Session鉴权

最新推荐文章于 2025-03-01 17:51:17 发布
最新推荐文章于 2025-03-01 17:51:17 发布
阅读量781 收藏 9
点赞数 7
分类专栏: .NET6 文章标签: c# .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tianminhjyusaf/article/details/142645810
版权

自定义 Session 鉴权的实现思路和过程,主要围绕以下几个关键点展开:

  1. Session 的存储和管理:Session 是一种基于服务器的身份状态保持机制。客户端(通常是通过 Cookie)持有一个 Session ID,服务器通过这个 ID 识别该用户的会话信息。
  2. Session 鉴权的核心逻辑:当客户端发起请求时,服务器通过解析请求中的 Session ID 来查找用户信息,进行身份验证和授权。
  3. 自定义 Session 鉴权流程:我们可以自定义实现 Session 的生成、存储、检索及失效处理等功能,替代传统的认证方式(如 JWT)。

实现思想

  1. Session ID 的生成和管理

    • 每当用户成功登录时,服务器生成一个唯一的 Session ID,并将该 Session ID 与用户信息(例如用户 ID、角色、权限等)关联。
    • Session ID 存储在服务器端(例如内存、数据库或分布式缓存中),并通过 HTTP 响应将 Session ID 设置为客户端 Cookie。

  2. Session ID 的校验

    • 每次请求时,服务器从请求中解析出 Session ID(通常是从 Cookie 中)。
    • 在服务器端查找与该 Session ID 关联的用户信息,验证会话是否有效。如果有效,允许请求继续处理;否则,拒绝访问并提示用户重新登录。

  3. Session 生命周期管理

    • Session 通常有一个超时设置,即在用户一段时间内没有活动后,Session 自动失效。可以通过定时任务清理过期的 Session,或设置 Session 的有效期,并在用户活动时刷新 Session 的过期时间。

  4. 安全性考虑

    • Session ID 应该足够复杂和随机,防止被猜测或伪造。
    • 可以设置 Session ID 的生命周期,定期刷新,避免长时间未失效的 Session 被利用。
    • HTTPS 传输,确保 Session ID 不被中间人攻击截获。

过程与代码实现

  1. 生成Session ID 并存储
public class SessionService
{
    private readonly IDistributedCache _cache; // 或 IMemoryCache

    public SessionService(IDistributedCache cache)
    {
        _cache = cache;
    }

    public string CreateSession(string userId)
    {
        // 生成唯一的 Session ID
        var sessionId = Guid.NewGuid().ToString();
        // 保存用户信息(例如 userId)到缓存中
        _cache.SetString(sessionId, userId, new DistributedCacheEntryOptions
        {
            AbsoluteExpirationRelativeToNow = TimeSpan.FromMinutes(30) // 设置Session超时时间
        });

        return sessionId;
    }

    public string GetUserBySession(string sessionId)
    {
        // 从缓存中获取用户信息
        var userId = _cache.GetString(sessionId);
        return userId;
    }

    public void InvalidateSession(string sessionId)
    {
        // 移除Session
        _cache.Remove(sessionId);
    }
}
  1. 设置和获取客户端 Cookie 中的 Session ID

在用户登录成功后,将生成的 Session ID 写入 HTTP 响应的 Cookie 中:

public IActionResult Login(string username, string password)
{
    // 假设验证成功,获取 userId
    string userId = AuthenticateUser(username, password);

    if (userId != null)
    {
        // 生成Session
        var sessionId = _sessionService.CreateSession(userId);

        // 设置Session ID到客户端 Cookie
        Response.Cookies.Append("SessionId", sessionId, new CookieOptions
        {
            HttpOnly = true, // 防止客户端JavaScript访问,提升安全性
            Secure = true,   // 仅在 HTTPS 连接上传输
            Expires = DateTimeOffset.Now.AddMinutes(30)
        });

        return Ok("Login successful");
    }

    return Unauthorized("Invalid username or password");
}
  1. 自定义中间件解析Session并鉴权

接下来,使用自定义中间件来从每个请求的 Cookie 中提取 Session ID,并通过 Session 服务验证用户身份。

public class SessionMiddleware
{
    private readonly RequestDelegate _next;
    private readonly SessionService _sessionService;

    public SessionMiddleware(RequestDelegate next, SessionService sessionService)
    {
        _next = next;
        _sessionService = sessionService;
    }

    public async Task Invoke(HttpContext context)
    {
        if (context.Request.Cookies.ContainsKey("SessionId"))
        {
            var sessionId = context.Request.Cookies["SessionId"];
            var userId = _sessionService.GetUserBySession(sessionId);

            if (userId != null)
            {
                // 验证通过,创建用户身份信息
                var claims = new List<Claim>
                {
                    new Claim(ClaimTypes.Name, userId)
                };
                var identity = new ClaimsIdentity(claims, "SessionAuth");
                var principal = new ClaimsPrincipal(identity);

                context.User = principal;
            }
        }

        // 调用下一个中间件
        await _next(context);
    }
}
  1. 在 Startup.cs 中注册中间件

将自定义的 Session 中间件添加到请求管道中:

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddDistributedMemoryCache(); // 使用内存缓存来存储Session
        services.AddSingleton<SessionService>();
    }

    public void Configure(IApplicationBuilder app)
    {
        app.UseMiddleware<SessionMiddleware>(); // 注册自定义Session中间件

        app.UseAuthentication(); // 如果有其他鉴权机制,如 JWT 或 Cookie

        app.UseAuthorization();

        app.UseEndpoints(endpoints =>
        {
            endpoints.MapControllers();
        });
    }
}
  1. 使用授权过滤器

在需要鉴权的控制器或操作方法上,使用 [Authorize] 属性进行限制:

[Authorize]
[ApiController]
[Route("api/[controller]")]
public class ProtectedController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        return Ok("You are authorized with a valid session!");
    }
}

鉴权流程:

  1. 用户登录:当用户登录成功时,服务器生成一个 Session ID,将其与用户信息关联并存储在服务器端(如缓存或数据库)。同时,服务器将 Session ID 作为 Cookie 返回给客户端。

  2. 客户端请求:每次客户端发起请求时,都会自动附带该 Session ID(通过浏览器的 Cookie 机制)。

  3. Session 验证:自定义的 SessionMiddleware 从请求中提取 Session ID,并通过 SessionService 验证 Session 的有效性。如果 Session 有效,将用户信息注入到 HttpContext.User 中。

  4. 授权控制:在需要进行鉴权的控制器或方法上使用 [Authorize],如果 HttpContext.User 存在有效的用户信息,则允许访问,否则拒绝请求。

思考与扩展:

  1. Session 的持久化:如果应用是分布式的(多个服务器实例),可以使用分布式缓存(如 Redis)来存储 Session 信息,确保各个服务器实例可以共享 Session 数据。

  2. Session 的安全性:确保 Session ID 传输时使用 HTTPS 加密,防止被窃听。同时,Session ID 需要具备足够的复杂度,避免被猜测或暴力破解。

  3. Session 的刷新机制:可以在每次用户请求时,刷新 Session 的过期时间,延长用户的会话时间。

  4. 多因素认证(MFA):可以结合 Session 鉴权和多因素认证,提高系统的安全性。

  5. Token + Session 结合:可以结合 JWT Token 的方案,将部分用户身份信息存储在 Token 中,而将更敏感的信息存储在 Session 中,实现 Token 和 Session 的双重验证。

通过这些思路和过程,你可以在 C# 中实现一个自定义的 Session 鉴权机制,并根据实际的业务需求进行调整和优化。

session
Xuxiaogu的博客
01-02 287
1111
session和token方式
weixin_40611700的博客
10-19 1219
1.什么是token 在接口的响应结果中,经常会出现类似这样的返回值 { 'msg':'success', 'token':'eyJzsKIKLJdkjgias436ajsdlgjalsjfowe' } 往往需要在访问下一个接口时传递token数据 cur -x POST -H Authorization:eyJzsKIKLJdkjgias436ajsdlgjalsjfowe <http://127.0.0.1:500/user> {'alg':'HS256'.
Session-server:Session 服务
05-07
server 后端代码部分 相关技术: Koa Redis Cookie 相关设想分享 前端授逻辑: 前端登陆,服务端返回cookie,颁发token, 有一个接口专门用来处理这个事情,也就是session服务, 前端在其他接口访问的时候将这个token作为authorize头部带给后端校验 cookie用户前端session拿token服务,前端不存取其他用户信息 后端校验,cookie如果存在,token也存在,对得上号,放行,那么假使此时token过期了,再给用户重发一个新的token 数据库vkey在登陆的时候塞回用户cookie,作为access token接口的唯一凭据,如果这玩意过期了或者不对,就定向登陆 cookie向服务端比对vkey的时候,查一次,然后这玩意存redis,再设定一段期限,这样频繁访问的时候稳妥一点 流程: 前端登陆 --> (账号密码) --> 颁
SessionID的本质
07-24 1411
一、客户端用cookie保存了sessionID 客户端用cookie保存了sessionID,当我们请求服务器的时候,会把这个sessionID一起发给服务器,服务器会到内存中搜索对应的sessionID,如果找到了对应的 sessionID,说明我们处于登录状态,有相应的限;如果没有找到对应的sessionID,这说明:要么是我们把浏览器关掉了(后面会说明为什 么),要么sessi...
Spring拦截器实现接口访问(cookie、session、token三者区别)
最新发布
m0_74399067的博客
03-01 1188
特性CookieSessionToken(JWT)存储位置客户端(浏览器)服务端(内存、数据库)客户端(LocalStorage、Cookie)安全性较低(易被 XSS/CSRF 攻击)较高(仅暴露 Session ID)高(签名防篡改,需配合 HTTPS)扩展性受限于跨域策略需解决分布式 Session 共享天然支持分布式系统典型场景用户偏好设置、临时会话标识传统 Web 应用的登录状态管理移动端、API 、单点登录拦截器的主要是基于Java的反射机制,属于面向切面编程。
Session【登录】
qq_44182694的博客
03-19 901
我们经常会遇到去一个网站,当你执行一个操作的时候需要登录 那么网站或者app是如何获知我们是否登录的呢? 今天介绍一个比较经典的方法 httpsession Session在HttpServletRequest request //serivce层 //将之前mapper层的注入过来 @Autowried private SysUserService sysusermapper; public Returndata login(Sysuser user,HttpServletRequest reques
全网最全的Cookie, Session, Token详解,一定让你大饱眼福
MXB_1220的博客
04-17 3119
在Web开发中,是保护用户数据和系统安全的重要手段之一。常见的方式包括Cookie、Session和Token三种,下面我将详细介绍这三种方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是Cookie、Session、Token_哔哩哔哩_bilibili以上介绍了三种常见的方式,它们各有优缺点。Cookie简单易用,但安全性和可伪造性较差;Session相对安全可靠,但对服务器的负担较大;Token可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
Java Web实战详细教程(二十一)Session实战
Java朱老师博客
12-13 1309
        上一篇文章,我们讲过了Cookie,知道Cookie是服务器响应到浏览器的一段字符串,并可以伴随后续的请求传递到浏览器。         根据Cookie的以上特性,服务器可以生成一段不重复的字符串,从而记录请求时哪个浏览器发送来的。如下图所示:        &n
vue+express关于session的小项目.zip
10-21
总的来说,这个项目展示了如何利用Vue.js和Express.js构建一个简单的用户登录系统,通过session实现用户,确保只有合法用户可以访问受保护的资源。这只是一个基础示例,实际项目中还需要考虑更多安全性和性能...
vue-expres-login:vue + express关于session的小项目
03-09
总结来说,“vue-expres-login”项目是一个学习和实践前后端分离、session的好例子,涵盖了Vue.js和Express.js的基础应用,对于想要了解这两个技术如何协同工作的开发者来说,是一个不错的实践项目。
session和cookies和token原理各是什么
06-08
SessionSession是通过在服务端保存用户的会话信息,来验证用户身份的一种方式。当用户访问某个需要登录的页面时,服务器会生成一个Session ID,并将该ID保存在服务器端。之后,每次用户访问需要登录的页面...
之cookie、session、JWT
wxiao_xiao_miao的博客
09-26 1206
:判断某用户是否有访问服务器上的资源。 用户中心这个页面需要用户登录之后才能访问; 某个接口需要token才能访问; http是无状态的: 早期的web只需要提供信息给访问者就行了,不需要记录状态。浏览器和服务器不能凭借HTTP协议的来辨别请求的上下文。(服务器不能分辨浏览器发出的请求是不是之前已经请求过。 ) 基本实现思路: 身份信息保存在服务器。(办理消费卡,顾客来了报卡号,在系统上查询) 身份信息保存在客户端。(办理消费卡,顾客来了直接在卡上盖戳) 1.coo.
登录:cookie、sessionsessionId和token
weixin_54018434的博客
01-22 1950
于是就有另一种解决方案:token。用户使用账号密码登录,服务端验证账号密码是否正确,若正确生成sessionId并以cookie的形式返回给前台,浏览器保存cookie,并在下次访问自动带上cookie,服务器在session中匹配前台传过来的cookie,有则不用再登录,否则提示未登录。cookie是一段存储在浏览器中的文本,它可以保存用户的信息,服务端通过设置返回头的set-cookie字段就能返回给浏览器并保存cookie,浏览器又自动设置请求头的cookie字段将cookie传递给服务器。
前端:cookie、session 和 token 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 2677
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
sessionid
lixiangzhen2018的博客
09-14 309
而在Java中是通过调用HttpServletRequest的getSession方法(使用true作为参数)创建的。在创建了Session的同时,服务器会为该Session生成唯一的Session id,而这个Session id在随后的请求中会被用来重新获得已经创建的Session;在Session被创建之后,就可以调用Session相关的方法往Session中增加内容了,而这些内容只会保存在...
HTTP Session工作原理的简单介绍
caoguanling2011的专栏
11-13 931
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。  服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。  我们看到,HTTP协议本身并不能支持服务端保存客户端的状态
服务端Session/Cookie
起风了
11-08 573
文章目录CookieSessionKoa中实现Sessionredis存储session Cookie cookie原理 服务端在Header Set-Cookie,然后客户端会自动存取下来(cookie中可以看到) 下次请求,请求头会携带cookie传给后端 const http = require('http') http .createServer((req,res)=>{ if(req.url === '/favicon.ico'){ res.e
接口自动化入门:登录流程中的cookie,Session, Token实践
2301_76643199的博客
07-28 672
为了回馈铁杆粉丝们,我给大家整理了完整的软件测试视频学习教程,朋友们如果需要可以自行免费领取
1. tokensession区别
06-11
TokenSession是两种常用的身份验证方式。 Token是一种轻量级的身份验证方式,通常用于Web API的身份验证,其工作方式为:客户端在登录后,服务器返回一个包含用户身份信息的token。客户端在后续请求中将该token附加在请求头或请求体中,服务器接收到请求后,通过对token的解析验证用户身份。该方式的优点是减轻了服务器的负担,可以跨域使用,但缺点是token一旦泄露,攻击者可以使用该token来模拟合法用户进行操作。 Session是一种传统的身份验证方式,通常用于Web应用程序的身份验证,其工作方式为:用户在登录后,服务器在后端创建一个session并返回一个sessionid给客户端,客户端在后续请求中将该sessionid附加在请求头或请求体中,服务器通过对sessionid的验证判断用户身份。该方式的优点是安全性较高,用户的状态信息可以保存在session中,但缺点是需要在服务器端存储session信息,会增加服务器的负担,并且无法跨域使用。 因此,TokenSession各有优缺点,根据实际应用场景和需求选择适当的身份验证方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值