服务器认证、授权、鉴权、session、token

1、session(赛神)会话机制

  • session 会话机制会借助 cookie + session 一起来做认证
  • cookie 是放在浏览器中的,cookie 是存储在客服端,但是可以由服务端和客户端生成。
  • sesion 是保存在服务端的数据库中的,session 是服务端一块存储空间,只能由服务端生成。
  • session 是把 session id 也就是session 的 key 值,保存到 cookie 当中
  • 这个 key 值 一般在访问其他页面的时候会放到 cookie 当中,向后端发起请求
  • 当用户输入账号和密码登录后,服务端会返回用户的session id 把他放在cookie中这就是session机制认证

2、token(套肯)安全令牌机制

  • token 不依赖服务器资源
  • token 服务端生成的
  • 往往会将 token 放在浏览器中,请求头中
  • 当用户输入账号和密码后,后端将他的安全令牌作为相应数据返回给我,那就是 token 令牌机制
  • 当用户输入账号和密码后,会返回一个 token ,绝大多数情况下会 通过前端的工程师放到请求头当中,然后再去发起请求
  • 用的最多的是 jwt token 机制
  • 浏览器接收到响应报文之后,会将 token 放在 local storage (本地存储空间)/ session storage

3、鉴权

  是指验证用户是否拥有访问系统的权利---鉴定权限

4、为什么会有cookie、session、和token?

  • http是无状态协议
  • cookie 缓存
    • 大部分存在浏览器中,是客户端的缓存  
    • 主要是 name 和 value 的存储  
  • session 会话
    • 存储在服务器当中  
    • 是浏览器 和 服务器 之间的验证  

5、cookie 和 session 区别

  • cookie:客户端和服务端都能 cookie,存放在客户端。存放一些不敏感的数据,数据类型只能是字符串
  • session:服务端生成 的 session , 存放在服务端,可以存放任意数据,Java 中 session 中可以存放任意对象,session 必须依赖 cookie 实现

6、session 和 token 的区别

  • session

    • session 是服务器生成、存储、验证,以cookie 的方式传给客户端,客户端以同样方式(cookie)发送给服务端
    • session 有状态
  • token
    • 是加密字符串
    • 服务器生成、验证,以cookie 或者 请求头的方式传给客户端,客户端以同样方式(cookie)发送给服务端
    • token无状态

*******请大家尊重原创,如要转载,请注明出处:转载自:https://www.cnblogs.com/shouhu/   谢谢!!*******

原文地址:https://www.cnblogs.com/shouhu/p/12133135.html

时间: 2024-08-27 03:56:40

服务器认证、授权、鉴权、session、token的相关文章

微服务架构中的安全认证与鉴权

转载:http://www.bootdo.com/blog/open/post/125 从单体应用架构到分布式应用架构再到微服务架构,应用的安全访问在不断的经受考验.为了适应架构的变化.需求的变化,身份认证与鉴权方案也在不断的变革.面对数十个甚至上百个微服务之间的调用,如何保证高效安全的身份认证?面对外部的服务访问,该如何提供细粒度的鉴权方案?本文将会为大家阐述微服务架构下的安全认证与鉴权方案. 单体应用 VS 微服务 随着微服务架构的兴起,传统的单体应用场景下的身份认证和鉴权面临的挑战越来越大

[原创]SpringSecurity控制授权(鉴权)功能介绍

1.spring security 过滤器链 ? spring security中的除了用户登录校验相关的过滤器,最后还包含了鉴权功能的过滤器,还有匿名资源访问的过滤器链,相关的图解如下: 2.控制授权的相关类 ? 这里是整个spring security的过滤器链中的授权流程中控制权限的类的相关图示: ? 这里主要是从AccessDecisionVoter的投票者(译称)把信息传递给投票管理者AccessDecisionManager,最终来判断是过还是不过(也就是有没有权限).有两种可能的类

RTSP安防网络摄像头/海康大华硬盘录像机网页无插件直播流媒体服务器EasyNVR之鉴权接口的调用配置说明

进入移动互联网时代以来,企业微信公众号已成为除官网以外非常重要的宣传渠道,当3.2亿直播用户与9亿微信用户的势能累加,在微信上开启直播已成为越来越多企业的必然选择. EasyNVR核心在于摄像机的音视频流的获取.转换.转码与高性能分发,同时同步完成对实时直播流的录像存储,在客户端(PC浏览器.Android.iOS.微信)进行录像文件的检索.回放和下载. EasyNVR鉴权配置说明 发现问题 在实际对接项目中,很多用户需要根据自身业务层的用户权限,来决定调用视频流具体资源,EasyNVR在设计时

请求头鉴权、请求参数加密、返回值解密

(1)进行接口测试的时候,写好接口测试用例,然后模拟请求的时候,会出现请求头鉴权.给你了key值那么可以 import hashlibimport timeimport base64 def get_sha1(str_data): sha1_str = hashlib.sha1(str(str_data)).hexdigest() print sha1_str return sha1_str def get_md5(imsi): imsi_md5 = hashlib.md5() imsi_md5

基于token的鉴权机制 — JWT介绍

前言:在实际开发项目中,由于Http是一种无状态的协议,我们想要记录用户的登录状态,或者为用户创建身份认证的凭证,可以使用Session认证机制或者JWT认证机制. 什么是JWT? Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景.JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可

鉴权,开放式授权,单点登陆

鉴权 鉴权(authentication)是指验证用户是否拥有访问系统的权利.传统的鉴权是通过密码来验证的.这种方式的前提是,每个获得密码的用户都已经被授权.在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请.这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份. 为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式.目前的主流鉴权方式是利用认证授权来验证数字签名的正

网站常见的鉴权认证方式有哪几种?

一.什么是鉴权 鉴权(authentication)是指验证用户是否拥有访问系统的权利.传统的鉴权是通过密码来验证的.这种方式的前提是,每个获得密码的用户都已经被授权.在建立用户时,就为此用户分配一个密码,用户的密码可以由管理员指定,也可以由用户自行申请.这种方式的弱点十分明显:一旦密码被偷或用户遗失密码,情况就会十分麻烦,需要管理员对用户密码进行重新修改,而修改密码之前还要人工验证用户的合法身份. 为了克服这种鉴权方式的缺点,需要一个更加可靠的鉴权方式.目前的主流鉴权方式是利用认证授权来验证数

WebSocket 的鉴权授权方案

引子 WebSocket 是个好东西,为我们提供了便捷且实时的通讯能力.然而,对于 WebSocket 客户端的鉴权,协议的 RFC 是这么说的: This protocol doesn't prescribe any particular way that servers canauthenticate clients during the WebSocket handshake. The WebSocketserver can use any client authentication me

HTTP基本认证和JWT鉴权

一.HTTP基本认证 Basic Authentication--当浏览器访问使用基本认证的网站的时候, 浏览器会提示你输入用户名和密码. http auth的过程: · 客户端发送http请求 · 服务器发现配置了http auth,于是检查request里面有没有"Authorization"的http header · 如果有,则判断Authorization里面的内容是否在用户列表里面,Authorization header的典型数据为"Authorization: