java鉴权_3种常用鉴权方法原理与实现

最新推荐文章于 2025-03-11 16:22:29 发布
最新推荐文章于 2025-03-11 16:22:29 发布
阅读量6.1k 收藏 2
点赞数
文章标签: java鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_36138462/article/details/114309300
版权
本文介绍了Java鉴权的三种常见方法:Cookie、Session和Token的原理及实现。通过示例代码展示了如何在Node.js环境中设置Cookie和Session,并探讨了Token的使用场景和验证流程。适合初学者学习和理解鉴权机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

学生一枚,作为学习和总结。如果有哪些不对的地方,还请指教

cookie

诞生

HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。

为解决这个问题,有了cookie出现

cookie介绍

Cookie是由服务器端生成,发送给User-Agent(一般是浏览器),(通知浏览器设置一下cookie),浏览器自动会将Cookie以进行保存(以key/value的形式)。当下次请求同一网站时也会自动发送该Cookie给服务器,即添加在请求头部。

存放在浏览器端

原理即代码实现

const http = require("http")

http.createServer((req, res) => {

// 观察cookie是否存在 如果存在就打印cookie

console.log('cookie:', req.headers.cookie)

// 设置cookie

res.setHeader('Set-Cookie', 'cookie=abc;')

res.end('hello cookie!!')

}).listen(3000)

复制代码

结果展示

d44636d4b5319c1ff2159ba69ac474d3.png

2f164b5670d1c65d73b93601fb1e3af0.png

为什么会有两次?

第一次 请求的时候 发现没有cookie,就进行了设置

第二次请求,发现有cookie了,就直接输出了

session

基于cookie 实现,存放在服务端

里面只存一个cookieId,其他的保存在服务器中

代码即原理展示

// principle

const http = require("http")

const session = {} // 用来存放cookie

http.createServer((req, res) => {

// 观察cookie存在

console.log('cookie:', req.headers.cookie)

const sessionKey = 'sid'

const cookie = req.headers.cookie

if (cookie && cookie.indexOf(sessionKey) > -1) { // 证明cookie 存在

res.end('Come Back ')

// 简略写法未必具有通用性

const pattern = new RegExp(`${sessionKey}=([^;]+);?\s*`) // 正则表达式对象 判断是否又sid = XX等

console.log(pattern)

const sid = pattern.exec(cookie)[1] // 检索字符串中指定的值。返回找到的值

console.log('session:', sid, session, session[sid])

} else {

const sid = (Math.random() * 99999999).toFixed()

// 设置cookie

res.setHeader('Set-Cookie', `${sessionKey}=${sid};`)

session[sid] = {name: 'oldWang'}

res.end('Hello')

}

res.end('hello cookie!!')

}).listen(3000)

复制代码

分析

浏览器不存在cookie 的时候,走else,随机设置一个sid,(一般是自己设置,尽量麻烦一点),然后 设置cookie, 在session集合中保存用户信息,(一般存到数据库里面), 最后返回结果

第二次进入的时候,会走if ,进行取值判断。

Token

使用原因

Session不足,服务器存在状态

不灵活,(cookie只存在于浏览器)

过程

客户端使用户名跟密码请求登录

服务端收到请求,去验证用户名与密码

验证成功后,服务端会签发一个令牌(Token),再把这个 Token 发送给客户端

客户端收到 Token 以后可以把它存储起来,⽐比如放在 Cookie 里或者 Local Storage ⾥

客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回 请求的数据

例子实现

前台

Title

登陆

退出

获取用户

清除页面

  • {{ log }}

axios.defaults.baseURL = 'http://localhost:3000'

axios.defaults.withCredentials = true

axios.interceptors.request.use(config => {

const token = window.localStorage.getItem("token");

if (token) {

// 判断是否存在token,如果存在的话,则每个http header都加上token

// Bearer是JWT的认证头部信息

config.headers.common["Authorization"] = "Bearer " + token;

}

return config;

}, err => {

return Promise.reject(err);

});

axios.interceptors.response.use(response => {

app.logs.push(JSON.stringify(response.data));

return response;

}, err => {

app.logs.push(JSON.stringify(response.data));

return Promise.reject(err);

});

var app = new Vue({

el: "#app",

data: {

username: "admin",

password: "admin",

logs: []

},

methods: {

login: async function () {

const res = await axios.post("/users/login-token", {

username: this.username,

password: this.password

});

localStorage.setItem("token", res.data.token);

}, logout: async function () {

this.logs.push('退出登陆')

localStorage.removeItem("token");

}, getUser: async function () {

await axios.get("/users/getUser-token");

}

}

});

复制代码

后台代码

const Koa = require('koa')

const router = require('koa-router')() // koa路由

const jwt = require("jsonwebtoken")

const jwtAuth = require("koa-jwt")

const secret = "it's a secret"

const cors = require('koa2-cors')

// https://www.jb51.net/article/135924.htm 跨域参考

const bodyParser = require('koa-bodyparser') // 不支持table,支持json

const static = require('koa-static')

const app = new Koa();

app.keys = ['some secret'];

app.use(cors({credentials: true})) // 解决跨域

app.use(static(__dirname + '/'));

app.use(bodyParser())

router.post("/users/login-token", async ctx => {

const {body} = ctx.request;

console.log(body)

//登录逻辑,略略

// 设置session

const userinfo = body.username;

ctx.body = {

message: "登录成功", user: userinfo,

// ⽣生成 token 返回给客户端

token: jwt.sign({

data: userinfo,

// 设置 token 过期时间,一⼩小时后,秒为单位

exp: Math.floor(Date.now() / 1000) + 60 * 60

}, secret)

};

})

router.get("/users/getUser-token", jwtAuth({secret}), async ctx => {

// 验证通过,state.user

console.log(ctx.state.user);

//获取session

ctx.body = {message: "获取数据成功", userinfo: ctx.state.user.data};

});

app.use(router.routes());

app.use(router.allowedMethods());

app.listen(3000);

复制代码

jsonwebtoken github

b739ec46bb5c46d9c0aa4ce35ba1ea56.png

关于找一找教程网

本站文章仅代表作者观点,不代表本站立场,所有文章非营利性免费分享。

本站提供了软件编程、网站开发技术、服务器运维、人工智能等等IT技术文章,希望广大程序员努力学习,让我们用科技改变世界。

[3种常用鉴权方法原理与实现]http://www.zyiz.net/tech/detail-129918.html

hzyy68
关注
javajava的Jaas授
九师兄
12-29 1742
文章目录1.概述2. 概念预览3.SecurityManager应用场景2. 测试2.1 无安全测试2.2 安全测试2.1 绑定授策略文件3. 其他java限4.优化5.再次优化错误集锦1.11.2 1.概述 Jaas主要负责的是 Authentication 和 Authorization。Java平台提供的认证服务(Java Authentication and Authorizat...
OAuth 2.0的实现(Spring_Security_Oauth2)
qq_25156781的博客
01-28 3754
可以理解为客户端和服务器之间的一次私密谈话,在一次对话中可能会有多个请求和响应;同时要具有别多个请求是来自同一个客户端的一次对话的功能;用户认证通过后,为了避免用户的每次操作都进行认证,可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
java http(spring boot 工程)
08-30
java http(spring boot maven工程),全网首个完整例子,经过测试可用。
Java Spring Boot 全解析
最新发布
呱牛 Just do IT
03-11 1044
在现代软件开发中,系统安全至关重要。Spring Boot 作为 Java 领域热门的微服务框架,提供了强大且便捷的机制。对于初学者而言,理解 Spring Boot 的原理实现方式,是迈向专业 Java 开发者的关键一步。本文将深入浅出地讲解 Spring Boot 的机制,助力各位初学者快速掌握核心要点。
Java——
wang__sepcial的博客
05-11 4042
springboot 限认证方案
JAVA面试题分享一百一十三:方式?
之乎者也·的博客
11-30 1493
(authentication)是指验证用户是否拥有访问系统的利。传统的是通过密码来验证的。这种方式的前提是,每个获得密码的用户都已经被授。在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请。这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份。为了克服这种方式的缺点,需要一个更加可靠的方式。目前的主流方式是利用认证授来验证数字签名的正确否。
简单的Java的token架构
Demon的博客
07-04 4755
简单的Java的token架构
java _我爱java系列之---【JWT实现微服务(一)】
weixin_36411269的博客
02-12 214
JWT介绍JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷签名。头部(Header)头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。{"typ":"JWT","alg":"HS256"}在头部指明了签名算法...
Cookie Session Token 的区别和原理
m0_65431718的博客
07-07 1121
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
基于Springboot集成security、oauth2实现认证、资源管理.zip
04-08
【标题】"基于Springboot集成security、oauth2实现认证、资源管理"是一个综合性的IT项目,旨在演示如何在Spring Boot应用中整合Spring Security和OAuth2,以提供安全的认证服务。Spring Security是Spring...
oauth2认证、框架知识点汇总
03-15
1. **Spring Security OAuth2**:在Java环境中,Spring Security OAuth2是常用实现库,它为OAuth2提供了一整套解决方案,包括客户端和服务器端的支持。 2. **配置**:配置授服务器和资源服务器,定义授类型、...
Java中使用JWT生成Token进行接口实现方法
08-25
主要介绍了Java中使用JWT生成Token进行接口实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
接口实战:基于时间的原理
基于时间的原理是接口常用的一种方式。时间作为一个唯一不断增长的值,可以有效防止重放攻击(Replay Attack)和拒绝服务攻击(DoS Attack)。同时,通过合理的时间设置,可以保障接口访问的时效性和...
java_Spring Security零基础入门之四~
weixin_39557583的博客
11-23 468
1.前言这是本系列的第四篇文章,前三篇主要讲了使用Spring Security进行验证的原理、流程和例子,全系列传送门如下:第一篇:Spring Security零基础入门之一。第二篇:Spring Security零基础入门之二~验证第三篇:Spring Security零基础入门之三~使用数据库进行验证第四篇:Spring Security零基础入门之四~本篇的内容主要介绍Spring ...
java-JWT
菜就多看,多想,多敲
02-17 602
JWT实现案例
Java认证框架:Sa-Token
love_eat_peach的博客
06-06 2754
(调用角色校验和限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的限码集合后,再将限码和待校验的字符串进行判断是否有限)(调用角色校验和限校验方法的时候,satoken会调用上面我们实现的StpInterface接口类的对应方法,拿到此用户的限码集合后,再将限码和待校验的字符串进行判断是否有限)?SaRouter.match("/**").check(r -> System.out.println("----啦啦啦----"))
Java解决垂直问题(对垂直限进行校验)
qq_57703172的博客
05-07 1250
避免垂直实现原理:每次用户访问时,都要判定该用户是否有访问此 URL 的限。
Java代码审计&漏洞&Interceptor&Filter&Shiro&JWT
qq_46081990的博客
12-26 2878
本文深入探讨了当前主流的方式,包括Interceptor、Filter、Shiro和JWT,并提供了相应的审计思路。作者以实际项目为例,详细介绍了Interceptor、Filter、Shiro和JWT的审计过程,强调了审计时的关键步骤和代码追溯方法。以NewbeeMall、华夏ERP、Tumo博客和FastCMS为案例,展示了在不同项目中的具体应用。文章突出强调了审计中的关键点,如Interceptor中preHandle方法、Filter中doFilter方法、Shiro配置信息、J
java_就很棒!这样的java微服务下的用户方案,很值得一看
weixin_39654903的博客
12-02 238
Java常用的安全框架主要有Spring Security和shiro,都可提供非常强大的功能,但学习成本较高。在微服务下多多少少都会对服务有一定的入侵性。 为了降低依赖,减少入侵,让功能相对应用服务透明,我们采用网关拦截资源请求的方式进行。一、整体架构用户模块位于API GateWay服务中,所有的API资源请求都需要从此通过。做身份认证,通过则缓存用户限数据,不通过返回40...
Node.jsMySQL构建类似OAuth系统教程
特别提供了一个基于node.js和MySQL的系统,该系统在功能上类似于OAuth,能够提供用户认证服务。项目代码经过了严格测试,保证可以无缝运行。 项目源码包括但不限于STM32、ESP8266、PHP、QT、Linux、iOS、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值