，token可以选择放在cookie或localstorage等，在请求时置于header或header中的cookie里）

欢迎关注、点赞

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

LesterWeng

关注关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

session身份认证机制

qq_43781887的博客

10-12

936

本博客讲述session身份认证机制，在了解session身份认证机制之前，需要先了解以下内容。前端身份认证主要分为两种，一种是Session身份认证，一种是JWT身份认证。（3）Session身份认证的工作原理（重要！（4）在Express中使用session认证。服务端渲染推荐使用session认证机制。前后端分离推荐使用JWT认证机制。Cookie在身份认证中的作用。Cookie不具有安全性。（1）HTTP无状态性。提高身份认证的安全性。

基于Session的安全认证方式

天天向上

07-14

572

1. 基于Session的安全认证方式描述：当我们没有进行安全认证的时候，直接在浏览器地址栏输入http://127.0.0.1:8080/Security_Session/index.jsp会直接访问页面，这是我们不希望看到的。我们希望index.jsp页面是我们管理员角色才能访问的，因此需要进行一个安全认证。原理：借助session机制，我们将用户的角色信息记录在session中，在页面对session中的角色进行认证，如果是admin角色则允许访问index.jsp页面，否则重定向到login.

参与评论您还未登录，请先登录后发表或查看评论

基于session认证

Leon_Jinhai_Sun的博客

12-20

251

目前大多数web应用的用户认证机制都是基于session的。用户认证成功后，在服务端生成用户相关的数据保存在session中(当前会话)，而发给客户端的sesssion_id 存放到 cookie 中，这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据，以此完成用户的合法校验。当用户登出或过期时把服务端session销毁，客户端的session_id也就无效了。而在分布式的环境下，基于session的认证会出现一个问题。当我们第一次访问网站的时候，负载均衡

跟着燕青学Spring Security认证授权04--Servlet3.0 SpringMVC实现Session的认证方式

传智燕青

10-09

666

1 认证流程基于Session认证方式的流程是，用户认证成功后，在服务端生成用户相关的数据保存在session(当前会话)，而发给客户端的 sesssion_id 存放到 cookie 中，这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据，以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。下图是...

分布式认证方案

一个人的江湖

08-24

872

1 选型分析 1.1 基于session的认证方式在分布式的环境下，基于session的认证会出现一个问题，每个应用服务都需要在session中存储用户身份信息，通过负载均衡将本地的请求分配到另一个应用服务需要将session信息带过去，否则会重新认证。这个时候，通常的做法有下面几种： Session复制：多台应用服务器之间同步session，使session保持一致，对外透明。 Session黏贴：当用户访问集群中某台服务器后，强制指定后续所有请求均落到此机器上。 Session集中存储：将Sessi

Web身份验证详解：Cookie、Session、Base64与Token的应用与区别

最新发布

m0_56608748的博客

09-07

2307

Cookie，Session，JWT的使用

基于Token的身份认证方法

liberty12345678的专栏

09-05

2474

1.基于 Token 的身份验证方法使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的：客户端使用用户名跟密码请求登录服务端收到请求，去验证用户名与密码验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里 ...

前后端鉴权方式总结：HTTP Basic, Session-Cookie, Token, OAuth

HTTP Basic Authentication 是一种简单的身份验证机制，基于HTTP头部进行交互。当客户端尝试访问受保护的资源时，如果未提供有效的身份凭证，服务器会返回401 Unauthorized状态码，携带WWW-Authenticate头来指示...

基于 token 的多平台身份认证架构设计

IT技术猿猴的博客

03-08

417

1、概述在存在账号体系的信息系统中，对身份的鉴定是非常重要的事情。随着移动互联网时代到来，客户端的类型越来越多，逐渐出现了一个服务器，N 个客户端的格局不同的客户端产生了不同的用户使用场景，这些场景：有不同的环境安全威胁不同的会话生存周期不同的用户权限控制体系不同级别的接口调用方式综上所述，它们的身份认证方式也存在一定的区别。 2、使用场景下面是一些在 IT 服务常见的一些...

Session认证机制与JWT认证机制

qq_59181609的博客

07-11

413

身份认证（Authentication）又称“身份验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。身份认证的目的，是为了确认当前所声称为某种身份的用户，确实是所声称的用户。例如，你去找快递员取快递，你要怎么证明这份快递是你的。HTTP 协议的无状态性，指的是客户端的每次 HTTP 请求都是独立的，连续多个请求之间没有直接的关系，服务器不会主动保留每次 HTTP 请求的状态。2.1 什么是 CookieCookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。它由一个名称（Name）、一

Android客户端和服务端如何使用Token和Session

weixin_33850890的博客

09-16

1004

对于初学者来说，对Token和Session的使用难免会限于困境，开发过程中知道有这个东西，但却不知道为什么要用他？更不知道其原理，今天我就带大家一起分析分析这东西。一、我们先解释一下他的含义： 1、Token的引入：Token是在客户端频繁向服务端请求数据，服务端频繁的去数据库查询用户名和密码并进行对比，判断用户名和密码正确与否，并作出相应提示，在这样...

session 设置登陆身份验证

|码农传奇|的专栏

04-20

1495

前言：设置登录身份验证，并不是严格的权限限制，如果是权限限制就要牵扯到具体的业务逻辑了。而登录身份验证是确定用户是否已经登录，或者在seesion的生命周期内有效！！无论在做大项目或者小项目时，难免要用到登陆的身份验证。如果是小项目，页面不是很多我们可以在每个页面上做一个省份验证。但是有没有想过，如果页面有上百个或者上千个难道每次都要做身份验证吗？！我想这一定是一件十分痛苦的事情。下面介

WEB安全（七）Session-Cookie 方案进行身份验证的具体过程

jinyangjie的博客

02-14

1293

概述每一次web请求，其实是通过sessionId来标识请求会话的。 1、用户端成功请求登录接口并且验证身份通过时，服务端记录该次session信息，并把seesionId返回给用户端，用户端将该信息存入cookie。 2、当同个用户再发起新的请求时，会把sessionId带上，服务端通过对比已有session信息，可识别用户身份。更详细的描述过程 1、用户向服务器发送用户名、密码、验证码用于登陆系统。 2、服务器验证通过后，服务器为用户创建一个 Session，并将 Session 信息存储起来。 3

session，cookie 的身份认证那些事儿

A WAY

11-28

668

cookie，session和token，其实都离不开同一个概念–会话跟踪我们知道，HTTP协议是一种无状态协议。也就是说，客户端和服务器端在一次请求结束后，两者的连接就会被关闭，当客户端再次请求服务器的时候，需要建立新的连接。举个例子来说，客户端就是顾客，服务器端就是商人，请求就是顾客去找商人买东西。这个商人有个特点，只认东西不认人。所以对这个商人来说，没有所谓的“老主顾”，每次来买东西的人对他来

前后端的两种身份认证session认证和JWT认证详解和使用

qq_44741577的博客

03-05

1158

身份认证()又称“身份验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。日常生活中的身份认证随处可见，例如:高铁的验票乘车，手机的密码或指纹解锁，支付宝或微信的支付密码等在Web开发中，也涉及到用户身份的认证，例如: 各大网站的手机验证码登录、邮箱密码登录、二维码登录等Cookie是存储在用户浏览器中的一段不超过4 KB的字符串，它由一个名称(Name)、一个值 (Value)和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成，不同域名下的Cookie。

session/token 简单认识

lzf2284466的博客

08-18

564

session：用户数据存储到服务器session中，用户每次登录，服务器都会检查浏览器是否有JESSION

【开发】session和token的使用

m0_73455589的博客

08-07

1359

先简单介绍一下cookie，cookie在客户端上，用于保存服务端发送的数据。服务端通过set-cookie将数据存到客户端。然后是session和token是什么，以及应用~

Web应用程序的身份验证：Session认证、Token认证

Waylon_Ma的博客

04-01

4240

当用户进行登录操作时，服务器会创建一个Session，并给这个Session分配一个唯一的标识符（Session ID），然后将这个Session ID发送给客户端保存。例如，在电子商务网站中，用户需要登录才能访问个人购物车和订单等敏感信息，此时可以使用 session 来验证用户身份，并在服务器端存储相关的用户信息和状态。Token是无状态的，不需要在服务器端保存用户的登录信息，因此具有良好的可扩展性，并且可以很方便地实现分布式系统中的认证和授权。① session数据持久化，写入数据库或别的持久层。

基于Token的用户身份验证实现

在本文中，我们将深入探讨基于Token的用户身份验证机制，特别是在后台用户登录场景中的应用。Token，特别是JSON Web Token (JWT)，是一种广泛用于安全认证的技术，用于确保用户在与系统交互时的身份合法性。 JWT是...