2.基于token || session的登陆验证机机制

最新推荐文章于 2024-07-30 19:53:22 发布
最新推荐文章于 2024-07-30 19:53:22 发布
阅读量248 收藏
点赞数
分类专栏: # 网络模块相关零碎知识点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44805237/article/details/117483376
版权

1.用户认证

http是无状态协议,不保存用户状态

1)session认证

2)token认证

 

 

2.基于session的用户认证

(1)过程

1)用户名密码校验:client向serve发送 验证码,accout, password;并且进行验证

2)session存储数据:服务器验证通过后,在session(当前对话)中保存相关数据如用户昵称,登陆时间等。

3)服务器生成session ID:服务器随机生成唯一的session-id返回给用户,写入用户的cookie中

4)用户传回session ID:用户随后的每一次请求,都通过cookie将session-id传回服务器

5)服务器接收session ID: 找到前期保存用户相关的数据

 

(2)缺点

1)开销大:高并发情况下服务器开销大,每一个请求都需要开辟session,内存开销不断增加

2)可扩展性差:session存在与于服务器中,session中的关键信息会限制服务器的扩展和负载均衡,并且不支持跨域,对移动端支持不友好

3)安全性低:cookie机制容易遭受CSRF(跨站请求伪造)

 

 

3.基于token的用户认证

(1)过程

1)用户名密码校验:client向serve发送 验证码,accout, password;使用md5加密后进行验证

2)token生成:服务器端生成一个 token,将token 存放在 redis数据库中,再将这个 token 值返回给客户端。

3) token 存储:客户端将 token 存储在 local storage 或 session storage中 (小程序可以存放在 app.global )

4)用户有新的请求时,从storage中携带token发送到服务端进行验证

5)服务端验证token并且返回数据

ps:vue的axios中

4)将token设置为请求头;以后的请求中会自动添加该请求头

       5)路由守卫:使用router-guide做权限校验,判断当前页面是否需要进行token验证

 

(2)token优点

1)无状态,可扩展:

      服务器不存储session信息,所以服务器和用户信息没有关联(无session亲和性);

      负载均衡服务器,用户请求可以传递到任何一台服务器上面;

      支持跨域且支持移动端

2)安全性高:避免了基于session的CSRF

3)本质使用cpu算力换取内存

 

参考1  参考2

 

 

 

 

 

 

 

 

token登录验证机
M106588L的博客
08-14 2812
看一张图解释 token登录验证机制 !!!!!! token步骤(vue) 第一次登录的时候,前端调后端的登陆接口,发送用户名和密码 后端收到请求,验证用户名和密码,验证成功,就给前端返回一个token 前端拿到token,将token存储到localStorage和vuex中,并跳转路由页面 前端每次跳转路由,就判断 localStroage 中有无 token ,没有就跳转到登录页面,有...
微信小程序登录 + 基于token的身份验证
热门推荐
qq_39474604的博客
08-22 5万+
官方时序图如下: https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html 图里其实说的很清楚了,清理下流程: 1.前端调用wx.login()获取code值 2.前端通过调用wx.getUserInfo获取iv、rawData、signature、encryptedData等加...
Java登陆验证机
10-25
JAAS 登陆验证机制,非常简单。是公司培训的。
常见登录验证机
weixin_30814223的博客
05-17 456
HTTP Basic Auth HTTP Basic Auth 简单点说明就是每次请求 API 时都提供用户的 username 和 password,简言之,Basic Auth 是最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,尽量避免采用 HTTP Basic Auth。 OAuth OAuth(开放授权)是一个开放...
验证机
codingmu的专栏
01-10 286
ruby 代码 #有效性的验证,通过调用activerecord中的validate method实现       #非空字段    validates_presence_of :fieldname,:others      #字段长度    validates_length_of :fieldname,:within=>1..1...
登陆方式session/token+redis/jwt
每天努力Coding
09-20 814
JWT登录的优势在于,可以实现无状态认证,避免服务器存储会话信息,减轻服务器的负担,并将用户信息放在Token中,减少数据库查询。更新Token的方式可以是生成一个新的Token,将其作为新键,将旧Token对应的用户信息作为值存储在Redis中,然后将新Token返回给客户端。更新Token的方式可以是生成一个新的Token,替换旧的Token。使用Token和Redis进行登录的好处是,服务器无需保持用户的状态信息,将用户信息存储在Redis中可以有效减轻服务器的负担,并支持分布式应用程序的扩展。
1.基于Session实现验证码登录
weixin_46589153的博客
07-30 1158
基于Session实现登录流程
面试宝典-面试90%被问到的 Session、Cookie、Token.pdf
10-21
Token 是一种基于服务器端的身份验证机制,它可以代替传统的 Session 和 Cookie 机制Token 的工作流程如下: 1. 客户端请求服务端,服务端生成一个 Token,并返回给客户端。 2. 客户端每次向服务端发送请求时,...
Spring Security + JWT 实现基于Token的安全验证
m0_56282664的博客
07-21 1309
Spring Security + JWT 实现基于Token的安全验证
微信小程序登陆 + 基于JWT的Token 验证 + 内部用户登陆系统
小天哥12的博客
04-07 1万+
微信小程序登陆 + 基于JWT的Token 验证 + 内部用户登陆系统 公司需要做一个用于内部员工的培训系统的小程序,之前只是了解过,但是并没有自己动手做过小程序,以下是记录自己这次的开发过程。 文档层解析 微信官方登陆文档 https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html 1、微信小程序端调用wx.login 获取一个code(这个code是变化的,即每次调用都会不同,导致session_
QT登陆验证机制并显示数据库内容源码
12-05
QT登陆验证机制,并显示数据库内容 代码详见源文件 注册验证为:验证用户名是否已存在、两次输入密码是否相同,满足则注册成功。 修改密码验证为:验证用户名是否存在,新密码是否与旧密码不同。 登陆验证为:验证用户名和密码是否正确。
常见的登录验证方式
qq_53207874的博客
04-15 2419
当用户要访问B系统时,B系统将它重定向到SSO,已经登录了,所以SSO直接颁发可以访问B系统的ticket,客户端带着这个ticket就可以访问B系统了。这样就实现了一处登录,全线使用。当用户点击链接时,浏览器会自动发送包含用户认证信息的请求,从而执行攻击者指定的操作。Token 机制是无状态的,服务器不需要保存用户的会话状态,因此可以降低服务器的负载,特别适用于分布式系统和微服务架构。当业务线越来也多,就会有更多业务系统分散到不同域名下(不同的系统),就需要(一次登录,全线通用)的能力,这就是单点登录。
登录验证机制的spring实现
xin3336019的博客
05-15 170
[code="java"] //数据库操作,根据登录信息查找用户,返回Principal对象。 interface AuthenticationProvider { public Principal authenticate(Verifier verifier) throws AuthenticationException; public Principal get(Serializa...
token验证的机理和简单实现
baowei_0915的博客
06-10 4021
摘要:token验证,机制实现一、cookie验证和token验证的比较    cookie验证的机制是通过在客户端生成cookie,在服务器端生成session,然后每次请求时通过核对前端传来的cookie和服务器端session是否一致来管理用户的状态。当我们关闭浏览器的时候session会被释放,而cookie也可以自定义失效时间使其在一定时间内失效。    token验证机制放弃了ses...
Tokensession的理解及使用
weixin_30265103的博客
10-24 653
最近项目中有用到TokenSession,但是我对此不是很理解,所以特地整理下学习笔记,已便自己查看,也可以帮助到更多跟我一样有疑惑者。 一、我们先解释一下他的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 ...
SessionToken认证机制 前后端分离下如何登录
李昊轩的博客
02-17 676
Web登录涉及到知识点 1.1 HTTP无状态性 HTTP是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发过来的。当然它知道是哪个客户端地址发过来的,但是对于我们的应用来说,我们是靠用户来管理,而不是靠客户端。所以对我们的应用而言,它是需要有状态管理的,以便服务端能够准确的知道http请求是哪个用户发起的,从而判断该用户是否有权限继续这个请求。这个过程就是常...
token代替session使用
Chelio_的博客
11-17 2048
1.面临问题: session存在于服务端,分布式中多个微服务,每个微服务都是独立的服务器,session信息不同步,该怎么办? 2.解决思路 token替代session使用流程: 1.用户登录成功 生成token存入redis(key:token,value:用户信息);把token返回给前端 2.token加入header,使用过滤器,在每个接口执行前验证token是否有效,无效返回登录页 3.微服务中如果想获取登录的用户信息,可以获取redis的key=token token + redi
基于token和基于session用户认证两种方式区别
abde630154071的博客
02-16 2182
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用...
SessionToken的不同及解决思路
m0_72568513的博客
06-25 280
服务器端的应用程序通常是基于HTTP协议的,HTTP协议本身是一种“无状态”协议,所以,它并不能保存客户端的状态,例如,无法识别客户端的身份,所以,即使同一个客户端多次访问同一个服务器,服务器并不能识别出它就是此前来访的客户端!在开发实践中,大多是需要能够识别客户端身份的,通常可以使用Session机制来解决!
JWT TokenSession认证机制有何本质区别?
最新发布
04-03
好的,我现在需要帮助用户理解JWT TokenSession认证机制的区别及原理。首先,我得回忆一下这两个认证机制的基本概念和工作流程。 根据引用内容,Session认证是基于服务器存储的,用户登录后,服务器生成Session ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值