广告
广告
推荐:
当前位置:主页 > 河南都市网 > 教育 > 正文

聊一聊保持登录状态的几种方法

点击数:搜狐网 作者:admin 时间2021-01-11 22:13
摘要:
聊一聊保持登录状态的几种方法对于登录功能大家应该都不陌生,无论我们去逛电商平台还是去看一些文章论坛,都会有一些访问权限,这个时候就需要登录,这样才能享受更多冲浪的乐趣,对吧。但是由于http的

原标题:聊一聊保持登录状态的几种方法

对于登录功能大家应该都不陌生,无论我们去逛电商平台还是去看一些文章论坛,都会有一些访问权限,这个时候就需要登录,这样才能享受更多冲浪的乐趣,对吧。但是由于http的无状态性,无状态性就是,客户端每次发出请求时,下一次请求无法得知上一次请求所包换的状态数据,换句话说就算是你登录了,下一次请求也无法得知上一次用户成功登录过,那么这个该如何解决呢?

这个就是我要给大家分享的主题,如何记住用户的登录状态,即登录的鉴权方法。那么接下来我们就谈一下几种常见的登录鉴权方法吧。

第一种:cookie和session

cookie是什么?

Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端会把Cookie保存起来。

当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

信息保存的时间可以根据需要设置.

session是什么?

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

总结

服务端存储 session ,客户端存储 cookie,其中 cookie 保存的为 sessionID

适用场景

适合传统系统独立鉴权

第二种:JWT

JWT是什么?

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。

JWT是一个有着简单的统一表达形式的字符串, 由三部分组成,分别是 header(头部),payload(载荷),signature(签证) 这三部分以小数点连接起来。

头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。JSON内容要经Base64 编码生成字符串成为Header。

载荷(PayLoad)

payload的五个字段都是由JWT的标准所定义的。

iss: 该JWT的签发者

sub: 该JWT所面向的用户

aud: 接收该JWT的一方

exp(expires): 什么时候过期,这里是一个Unix时间戳

iat(issued at): 在什么时候签发的

后面的信息可以按需补充。JSON内容要经Base64 编码生成字符串成为PayLoad。

签名(signature)

这个部分header与payload通过header中声明的加密方式,使用密钥secret进行加密,生成签名。JWS的主要目的是保证了数据在传输过程中不被修改,验证数据的完整性。但由于仅采用Base64对消息内容编码,因此不保证数据的不可泄露性。所以不适合用于传输敏感数据。

总结

l 服务器不再需要存储 session,服务器认证鉴权业务可以方便扩展

l JWT 并不依赖 cookie,也可以使用 header 传递

l 为减少盗用,要使用 HTTPS 协议传输

适用场景:

l 适合做简单的 RESTful API 认证

l 适合一次性验证,例如注册激活链接

第三种:HTTP Auth Authentication

HTTP 提供一个用于权限控制和认证的通用框架。最常用的HTTP认证方案是HTTP Basic Authentication。

在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份认证的方法,当一个客户端向HTTP服务器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码, 用户输入后,客户端将用户名和密码中间用“:”分隔合并,并将合并后的字符串用BASE64编码,在每次请求数据时,将密文附加于请求头(Request Header)Authorization: Basic XXXXXXX中。HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64编码的用户名和密码),解开请求包,对用户名及密码进行验证,如果用户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。

总结

通用 HTTP 身份验证框架有多个验证方案使用。不同的验证方案会在安全强度上有所不同。HTTP Auth Authentication 是最常用的 HTTP认证方案,为了减少泄露风险一般要求 HTTPS 协议。

适用场景

一般多被用在内部安全性要求不高的的系统上,例如加了提取码的网盘资源

问题

l 请求上携带验证信息,容易被嗅探到

l 无法注销

l 适合一次性验证,例如注册激活链接

推荐学习

码同学 Java全栈自动化,开课倒计时!

冲击年薪50W+!

返回搜狐,查看更多

责任编辑:

注:本站上发表的所有内容均为原作者的观点,不代表[本网站]的立场,也不代表[本网站]的价值判断。
广告

聊一聊保持登录状态的几种方法

admin
摘要:
聊一聊保持登录状态的几种方法对于登录功能大家应该都不陌生,无论我们去逛电商平台还是去看一些文章论坛,都会有一些访问权限,这个时候就需要登录,这样才能享受更多冲浪的乐趣,对吧。但是由于http的

原标题:聊一聊保持登录状态的几种方法

对于登录功能大家应该都不陌生,无论我们去逛电商平台还是去看一些文章论坛,都会有一些访问权限,这个时候就需要登录,这样才能享受更多冲浪的乐趣,对吧。但是由于http的无状态性,无状态性就是,客户端每次发出请求时,下一次请求无法得知上一次请求所包换的状态数据,换句话说就算是你登录了,下一次请求也无法得知上一次用户成功登录过,那么这个该如何解决呢?

这个就是我要给大家分享的主题,如何记住用户的登录状态,即登录的鉴权方法。那么接下来我们就谈一下几种常见的登录鉴权方法吧。

第一种:cookie和session

cookie是什么?

Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端会把Cookie保存起来。

当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

信息保存的时间可以根据需要设置.

session是什么?

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

总结

服务端存储 session ,客户端存储 cookie,其中 cookie 保存的为 sessionID

适用场景

适合传统系统独立鉴权

第二种:JWT

JWT是什么?

JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在两个组织之间传递安全可靠的信息。

JWT是一个有着简单的统一表达形式的字符串, 由三部分组成,分别是 header(头部),payload(载荷),signature(签证) 这三部分以小数点连接起来。

头部(Header)

头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。JSON内容要经Base64 编码生成字符串成为Header。

载荷(PayLoad)

payload的五个字段都是由JWT的标准所定义的。

iss: 该JWT的签发者

sub: 该JWT所面向的用户

aud: 接收该JWT的一方

exp(expires): 什么时候过期,这里是一个Unix时间戳

iat(issued at): 在什么时候签发的

后面的信息可以按需补充。JSON内容要经Base64 编码生成字符串成为PayLoad。

签名(signature)

这个部分header与payload通过header中声明的加密方式,使用密钥secret进行加密,生成签名。JWS的主要目的是保证了数据在传输过程中不被修改,验证数据的完整性。但由于仅采用Base64对消息内容编码,因此不保证数据的不可泄露性。所以不适合用于传输敏感数据。

总结

l 服务器不再需要存储 session,服务器认证鉴权业务可以方便扩展

l JWT 并不依赖 cookie,也可以使用 header 传递

l 为减少盗用,要使用 HTTPS 协议传输

适用场景:

l 适合做简单的 RESTful API 认证

l 适合一次性验证,例如注册激活链接

第三种:HTTP Auth Authentication

HTTP 提供一个用于权限控制和认证的通用框架。最常用的HTTP认证方案是HTTP Basic Authentication。

在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份认证的方法,当一个客户端向HTTP服务器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码, 用户输入后,客户端将用户名和密码中间用“:”分隔合并,并将合并后的字符串用BASE64编码,在每次请求数据时,将密文附加于请求头(Request Header)Authorization: Basic XXXXXXX中。HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64编码的用户名和密码),解开请求包,对用户名及密码进行验证,如果用户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。

总结

通用 HTTP 身份验证框架有多个验证方案使用。不同的验证方案会在安全强度上有所不同。HTTP Auth Authentication 是最常用的 HTTP认证方案,为了减少泄露风险一般要求 HTTPS 协议。

适用场景

一般多被用在内部安全性要求不高的的系统上,例如加了提取码的网盘资源

问题

l 请求上携带验证信息,容易被嗅探到

l 无法注销

l 适合一次性验证,例如注册激活链接

推荐学习

码同学 Java全栈自动化,开课倒计时!

冲击年薪50W+!

返回搜狐,查看更多

责任编辑: