秘钥、session和cookie

最新推荐文章于 2024-08-14 14:55:14 发布
原创 最新推荐文章于 2024-08-14 14:55:14 发布 · 375 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot

本文探讨了登录认证系统中的秘钥管理,强调秘钥应具备唯一性并动态生成,如UUID。session和cookie是常见的存储方式,session数据安全性高但生命周期短,适合银行等对安全性要求高的系统;cookie则可用于视频网站等实现一个月免密登录。为防止用户因token销毁而需重复登录,建议将token信息持久化。

秘钥

业务说明:

一般在登录认证系统中 都会返回“秘钥”信息 来作为用户登录的凭证

特点:

最好独一无二。

动态生成秘钥:

UUID

空杠替换为空字符串   .replace

session和cookie

业务说明:

用户请求一次,一次响应  响应结束后服务器返回的数据 也会销毁

问题:如果销毁了token 用户则认为没有登录 需要重复登录

解决:应持久化token信息

 

session

会话控制技术 数据存储在内存当中 只能临时存入数据 不能永久保存

生命周期:会话结束,对象(数据)销毁 

cookie

小型文本文件  文件通常是加密的,可以临时或者永久的存储

两者区别: session储存 数据安全性高  会话结束 数据销毁

                   cookie储存 一个月免密登录

银行系统:session储存

视频网站:cookie储存

财务系统:session储存

购物系统:cookie储存

cookiesessionToken的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 1136
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
JWT 实现登录认证功能及CookieSession Token的区别
m0_49692893的博客
12-24 2006
认证功能是项目基础建设之一,要实现认证功能,很容易就会想到 JWT 或者 Session,但是两者有啥区别?各自的优缺点?
Substrate - 2 主要概念 - 2.5 会话密钥(Session Keys)
weixin_51487151的博客
02-10 1128
2.5 Session Keys Substrate提供了 Session pallet,这可以让验证者管理他们的 Session Keys
flask中的session伪造问题
m0_62422842的博客
09-05 3417
flask中的session伪造问题,涉及两道ctf题目,一道主要考察session伪造,另一道session伪造py反序列化结合考察。
SECRET_KEY的重要性
lendq的Blog
12-02 2万+
SECRET_KEY SECTET_KEY 在 django在加密,安全方面都有很突出的用处 json object的签名 SELECT_KEY作用本质上是一个加
sessionKey
weixin_33858336的博客
09-29 683
许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者,该公司提供了一种基于RSA保密密钥的应用于因特网的技术,被称为安全插座层(Secure Sockets Layer,SSL)。     也许很多人知道Socket,它是一个编程界面,并不提供任何安全措施,而SSL不但提供编程界面,而且向上提供一种安全的服务,SSL3.0现在已经应用到了服务器浏览器上,SSL2.0则只能...
koa session 秘钥写法
天天的博客
08-21 238
generate.js const fs=require('fs'); const KEY_LEN=1024; const KEY_COUNT=2048; const CHARS='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789<>?,./;[]{}!@#$%^&*()_+'; let arr=[]; for(let i=0;i<KEY_COUNT;i++){ let key=''; f
cookiesession区别
bhegi_seg的博客
07-30 264
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了session是一种特殊的cookiecookie是保存在客户端的,而session是保存在服务端。...
CookieSession、JWT令牌技术、JwtUtils工具类
2301_77358195的博客
03-26 1688
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
精选资源
JWT相关知识及Cookie, Session,TokenJWT的区别总结.pdf
05-31
总结来说,CookieSessionJWT都是处理身份验证会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统无状态认证中表现出色。理解它们之间的差异...
Flask secret_key的设置对session有影响
Gavin Guan的专栏
12-27 5828
今天打算部署一个Flask项目,用到了session,以前看到有文章说把secret_key设置成os.urandom(24)会很安全,于是就用了它,在本地调试的时候session管理没有问题,但是如果在服务器上用gunicorn+nginx部署,登录注册就乱掉了,基本上都能猜到是session的问题,但是为什么还不知道,于是就去google一下,很快就找到答案了。 先贴个链接:http:/
Cookie会话安全,编码方式及其密文特征
A1_3_9_7的博客
03-14 859
(本文章仅支持本人学习使用,若造成不良影响,本人无关!)
pythonsession的用法_Flask中的session详细用法教程
weixin_40008135的博客
12-23 545
**Flask session 概念解释:**session 是基于cookie实现, 保存在服务端的键值对(形式为 {随机字符串:‘xxxxxx’}), 同时在浏览器中的cookie中也对应一相同的随机字符串,用来再次请求的 时候验证;注意 :Flask中的session是存在浏览器中 默认key是session(加密的cookie), 也可以像Django一样基于上述的方式实现保存在数据库一...
Web浏览器的Cookie密钥的最大大小是多少?
xfxf996的博客
08-10 1154
What is the maximum size of a web browser's cookie's key? Web浏览器的Cookie密钥的最大大小是多少? I know the max
Egg04 cookie
多啦的博客
05-30 629
通过ctx.cookie可以很便捷的在Controller中设置、读取Cookie 设置Cookie ctx.cookies.set(key, value, options) 设置Cookie其实是通过在HTTP响应中设置set-cookie头完成的,每个set-cookie都会让浏览器在Cookie中存储一个键值对。 在设置Cookie时还支持很多参数来配置Cookie的传输、存储权限,具...
Cookie 反制策略详解:Cookie加解密原理、CookieSession机制、Cookie hook、acw_sc__v2、jsl Cookie调试、重定向Cookie
switch616的博客
08-14 1660
这些代码示例涵盖了 Cookie 反爬策略中的加密解密、Session 机制、Cookie 钩子技巧、以及常见的加密机制调试。希望这些示例能够帮助你理解并处理 Cookie 相关的反爬策略。
cookie安全加密
热门推荐
joyfixing的博客
07-25 2万+
本文为对cookie安全加密的一些个人看法,仅作记录,大家有什么好的建议方法可以留言。cookie一般情况下用于记录用户登录状态的,比如userid,千万不要记录密码,由于cookie是存储在客户端的,所以cookie很容易被人劫持修改。比如登录成功后在客户端写入cookie('userid') = 1,在服务器读取cookie userid的值,如果userid在数据库用户表中可以找到则证明当前用
Yii1.1 CWebModel setComponents 如何设置cookiesession
最新发布
04-28
### 在 Yii 1.1 中通过 `CWebModule` 的 `setComponents()` 方法设置 Cookie Session 在 Yii 1.1 框架中,可以通过模块的 `setComponents()` 方法来配置组件。这使得开发者能够在模块级别定义修改诸如 `cookie` `session` 等核心功能的行为。 #### 使用 `setComponents()` 配置 Cookie Session 以下是具体实现方法的一个示例: ```php <?php class AdminModule extends CWebModule { public function init() { parent::init(); // 定义并设置 components 属性 $this->setComponents(array( 'session' => array( 'class' => 'CHttpSession', 'autoStart' => true, 'timeout' => 3600, // 设置超时时间为 1 小时 'cookieMode' => 'allow', // 允许使用 cookies 存储 session ID 'savePath' => '/var/www/session_data', // 自定义 session 数据存储路径 'useTransparentSessionID' => false, // 不透明化 session ID ), 'request' => array( 'enableCookieValidation' => true, // 启用 cookie 验证 'cookieValidationKey' => 'your_secret_key_here', // 设置密钥以保护 cookies ), )); } public function beforeControllerAction($controller, $action) { if (parent::beforeControllerAction($controller, $action)) { return true; } else { return false; } } } ``` - **`session` 组件配置**: 上述代码片段展示了如何通过 `setComponents()` 来配置 `session` 组件[^2]。主要涉及以下几个关键属性: - `class`: 指定所使用的类名 (`CHttpSession`)。 - `autoStart`: 控制是否自动启动 PHP 的会话管理,默认为 `true`。 - `timeout`: 设定会话的有效期时间(单位:秒),在此期间无活动则会被视为过期。 - `cookieMode`: 决定了是否允许或强制使用 cookies 来传输 session IDs,可选值有 `allow`, `none`, `only`。 - `savePath`: 修改默认 `/tmp` 路径,指定服务器上的其他目录保存 session 文件。 - `useTransparentSessionID`: 当启用此选项时,即使客户端禁用了 cookies,也会尝试通过 URL 参数传递 session ID。 - **`request` 组件配置**: 对于安全性增强而言,还可以调整 `request` 组件的相关参数[^3]^。例如: - `enableCookieValidation`: 开启后会对所有发送到浏览器端的 cookies 加入签名验证,防止篡改攻击。 - `cookieValidationKey`: 提供一个随机字符串作为加密秘钥,确保只有合法站点能够生成有效的 signed cookies。 #### 实际应用场景举例 假设我们需要在一个电商网站后台管理系统里加强登录状态的安全防护措施,则可以利用上述技术手段完成如下目标: 1. 缩短普通用户的 session 生命周期至较短时间内(如 30 分钟); 2. 强制要求管理员账户必须依赖 cookies 才能维持已认证身份; 3. 利用高强度哈希算法产生的唯一标识符充当 `cookieValidationKey` 值,保障敏感信息不被窃取冒充。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值