基于Session的安全认证方式

最新推荐文章于 2025-05-29 17:48:18 发布
原创 最新推荐文章于 2025-05-29 17:48:18 发布 · 572 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #tomcat #servlet #jsp

本文介绍了一种基于Session的安全认证机制实现,通过IDEA2018和Tomcat8.0搭建环境,使用Servlet和session技术,确保只有admin角色的用户才能访问特定页面,实现了基本的用户登录和权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 基于Session的安全认证方式

  • 描述:当我们没有进行安全认证的时候,直接在浏览器地址栏输入http://127.0.0.1:8080/Security_Session/index.jsp会直接访问页面,这是我们不希望看到的。我们希望index.jsp页面是我们管理员角色才能访问的,因此需要进行一个安全认证。
  • 原理:借助session机制,我们将用户的角色信息记录在session中,在页面对session中的角色进行认证,如果是admin角色则允许访问index.jsp页面,否则重定向到login.jsp页面进行登录。
  • 工具:IDEA2018 + Tomcat8.0
  • 技术:Servlet + session
  • 项目:Security_Session

2. login.jsp

<%--
    @Description 系统登录页面
    @Author 周威
    @Date 2020-07-04 - 11:25
--%>
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<html>
    <head>
        <title>登录</title>
        <meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>
        <meta name="author" content="周威"/>
    </head>
    <body>
        <div>
            <h2>------------Welcome To Login Page---------</h2>
            <form action="${ pageContext.request.contextPath }/UserServlet.do" method="post">
                <p>UserName:<input name="username" type="text"></p>
                <p>PassWord:<input name="password" type="password"></p>
                <p><input type="submit" value="登录"></p>
            </form>
        </div>
    </body>
</html>

3. index.jsp

<%--
    @Description 系统首页
    @Author 周威
    @Date 2020-07-04 - 11:22
--%>
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<html>
    <head>
        <title>系统首页</title>
        <meta http-equiv="Content-Type" content="text/html;charset=utf-8"/>
        <meta name="author" content="周威"/>
        <%
            //1.取出Session中的角色信息
            String role = (String) session.getAttribute("role");

            //2.进行角色信息权限认证,如果用户角色不是admin不允许访问该页面,重定向到登录页面
            if(role == null || !"admin".equals(role))
                response.sendRedirect("./login.jsp");
        %>
    </head>
    <body>
        Welcome ${ sessionScope.userName }
    </body>
</html>

4. web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
最低0.47元/天 解锁文章

200万优质内容无限畅学
基于Session的认证与授权实践
Java_zhujia的博客
12-11 632
基于 session 的认证方式如下图:​基于 Session 的认证机制由 Servlet 规范定制,Servlet 容器已实现,用户通过 HttpSession 的操作方法即可实现,如下是 HttpSession 相关的操作API。本项目使用 maven 搭建,使用 SpringMVC、Servlet3.0 实现。创建maven工程导入依赖 Servlet Context配置本案例采用 Servlet3.0 无 web.xml 方式,在 config 包下定义 WebConfig.java,它对应于
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
跟着燕青学Spring Security认证授权04--Servlet3.0 SpringMVC实现Session的认证方式
传智燕青
10-09 666
1 认证流程 基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或session过期销毁时,客户端的session_id也就无效了。下图是...
基于Session与基于Redis与Token验证码登录校验
最新发布
Hellyc的博客
05-29 1158
HTTP 是“无状态”协议浏览器和服务器每一次请求/响应,默认互不“记忆”彼此信息。也就是说,服务器无法知道这一次请求和上一次请求是同一个用户发过来的。Session 的作用“会话”(Session)是服务器为每个用户专门开辟的一块存储空间,用来在多次请求之间保存用户的数据。当用户第一次访问网站时,服务器会为他创建一个session 对象,并给浏览器返回一个Session ID(通常使用 Cookie 存放)。
基于session认证
Leon_Jinhai_Sun的博客
12-20 250
目前大多数web应用的用户认证机制都是基于session的。用户认证成功后,在服务端生成用户相关的数据保存在session中(当前会话),而发给客户端的sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户登出或过期时把服务端session销毁,客户端的session_id也就无效了。 而在分布式的环境下,基于session的认证会出现一个问题。当我们第一次访问网站的时候,负载均衡
基于Session的认证方式
一个人的江湖
08-17 2200
1 交互流程如下: 用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的 sesssion_id 存放到 cookie 中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数 据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id也就无效了。 2 具体实现 2.1 项目结构 2.2 login.html <!DOCTYPE html> <html lang="z
《SpringSecurity in Action》一: 基于Session实现登陆认证
shangcunshanfu的博客
04-10 1600
SpringSecurity - 基于Session实现登陆认证1 依赖2 代码示例2.1 代码说明 1 依赖 <dependencies> <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> </dependency>
Vert.x,认证与授权 - 基于Session的身份认证
10-22
在Vert.x中,基于Session的身份认证是一种常见的安全实践,它能够在用户登录后创建一个会话,并在后续请求中使用该会话来验证用户身份,从而授权用户访问特定资源。 在Vert.x中,认证和授权通常通过认证提供者...
Asp.Net Core中基于Session的身份验证的实现
10-18
在Asp.Net Core中,基于Session的身份验证是一种传统的身份验证机制,尽管在Asp.Net Core中推荐使用更高级的如JWT(JSON Web Tokens)或Cookie身份验证,但有些情况下开发者仍可能选择使用Session。以下是对Asp.Net ...
实现session身份认证机制
03-14
通过以上步骤,我们已经实现了基于session的身份认证机制。在实际应用中,还需考虑安全性问题,如防止跨站请求伪造(CSRF)攻击,以及敏感数据的加密等。文件`login_register_session`可能包含了实现这些功能的具体...
前后端分离常用的认证方式Session 、JWT)
cliper9768的博客
01-08 3394
而jwt为了防止泄露,应该将有效期设置的比较短,为了减少盗用, 最好使用HTTPS协议传输,因为HTTP是明码传输的。session-cookie方案 就是利用cookie来管理session,即把 Session 放入 HTTP 响应中还给客户端,并保存在客户端,当客户端发送下一次请求的时候,就把这个 Session 一起发送回来,这样就能这次的请求是谁发出来的了。更像是一种授权机制。token(令牌,访问资源的凭证) 认证是一种机制,具体的实现可以是一个随机的字符串,也可以是标准的jwt。
基于Session、Token的身份验证小结
NewWent的博客
11-02 743
名词: Cookie 存储在client Session 会话,存储在server,server需要对session进行定期清理 Token 服务端验证成功后根据一定规则签发的一个‘令牌’,server端每次收到请求都用相同的规则再次生成'令牌'与其对比,而无需存储 验证流程: login =>发送http请求,账号密码验证成功 => server端通过r...
session和token实现用户认证的异同
christwei的博客
04-20 3933
现在貌似大多数网站用户认证都是基于 session 的,即在服务端生成用户相关的 session 数据,而发给客户端 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户认证。这种认证方式,可以更好的在服务端对会话进行控制,安全性比较高(session_id 随机),但是服务端需要存储 ses...
Session 认证和Token 认证
abc_138的博客
01-02 1429
概念:JWT 全称 JSON Web Token,是一种基于 Token 的认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
Servlet的学习(四)——Cookie和Session、保存用户名和密码、验证码的校验、安全退出
有问题请发邮箱dengyifanlittle@163.com进行讨论
09-25 1545
一、会话跟踪概述 ①为什么需要会话跟踪 Http协议是无状态的,不能保存每次提交的信息,即当服务器返回与请求相对应的应答之后,这次事务的所有信息就丢掉了。 如果用户发来一个新的请求,服务器无法知道它是否与上次的请求有联系。 http协议是一个无状态协议,服务器端无法记录客户端浏览器身份信息。 ②什么是会话跟踪 WEB应用中的会话是指一个客户端浏览器与WEB服务器之间连续发生的一系列请求...
【SpringSecurity】十三、基于Session实现授权认证
llg___的博客
03-19 1285
定义三个接口,登录,服务端保存session,登出,让session失效。以及一个资源接口,查看当前是登录访问资源,还是未登录访问资源。客户端下次再请求,就带上sid,服务端校验是否存在对应的session,存在则不要求用户再登录了。服务端返回给客户端session id (sid),被客户端存到自己的cookie中。用户认证成功后,服务端生成用户数据保存在session中。拦截器add并放行/login,只测/r**接口。修改实体类,加个权限字段,存储用户权限。加个测试资源接口/r2。
微服务下的分布式session管理
weixin_33997389的博客
06-18 511
享学课堂特邀作者:老顾 转载请声明出处! 前言 今天老顾带着大家了解一下session会话在微服务架构中采用的技术方案,以及 企业应用中需要注意的问题。 session作用 我们知道在web应用中,web服务器和浏览器之间是用http协议进行通信的,而http协议是无状态的,也就是每个请求都是独立的。如:用户看一条A新闻,不管是谁看到的都是一模一样的新闻。也就是跟用户是谁没有任何关系。 但业务...
session的工作原理,及session实现登录验证示例
世上哪有什么岁月静好,不过是有人替你负重前行
07-28 4931
服务器创建 Session: 服务器接收到请求后,如果该请求没有携带有效的 Session 标识(如 Session ID),服务器会为该用户创建一个新的 SessionSession 超时: 通常情况下,Session 有一个超时时间,即当用户在一段时间内没有发起新的请求时,服务器会自动删除该用户的 Session 数据,以释放服务器资源。服务器检索 Session 数据: 当服务器接收到客户端的请求时,会根据请求中的 Session ID 来检索对应的 Session 数据。
基于session对象实现用户登录系统
m0_65651864的博客
04-16 7968
session对象实现用户登录系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值