登陆验证发展史(cookie认证->session认证->token认证->JWT,单系统登陆->多系统单点登陆)

最新推荐文章于 2024-12-12 17:39:49 发布
原创 最新推荐文章于 2024-12-12 17:39:49 发布
· 1.4k 阅读 · 17 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sso #jwt #session #cookie #java

登陆验证发展史有两条主线。在服务部署方式层面,早期的Web服务系统简单一般都是单系统,登陆的话就登陆这一个系统就好了,随着系统复杂性越来越高,一个大的系统往往由很多子系统组成,用户使用这个大系统时不可能一个一个地单独去登陆每个小系统,理想的是只要登陆上了这个大系统或者其中的一个小系统,其它所有小系统都不需要再输密码什么的登陆了,直接访问,所以登陆验证就从单系统登陆演进为多系统的单点登陆。而在验证方式层面,经历了cookie认证->session认证->token认证->JWT的发展史。

以单系统登录举例,先从验证方式层面去看:

1.cookie验证

简单介绍一下cookie,cookie其实可以理解成存储在浏览器上的一种数据,里面的数据格式是key-value键值对,数据本质上是保存在终端某个本地文件夹内。cookie不能跨域,浏览器在访问某网站地址时,如果该网址的域有cookie保存在浏览器中,可以携带上对应cookie。谷歌浏览器可以在地址栏中输入chrome://settings/siteData?search=cookie来查看当前浏览器保存的所有cookie,可以看到每个cookie是哪个域下面的。cookie 长度不超过 4KB ,否则会被截掉。每个域名下的cookie数量是有限制的,不同的浏览器默认的数量限制可能不同,ie7之前是20个,ie7之后和Firefox一样都是50个,chrome 和 Safari 没有做硬性限制。

先贴一张cookie认证流程图:

cookie认证的登录超时一般是服务端设置cookie的有效时间。cookie认证特点最大的就是用户信息保存在浏览器,早期互联网环境还比较安全,后来大家发现请求一旦被拦截,被拿到cookie后用户信息就泄露了,然后开始给cookie中的用户信息加密,但这也是治标不治本的方法,只要用户信息是在浏览器,终究是不安全的,最大的问题还是用户信息保存在浏览器的话,服务端不好管理受限太多。而且虽然大部分浏览器都是默认开启cookie存储的,可是万一谁设置了一下不存储cookie呢,那岂不是登录不了系统了。还有就是浏览器一次请求会把对应域中的所有cookie全部带上,可以如果我只需要带有用户信息的cookie用来做验证呢,其他cookie岂不是白白增加了请求包大小,也是带宽的浪费。

可见cookie认证的缺点还是很多的,所以现在的Web应用一般都不用cookie认证了,后来出现了session认证。

2.session认证

session是存储在服务

最低0.47元/天 解锁文章
通证简史|从日进斗金到夹缝求存, 细数Token的前世今生
区块链大本营
12-06 1423
你这么帅,不来波关注吗?通证的本质区块链发展到今天,经历了三个里程碑:2008年比特币诞生,创建了真正意义上的去中心化点对点转账系统;2015年比特币启动,开创了去中心...
彻底理解cookiesessiontoken的使用及原理
10-16
当用户登录系统后,服务器会生成一个唯一的会话标识符(sessionid),并通过cookie或者其他方式(例如URL重写)发送给客户端。在后续的用户请求中,用户需要携带这个sessionid以供服务器识别身份。与cookie不同,...
cookiesessiontoken发展史
weixin_50209879的博客
02-09 132
cookie sessiontoken
SessionCookietoken 的前世今生
qq_25096741的博客
03-26 254
引入:我们都知道 http 协议本身是一种无状态的协议,一个普通的http请求简单分为三步: 客户端发送请求request 服务端收到请求并进行处理 服务端将结果respond给客户端 对于服务端来说 服务端如何知道当前请求的客户端是哪个用户 如何保证每次请求,服务器都知道是哪个用户 一、cookie 什么是cookie cookie 就是存储在客户端的一段数据,采用的是在客户端保持 HTTP 状态信息。 cookie 的产生背景 随着互联网的发展,已经不仅仅是浏览网页了,越来越多的交互式网站兴起,如在线购
用户认证(Authentication)进化之路:由Basic Auth到Oauth2再到jwt
刘悦的技术博客
05-11 2523
虽然基本认证非常容易实现,但该方案创建在以下的假设的基础上,即:客户端和服务器主机之间的连接是安全可信的。所以,如果有人对头部以及载荷的内容解码之后进行修改,再进行编码的话,那么新的头部和载荷的签名和之前的签名就将是不一样的。而且,如果不知道服务器加密的时候用的密钥的话,得出来的签名也一定会是不一样的。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化。
JWT多系统登录鉴权、授权验证--可用
Oo骑着猪去买西瓜-杨清oO的博客
07-30 1291
首先流程图来一波!!!! 具体实现代码工具类JwtTokenUtils如下: import io.jsonwebtoken.Claims; import io.jsonwebtoken.ExpiredJwtException; import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; import java.util.HashMap; import java.uti.
接口测试之CookieSessionToken鉴权:鉴权接口错误码验证
# 1. 简介 ### 1.1 什么是接口测试 ...CookieSessionToken是常见的鉴权方式,通过对用户身份的验证,确保用户访问系统的合法性和安全性。 ### 1.3 目标:鉴权接口错误码验证的重要性 对于接口测试而言,鉴
使用Token实现SSO单点登录
单点登录(Single Sign-On,简称SSO)是一种允许用户使用一组凭据登录多个应用程序或系统的身份验证和授权机制。用户只需登录一次,即可访问多个应用,而不需要为每个应用分别输入身份验证凭据。这种方式能够简化...
接口测试之CookieSessionToken鉴权:Token生成算法优化策略
为了保护用户的隐私和数据安全,常见的身份认证方式包括CookieSessionToken鉴权。本文将重点探讨Token鉴权的生成算法选型与优化实践,以及在接口测试中的应用。 ## 1.2 目的与意义 身份认证是保障网络安全的...
什么是JWT Json web token (JWT),它的起源与应用一文解读!
Lonelypatients°的博客
03-25 883
JWT JWT 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证。我们不再使用Session认证机制,而使用Json Web Token认证机制。 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准 (RFC 7519)token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。...
基于token和基于session用户认证两种方式区别
abde630154071的博客
02-16 2191
背景知识: Authentication和Authorization的区别: Authentication:用户认证,指的是验证用户的身份,例如你希望以小A的身份登录,那么应用程序需要通过用户名和密码确认你真的是小A。 Authorization:授权,指的是确认你的身份之后提供给你权限,例如用户小A可以修改数据,而用户小B只能阅读数据。 由于http协议是无状态的,每一次请求都无状态。当一个用...
cookiesessiontoken 到底是什么
大横按真简单的博客
08-24 226
cookiesessiontoken 到底是什么 说到cookiesessiontoken 之前我们有必要先来了解了解HTTP的发展史,在以前web基本都是文档的浏览而已,因为是浏览就不需要去记录是谁在什么时间浏览什么文档,所以每一请求都是一次新的HTTP协议(请求加协议),但是随着web应用的发展,比如像购物网站等类似需要登录的网站就得面临管理会话,服务器必须记住是谁登录了系统,哪些人往自己的购物车加商品等,就是说服务器需要把每个人区分开。 cookie 怎么才能让服务器区分开每个人呢?我们需要让
CookieSessionTokenJWT、单点登录 详解
最新发布
m0_74823842的博客
12-12 1069
狭义上,我们通常认为 session 是「种在 cookie 上、数据存在服务端」的认证方案,token 是「客户端存哪都行、数据存在 token 里」的认证方案。对 sessiontoken 的对比本质上是「客户端存 cookie / 存别地儿」、「服务端存数据 / 不存数据」的对比。
图解CookieSessionTokenJWT及其发展史
qq_38606782的博客
09-25 820
大家好,我是二毛。从用户登录开始说起,认证方式的变更1 用户每次请求都带上账号密码优点:通信简单,操作方便缺点:账号密码需要一直存储在客户端,不安全。2 使用Cookie优点:对比1,客户端不需要记住密码,更安全;cookie是由浏览器自动发送,更方便缺点:当前cookie标识简单,只有id和name,攻击者容易伪造cookie3 使用升级版Cookie其中 signature 为签名,使用服务...
Web用户认证和授权机制的演进
leonhongliang806的博客
10-31 947
前言 Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个简单介绍。 单一服务器架构 Web应用中设置拦截器对所有请求进行拦截,如果校验不通过则跳转登陆重新认证 客户端发起认证请求,传入用户名密码 通过验证后,应用在服务器上将用户信息存入session中,并将session id返回给...
CookieSessionToken来进行身份认证
探索技术与实践的旅程,分享编程经验与工具使用心得,助力开发者提升技能。
03-09 1947
1. CookieSessionToken 简单介绍 2. Cookie 3. Session 4. 为什么使用JWT? 5. JWT(JSON Web Token)的实现过程 6. 官方实现JWT的多种方式 7. JWT的实现第一种:java-jwt包的使用 8. JWT的实现第二种:jjwt包的使用 9. 封装JWT的包装类,方便以后使用 10. 后台发送到前端,前端如何进行存储? 11. 前端如何将受到的token返还服务器? 12. 设置服务器允许跨域 13. JWT三部分组成详解
关于系统之间的单点登陆对接
qq_40085888的博客
04-08 4447
这里说的单点登陆,不是正规的那种有个中间服务做的,(如CAS).差不多是一种假的单点登陆. 但是在工作需求有时候会遇到,尤其是做定制化产品.一个客户买了我们公司一个产品,同时买了另外一个公司的产品.现在想让这两个产品进行单点登陆,一般是这A系统需要打开到B系统做一些操作,或者调用B系统的一些接口等操作.基于开发成本,一般不会集成一个单点登陆中心.而是用两边的sessionId共享来解决. ...
使用jwt技术实现系统间的单点登录
热门推荐
05-26 2万+
单点登录(single sign on),简称sso。它的定义是多个应用系统间,只需要登录一次就可以访问所有相互信任的应用系统。下面介绍用jwt技术如何来实现单点登录。 一、JWT定义及其组成 JWT(JSON WEB TOKEN)是一个非常轻巧的规范,这个规范允许我们使用jwt在客户端和服务器之间传递安全可靠的信息。 JWT由3个部分组成,分别是头部、载荷、签名。 头部
基于JWT实现单点登录
qq_42848737的博客
02-27 2045
单点登录(Single Sign On),简称SSO,即在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统,如登录支付宝后在淘宝或天猫网站购物时,其用户状态自动登录。 本文基于JWT实现一种简单的单点登录方式,可用于小型的Web应用集群。JWT的组成和验证机制可自行查阅了解,本文实现单点登录的方式为,将后端应用集群比作一个工厂,设置统一登录入口代表围墙正大门,不同生产车间代表各个应用,工厂里面所有的门都使用相同的锁,前端应用集群则比作各部门工人,共享一把钥匙。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值