接口鉴权之cookie、session和token
一、鉴权
含义:鉴权就是指验证用户是否拥有访问系统的权利,即鉴定权限
二、引入cookie、session和token的原因
目前,大部分接口使用的都是HTTP协议,而HTTP协议是无状态的,即本次请求和上一次请求是没有任何关系的,无法共享信息。
比如,像我们现在淘宝下单需要先登录,你登录成功了之后再去下单,服务器怎么知道你是已登录状态呢?
三、cookie和session
1、cookie产生原因:由于HTTP是一种无状态协议,服务器没有办法单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了Cookie(Cookie实际上是一小段的文本信息)
2、cookie工作原理:客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie;客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。
3、session工作原理:客户端发送登录信息给服务器,服务器拿到登录信息后生成sessionID,然后服务器将sessionID发送给客户端,客户端再次访问时携带sessionID给服务器,服务器通过sessionID判断对方是否是真实用户。
4、cookie 和session的区别
1)存放位置:cookie数据存放客户端(浏览器),session存放在服务器
2)安全性:cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,如果主要考虑到安全应当使用session
3)内存上:session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,如果主要考虑到减轻服务器性能方面,应当使用COOKIE
4)大小限制:单个cookie在客户端的限制是3K,所以将登陆信息等重要信息存放为SESSION; 其他信息如果需要保留,可以放在COOKIE中
5)共同点:cookie和session都是用来跟踪浏览器用户身份的会话方式
四、session和token(Json web token (JWT))
简单来说:使用token的原因是session ID占服务器内存
解决方法:引入token,token可以直接把锁和钥匙都返回给浏览器,服务器通过算法去验证锁和钥匙是不是同时有效的(防止有人恶意篡改)
接口鉴权之cookie、session和token相关推荐
- postman cookie设置_接口鉴权之cookie,session和token
什么是接口鉴权? 鉴权就是鉴定权限.在公司开发的一些系统中都会有权限的鉴定.不管是app还是网站的项目,都会有登录模块,而只要有登录模块,他有一些功能,肯定是必须要登录之后才能完成了.比如你在淘宝下单 ...
- 软件测试 接口测试 接口鉴权 token鉴权 Mock Server 接口加解密 接口签名sign
文章目录 1 接口鉴权 1.1 cookie鉴权 1.2 session鉴权 1.3 token鉴权 1.4 Postman的鉴权方式 2 Mock Server 3 接口加解密 3.1 加密方式 3 ...
- vue从url中获取token并加入到 请求头里_BATJ都会用到的接口鉴权cookie、session 和token...
鉴权 鉴权是指验证用户是否拥有访问系统的权利-鉴定权限. cookie.session和token 为什么会有cookie.session和token? 1. http是无状态协议 什么是无状态呢? ...
- 接口鉴权 - 学习/实践
1.应用场景 为了保证接口调用的安全性,设计实现一个接口调用鉴权功能,只有经过认证之后的系统才能调用我们的接口,没有认证过的系统调用我们的接口会被拒绝. 如: 你正在参与开发一个微服务. 微服务通过 ...
- JWT的API鉴权,基于拦截器的token与鉴权
基于JWT的API鉴权 基于拦截器的token与鉴权 如果我们每个方法都去写一段代码,冗余度太高,不利于维护,那如何做使我们的代码看起来更清爽呢?我们可以 将这段代码放入拦截器去实现 Spring中 ...
- postman 之接口鉴权
首先先明确一下接口鉴权的含义:简单来说鉴权就是要确定用户是否有访问系统(这里可以理解成接口)的权限 一般情况下如果发送接口请求的时候返回了 401 错误, 那么一般是接口需要鉴权 鉴权的方式有多种,下 ...
- keycloak的access_token解析 用于后端接口鉴权
keycloak的access_token解析 用于后端接口鉴权 keycloak 获取token https://{}:{}/auth/realms/{realm}/protocol/openid- ...
- 请求令牌 接口_时序图说明JWT用户认证及接口鉴权的细节
JWT用户认证及接口鉴权的细节以及原理 一.回顾JWT的授权及鉴权流程 在笔者的上一篇文章中,已经为大家介绍了JWT以及其结构及使用方法.其授权与鉴权流程浓缩为以下两句话: 授权:使用可信用户信息(用 ...
- 腾讯开放平台接口鉴权(计算签名)工具类 java版
腾讯开放平台 接口鉴权(签名)工具类 java版 用到了Hutool工具类 package top.seasmall.platform.core.config.nettyws.util;import ...
最新文章
- python 正则表达式贪婪模式与非贪婪模式
- Oracle物化视图
- server sql 数据c盘迁移d盘_oracle 11g dbf数据文件从C盘迁移到D盘
- 神器:REST测试工具[wiztools.org restclient]客户端Jar依赖Java安装环境
- mysql 随机数范围取值
- 玩转python轻松过二级 百度网盘,玩转Python轻松过二级
- 大型web系统数据缓存设计-l转载
- GoldenGate系统二:快速搭建三方单向通信GoldenGate环境
- 实现点击页面其他地方,隐藏div(vue)
- MySQL.Linux.安装
- 对无线编码缓存的一些理解
- pandas将series所有值转变为字符串类型
- 数据库之Oracle
- 为什么不能用Scott登录Oracle,ORA-01017: invalid username/password; logon denied
- 2012/7/25Extjs学习随笔
- 数据库的使用(SQL)
- 用友NCCloud2021.11 专项漏洞补丁列表
- 三菱plc可以用c语言编程吗,三菱PLC六种常用编程语言讲解
- matlab没有vs2010,matlab2010a在mbuild时找不到vs2010的解决办法
- linux与 win上装pyhive