cookie session 与 JWT

已于 2024-09-19 22:11:48 修改
阅读量815 收藏 16
点赞数 20
分类专栏: java 文章标签: spring java
于 2024-09-19 21:30:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/songguojiebd/article/details/142370124
版权

文章目录


会话跟踪技术有几种:

  1. Cookie(客户端会话跟踪技术)
    • 数据存储在客户端浏览器当中
  2. Session(服务端会话跟踪技术)
    • 数据存储在储在服务端
  3. 令牌技术

1. Cookie

cookie 它是 HTP 协议当中所支持的技术,而各大浏览器厂商都支持了这一标准。在 HTTP 协议官方给我们提供了一个响应头和请求头:

响应头 Set-Cookie :设置Cookie数据的

请求头 Cookie:携带Cookie数据的
在这里插入图片描述
代码测试

@Slf4j
@RestController
public class SessionController {

    //设置Cookie
    @GetMapping("/c1")
    public Result cookie1(HttpServletResponse response){
        response.addCookie(new Cookie("login_username","itheima")); //设置Cookie/响应Cookie
        return Result.success();
    }
	
    //获取Cookie
    @GetMapping("/c2")
    public Result cookie2(HttpServletRequest request){
        Cookie[] cookies = request.getCookies();
        for (Cookie cookie : cookies) {
            if(cookie.getName().equals("login_username")){
                System.out.println("login_username: "+cookie.getValue()); //输出name为login_username的cookie
            }
        }
        return Result.success();
    }
}

优缺点

  • 优点:HTTP协议中支持的技术(像Set-Cookie 响应头的解析以及 Cookie 请求头数据的携带,都是浏览器自动进行的,是无需我们手动操作的)
  • 缺点:
    • 移动端APP(Android、IOS)中无法使用Cookie
    • 不安全,用户可以自己禁用Cookie
    • Cookie不能跨域

2. Session

Session,它是服务器端会话跟踪技术,所以它是存储在服务器端的。而 Session 的底层其实就是基于我们刚才所介绍的 Cookie 来实现的。

代码测试

@Slf4j
@RestController
public class SessionController {

    @GetMapping("/s1")
    public Result session1(HttpSession session){
        log.info("HttpSession-s1: {}", session.hashCode());

        session.setAttribute("loginUser", "tom"); //往session中存储数据
        return Result.success();
    }

    @GetMapping("/s2")
    public Result session2(HttpServletRequest request){
        HttpSession session = request.getSession();
        log.info("HttpSession-s2: {}", session.hashCode());

        Object loginUser = session.getAttribute("loginUser"); //从session中获取数据
        log.info("loginUser: {}", loginUser);
        return Result.success(loginUser);
    }
}

在这里插入图片描述
优缺点

  • 优点:Session是存储在服务端的,安全
  • 缺点:
    • 服务器集群环境下无法直接使用Session
    • 移动端APP(Android、IOS)中无法使用Cookie
    • 用户可以自己禁用Cookie
    • Cookie不能跨域

PS:Session 底层是基于Cookie实现的会话跟踪,如果Cookie不可用,则该方案,也就失效了。

在这里插入图片描述

3.JWT 令牌技术

JWT全称:JSON Web Token (官网:https://jwt.io/)

JWT的组成: (JWT令牌由三个部分组成,三个部分之间使用英文的点来分割)

  • 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{“alg”:“HS256”,“type”:“JWT”}

  • 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{“id”:“1”,“username”:“Tom”}

  • 第三部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。

    签名的目的就是为了防jwt令牌被篡改,而正是因为jwt令牌最后一个部分数字签名的存在,所以整个jwt 令牌是非常安全可靠的。一旦jwt令牌当中任何一个部分、任何一个字符被篡改了,整个令牌在校验的时候都会失败,所以它是非常安全可靠的。

在这里插入图片描述

JWT令牌最典型的应用场景就是登录认证:

  1. 在浏览器发起请求来执行登录操作,此时会访问登录的接口,如果登录成功之后,我们需要生成一个jwt令牌,将生成的 jwt令牌返回给前端。
  2. 前端拿到jwt令牌之后,会将jwt令牌存储起来。在后续的每一次请求中都会将jwt令牌携带到服务端。
  3. 服务端统一拦截请求之后,先来判断一下这次请求有没有把令牌带过来,如果没有带过来,直接拒绝访问,如果带过来了,还要校验一下令牌是否是有效。如果有效,就直接放行进行请求的处理。

在JWT登录认证的场景中我们发现,整个流程当中涉及到两步操作:

  1. 在登录成功之后,要生成令牌。
  2. 每一次请求当中,要接收令牌并对令牌进行校验。

稍后我们再来学习如何来生成jwt令牌,以及如何来校验jwt令牌。
在这里插入图片描述

<!-- JWT依赖-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

生成JWT代码实现:

@Test
public void genJwt(){
    Map<String,Object> claims = new HashMap<>();
    claims.put("id",1);
    claims.put("username","Tom");
    
    String jwt = Jwts.builder()
        .setClaims(claims) //自定义内容(载荷)          
        .signWith(SignatureAlgorithm.HS256, "itheima") //签名算法        
        .setExpiration(new Date(System.currentTimeMillis() + 24*3600*1000)) //有效期   
        .compact();
    
    System.out.println(jwt);
}

实现了JWT令牌的生成,下面我们接着使用Java代码来校验JWT令牌(解析生成的令牌):

@Test
public void parseJwt(){
    Claims claims = Jwts.parser()
        .setSigningKey("itheima")//指定签名密钥(必须保证和生成令牌时使用相同的签名密钥)  
	    .parseClaimsJws("eyJhbGciOiJIUzI1NiJ9.eyJpZCI6MSwiZXhwIjoxNjcyNzI5NzMwfQ.fHi0Ub8npbyt71UqLXDdLyipptLgxBUg_mSuGJtXtBk")
        .getBody();

    System.out.println(claims);
}

JWT工具类

public class JwtUtils {

    private static String signKey = "itheima";//签名密钥
    private static Long expire = 43200000L; //有效时间

    /**
     * 生成JWT令牌
     * @param claims JWT第二部分负载 payload 中存储的内容
     * @return
     */
    public static String generateJwt(Map<String, Object> claims){
        String jwt = Jwts.builder()
                .addClaims(claims)//自定义信息(有效载荷)
                .signWith(SignatureAlgorithm.HS256, signKey)//签名算法(头部)
                .setExpiration(new Date(System.currentTimeMillis() + expire))//过期时间
                .compact();
        return jwt;
    }

    /**
     * 解析JWT令牌
     * @param jwt JWT令牌
     * @return JWT第二部分负载 payload 中存储的内容
     */
    public static Claims parseJWT(String jwt){
        Claims claims = Jwts.parser()
                .setSigningKey(signKey)//指定签名密钥
                .parseClaimsJws(jwt)//指定令牌Token
                .getBody();
        return claims;
    }
}

优缺点

  • 优点:
    • 支持PC端、移动端
    • 解决集群环境下的认证问题
    • 减轻服务器的存储压力(无需在服务器端存储)
  • 缺点:需要自己实现(包括令牌的生成、令牌的传递、令牌的校验)
JWTSessionCookie
N_a_n的博客
04-13 722
文章目录会话管理cookieSessionsessioncookie的优缺点JWTJWT工作JWT的优缺点优点缺点为什么Token可以防止CSRFCSRF工作原理总结 会话管理 由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。 这几个技术都是对HTTP协议的一个补充。 co...
CookieSessionJWT令牌技术、JwtUtils工具类
2301_77358195的博客
03-26 1568
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
简单的鉴权登录-java后端实现部分(JWT令牌+拦截器Interceptor)
WWX19990724的博客
04-11 3290
拦截器的主要是基于Java的反射机制,属于面向切面编程(AOP)的一种运用,就是在Service或者一个方法前调用一个方法,或者在方法后调用一个方法,甚至在抛出异常的时候做业务逻辑的操作。拦截器的作用类似于Servlet中的Filter,都可以用于对处理器进行预处理后处理。在Spring MVC Spring Boot 中使用拦截器一般是实现接口。拦截器的作用:拦截请求,在指定方法调用前后,根据业务需要执行预先设定的代码。
cookiesession、token、JWT简介
最新发布
Ws_9901的博客
04-11 582
Cookie 是由服务器发送到用户浏览器并保存在本地的一小段文本信息。它通常包含有关用户的信息,如登录状态、浏览偏好等。
CookieSessionJWT
weixin_61933613的博客
02-29 908
JSON Web Tokens(缩写 JWT)是目前最流行的跨域认证解决方案[1],解决了Session验证资源消耗扩展性差的缺点。其官网是:首先,JWT的组成包括三个部分 :Header部分:主要包括alg属性typ属性。alg表示签名算法(algorithm),默认是HMAC SHA256(写成HS56);typ表示令牌(token)类型(type),JWT令牌统一写为JWT。),此处为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。
sessioncookiejwt
qq_32037561的博客
08-04 277
session,cookie,jwt
CookieSessionJWT
God_Hearing的博客
10-05 373
cookie cookie是保存在本地浏览器的一个明文的用户信息 session session是保存在服务器端的一个键值对类似字典的数据 他的主要作用就是加密保存登录状态会话 登陆时验证用户名密码,如果正确,就会返回session的key,以后,浏览器端直接携带key访问,无需验证用户名密码 session缺点: 1.这种模式最大的问题是,没有分布式架构,无法支持横向扩展。 2.如果使用一个服务器,该模式完全没有问题。 3.但是,如果它是服务器群集或面向服务的跨域体系结构的话,则
cookie-sessionJWT的比较
a_369488977的博客
11-02 262
1.1cookie原理: 用户名+密码   ·cookie是保存在用户浏览器端,用户名密码等明文信息    1.2session使用原理   session是存储在服务器端的一段字符串,相当于字典的key   1.用户向服务器发送用户名密码。   2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。   3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。   4.用户的每个后续请求...
CookieSessionJWT的详解
miaozy
04-10 1638
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器浏览器的会话跟踪,就需要使用 c...
会话技术:CookieSessionJWT的优缺点分析实践
Sup星月★然的博客
08-24 954
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在同一次会话的多个请求间共享数据。为什么要共享数据呢?由于 HTTP 是无状态协议,在后面请求中怎么拿到前一次请求生成的数据呢?此时就需要在一次会话的多次请求之间进行数据共享。
HTTP无状态通信中的用户身份验证:CookieSessionJWT的详细解析
02-17
内容概要:本文详尽介绍了三种主要的身份验证技术——CookieSessionJWT的工作原理及其优缺点。针对HTTP协议的无状态特点导致的服务端无法追踪用户的挑战,提出解决方案。文中不仅讲解了各自的技术原理,还分别...
java http鉴权(spring boot 工程)
08-30
java http鉴权(spring boot maven工程),全网首个完整例子,经过测试可用。
JwtSessionCookie
m0_50985216的博客
07-10 517
JWT(JSON Web Token)是一种用于在网络上安全传输信息的开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息。:包含令牌的元数据,如令牌的类型(JWT签名算法(如HMAC SHA256或RSA)。:包含要传递的信息,如用户ID、角色、权限等。:使用头部载荷的Base64编码字符串以及一个密钥(secret)进行签名计算,以确保信息传输的安全性。文件中,配置JWT的相关参数,如密钥(Secret)、颁发者(Issuer)受众(Audience)。
Cookie,SessionJWT
林北
10-19 1128
Cookie,SessionJWT ​ HTTP是无状态的协议,每次客户端服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,因此也无法知道上一次的请求发送者这一次的发送者是不是同一个人。所以服务器浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。 Cookie Cookie是存储在客户端的一小块数据,也就
JWTCookieSession
m0_61504888的博客
09-23 182
Cookie 定义:是由服务器端生成,发送给浏览器,浏览器会将cookie中key/value保存到某个目录下的文本文件内,下次请求同一网站时将自动发送该cookie给浏览器 特点: 1、是以键值队的格式存储数据的 2、不同域名之间的cookie是不能互相访问的 3、当浏览器请求某网站时,会将所关联cookie发送给浏览器 Session 应用:对于一些相对于很敏感的信息,一般是由session保存在服务器端进行状态保持 Django项目默认...
Cookie,Session,JWT
优快云
10-19 570
HTTP协议 HTTP协议是一种无状态的协议。 早期WEB为了推广,需要一种可以快速共享资源的网络传输协议,这种协议旨在从服务器快速推送资源给任意一个客户端,而不在乎访问者是谁,后面就发明了HTTP协议。HTTP协议的无状态性是指HTTP协议无法记录传输过程中访问者是谁。 但是,随着WEB的发展,各种致力于为私人用户提供特定服务的服务器开始出现,比如电商服务器,用户需要经过电商服务器的身份认证才能继续使用服务器的其他功能。而HTTP协议本身是无状态的,即HTTP协议本身无法记录访问者信息。 身份
鉴权之cookiesessionJWT
wxiao_xiao_miao的博客
09-26 1203
鉴权:判断某用户是否有权访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 鉴权基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
CookieSessionJwt
m0_45887053的博客
06-24 336
将数据持久化保存到服务器端或者浏览器端让浏览器服务器进行多次数据交换时产生连续性
Cookie Session Jwt
rjlmylover_zyw的博客
02-14 430
文章目录cookiesessioncookie session区别jwt cookie 是存在于浏览器的一个凭证 当浏览器第一次访问服务器 , 会在服务器创建一个cookie 再返回浏览器 cookie里面有用户的所有信息 当用户再次访问服务器时 , 携带着cookie(一个凭证) 服务器根据携带的cookie信息不同分别不同用户 session 浏览器访问服务器的时候 , 服务器创建一个session , 同时生成一个特殊的cookie , (name为JSESSIONID的固定值,value为
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动状态。 session:是一种在服务器端存储用户信息的机制,用于跟踪用户在网站上的活动状态。 token:是一种用于身份验证授权的字符串,通常包含加密的用户信息有效期限等信息。 jwt:是一种基于token的身份验证授权机制,使用JSON格式存储用户信息有效期限等信息,具有安全性高、可扩展性强等优点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值