51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

今天来聊聊-身份问题!

作者:了不起
安全 应用安全
互联网应用的构建中,确保用户身份的安全性和便捷性是至关重要的。Session、Cookie、JWT、Token、SSO和OAuth 2.0都是用于身份验证和授权的技术.

哈喽,大家好,我是了不起。

日常开发中或者面试的时候经常会遇到身份验证的问题,下面这些都是关于身份验证和授权的常用技术。

Session、Cookie、JWT、Token、SSO和OAuth 2.0 这些都是什么,在我们的应用程序中有什么用,我们一起来看看!

前言

互联网应用的构建中,确保用户身份的安全性和便捷性是至关重要的。Session、Cookie、JWT、Token、SSO和OAuth 2.0都是用于身份验证和授权的技术.

找到一张图,形象的展示他们再互联网中的作用与关联。


图片图片


Session

Session是一种在多个请求之间保持状态的方法。当用户登录成功时,服务器会创建一个Session,生成一个唯一的Session ID,并将其保存在服务器端。同时,服务器会将这个Session ID作为Cookie发送给客户端浏览器存储起来。当用户再次发起请求时,浏览器会自动带上这个Session ID,服务器据此识别用户并恢复其会话状态。

优点:

  • 安全性较高,因为Session ID可设置过期时间,并且存储在服务器端。
  • 可以跨域共享Session信息。

缺点:

  • 需要服务器资源来维护Session数据。
  • 分布式系统下Session共享问题复杂。
应用场景:
  • 适用于需要维护用户状态的场景,如在线购物网站,用户在浏览商品时,服务器可以通过Session来记录用户的购物车信息。
  • 适用于服务端渲染(SSR)的应用,因为Session信息存储在服务器端,适合服务端控制用户会话。
  • 适用于对安全性要求较高且能接受服务器资源消耗的场合,因为Session ID存储在服务器端,相对安全。

Cookie

Cookie是服务器发送到用户浏览器并保存在本地的一小段文本信息。用于识别用户或实现其他功能,通常用来存储Session ID或其他小量的用户信息。每次HTTP请求时,浏览器都会自动将Cookie信息发送给服务器,这样服务器就能识别用户状态。

优点:

  • 简单易用,由浏览器自动管理。
  • 可以实现自动登录等功能。

缺点:

  • 大小受限,一般不超过4KB。
  • 存在安全风险,如CSRF攻击。
  • 用户可能禁用Cookie。
应用场景:
  • 常用于记住用户登录状态,如论坛网站可以记住用户的登录状态,用户下次访问时无需重新登录。
  • 适用于跟踪用户行为,比如广告公司可能会用Cookie来收集用户在不同网站上的行为数据。

JWT (JSON Web Token)

JWT是一种开放标准,用于在网络上安全地传输信息。它由三部分组成:头部(Header)、有效载荷包含用户信息和其他数据。签名用于验证消息的完整性和来源。。

优点:

  • 无状态(Stateless),不需要存储在服务器上。
  • 可以轻松实现跨域认证。
  • 可以生成自包含的访问令牌,减少网络请求。

缺点:

  • 若泄露则安全性降低,因为不依赖于服务器的存储。
  • 较难作废单个Token。
应用场景:
  • 适用于无状态认证场景,尤其是在RESTful API和微服务架构中,JWT可以被用来在客户端和服务器之间安全地传输信息。
  • 适用于跨域认证,因为JWT可以编码所有 claims 信息,方便在分布式系统中传递用户身份信息。

Token

在身份验证和授权领域,Token是一个广泛的概念,可以是JWT,也可以是其他形式的访问令牌。Token通常由服务器生成,并包含了用户的权限或者身份信息。客户端在后续请求中使用该Token来证明自己的身份或获取授权。

优点:

  • 提供了一种简单有效的方式来实现API的安全访问。
  • 可以独立于用户会话进行身份验证。

缺点:

  • 需要妥善保管,避免泄露导致安全风险。

SSO (Single Sign-On)

单点登录,是一种让用户使用一组凭据(如用户名和密码)登录一次,即可访问多个应用程序的技术。这样可以避免用户为每个应用程序重复输入凭据。

优点:

  • 提升用户体验,避免了重复登录的不便。
  • 减少了用户记住多个账号的需求。

缺点:

  • 一旦SSO提供商被破解,所有关联服务都面临安全威胁。
  • 实施和维护成本可能较高。
应用场景:
  • 适用于企业环境中,员工可以使用一组凭据访问多个内部系统,如微软的Active Directory就可以实现SSO功能。
  • 适用于为用户提供便捷的登录体验,例如Google账户可以登录所有支持Google SSO的服务。

OAuth 2.0

是一个开放标准,用于授权第三方应用程序访问用户的资源 。它允许第三方应用程序可以使用这个令牌访问用户存储在某一服务提供商上的信息,而无需分享用户的凭据。OAuth 2.0有四种授权流程:授权码、隐式、密码和客户端凭证。

优点:

  • 提供了明确的授权机制,用户可以精确控制数据访问权限。
  • 支持多种应用场景和流程。

缺点:

  • 协议相对复杂,实施难度较大。
  • 需要良好的安全措施以保护授权过程中的敏感信息。
应用场景:
  • 适用于授权第三方应用访问用户数据的场景,如用户可以通过OAuth 2.0授权社交媒体账号登录其他应用。
  • 适用于构建开放平台时,允许开发者通过OAuth 2.0获取用户数据来开发第三方应用。github,qq授权等。
责任编辑:武晓燕 来源: Java技术指北
互联网身份Session
相关推荐
咱们今天聊聊“跳槽”
2018年,相信大家对“焦虑”的体验已经够深了。“焦虑”是我们对人生不确定性的情感表达,这种不确定性来源于未来规划不明、前路不定的迷茫、担忧和犹豫不决。作为一名ITer,职场的发展总离不开“规划”与“跳槽”,这二者确定任意一方都能够大幅减低我们的焦虑。

2019-01-28 09:32:30

跳槽员工程序员
今天不聊中间层,我们聊聊中间页
平常代码编程中我们会碰到一些交互问题or团队间的合作问题,需要处理链接跳转之间的问题,假如我们作为提供方,需求方来自不同的业务团队,甚至有时来自第三方。当然不仅限于此,还有很多令人脑壳疼的场景,这时候我们可以提供一个中间页作为对接桥梁,在此页面去揽下所有对接的活。

2021-12-02 06:58:01

中间页中间层编程
聊聊向量查询
本文将从基本概念开始,讨论与向量查询相关的技术与使用。向量查询是一种复杂的数据检索技术,它侧重于查询与数据条目相关的上下文含义,而并非简单的文本匹配。

2024-02-04 09:00:00

向量查询数据检索MyScale
今天聊聊你不知道的gRPC
相信大家对RPC协议都有一定的了解,并且或多或少都会在项目中涉及,但可能都和小编类似,都是直接使用平台封装的插件,对于其中的原理不是很了解,今天借此机会和大家分享下最近接触的RPC框架grpc,一同聊聊那些知其然却不知其所以然的内容。

2022-11-04 08:19:18

gRPC框架项目
今天飞哥带你理解 Iptables 原理!
现在iptables这个工具的应用似乎是越来越广了。不仅仅是在传统的防火墙、NAT等功能出现,在今天流行的的Docker、Kubernets、Istio项目中也经常能见着对它的身影。正因为如此,所以深入理解iptables工作原理是非常有价值的事情。

2021-12-07 09:12:32

Iptables 原理工具
今天我们就来聊聊Nginx服务器的架构!
Nginx内部由核心模块和其他功能模块组成。这种简单的结构分层,便于进行功能的扩展,也代码更加清晰易于维护。我们通常将其分为五大模块:核心模块,标准HTTP模块,可选HTTP模块,邮件服务模块和第三方模块。

2018-02-07 10:24:01

Nginx服务器架构
基础课堂:我们聊聊混合WAN服务
整个业务大环境在快速变化中。现在用户会在全球各个位置用各种设备上安装的新型富特性应用程序来连接企业网络。这种变化促使网络架构必须满足各种各样的需求……

2015-01-12 09:33:27

WAN
聊聊托管服务提供商(MSP)安全
本文从MSP安全的重要性出发,和您讨论了MSP面临的主要威胁,进而给出了8种可有效降低风险的MSP网络安全实践。

2023-08-16 08:00:00

MSP安网络安全
程序猿|今天,你想用什么方式纪念1024?
今天,51CTO社群开发者用他们独特的编程方式纪念了这一天——史上程序猿地位最高的节日。程序猿今天的状态、今天的心情、今天的梦想,不多不少,都在程序的世界里绽放了。他们用Java、PHP、Python、C、C++、C、HTML、GO、Shell脚本、SQL、PHP+HTML+JavaScript等十余种语言表达了32种“梦想”。

2017-10-24 18:24:44

1024
聊聊网络安全中的实现强身份验证
通过MFA进行强身份验证是一项关键且有时成本高昂的投资,但应跨所有网络、系统、应用程序和资源实施,以充分保护组织。因此,建议采用组织范围的方法。

2022-06-05 00:15:31

验证身份网络
聊聊 SQL 中的排名问题
今天给大家介绍一下SQLServer排名中经常用到的ROWNUMBER(),RANK(),DENSERANK(),NTILE()这四个好兄弟。

2021-11-09 06:55:03

SQLServer排序
聊聊 Sdk 和问题排查
当我们以sdk的方式提供一种能力的时候,我们的实现不仅决定了业务的使用方式和成本,还决定用户是否乐意使用它。

2021-11-14 05:00:56

排查Sdk方式
聊聊Docker EOF问题排查
问题排查过程,源码部分均由我的开发同事排查和记录;在征得其同意后,由我发表在此。

2021-06-01 07:55:42

DockerEOFk8s
今天,我们实现一个基础版的Webpack
webpack是一个现代JavaScript应用程序的静态模块打包器(modulebundler)。提到模块,模块顾名思义是独立的JS文件。与之相近的词模块化,通俗的讲就是我们平时组织和管理代码方法的一种实现。

2021-07-21 05:22:12

Webpack 前端 JavaScript
忽冷忽热爱感冒,今天聊聊天气预报背后故事
华为协助北京气象局新网络建设,助其保障冬奥会气象服务。

2019-10-25 19:42:41

华为
企业物联网的身份管理问题
物联网包括越来越多的连网设备,从安全摄像头到智能恒温器。许多企业使用企业级物联网设备来帮助员工更高效地完成工作,或帮助满足设施管理需求。但是,企业物联网还有一个不足之处——身份管理。

2019-07-08 09:08:17

物联网系统IAM
中秋吃月饼,今天我们聊聊机器人怎么做月饼
从养殖场到加工厂,从加工厂到家庭餐桌,食品行业是一条劳动密集型产业链,每一环的利润都依靠数量来积累,大量的人工成本,让食品行业迫切需要自动化改造。

2021-09-22 11:12:24

机器人人工智能月饼
聊聊Ubuntu,聊聊开源,聊聊世界
Ubuntu是非常流行的Linux操作系统发行版,在每年的4月和10月官方会分别发布一个新版本,每两年(在当年的4月)会发布一个长期支持版(LTS),而今年就是新的LTS版本发布的年份。因为疫情的影响今年没有关注,今天上了官网官网新出炉的Ubuntu20.04LTS版已经正式发布了。

2020-05-06 22:07:53

UbuntuLinux操作系统
今天聊一聊JVM中的内存溢出和内存泄露
在Java开发中,JVM内存溢出和内存泄露是常见的问题。内存溢出是由于Java程序运行时申请的内存超出了JVM所能提供的内存大小,解决方法是通过增加JVM参数或者优化程序逻辑。

2023-03-03 12:37:50

JavaJVM内存溢出
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服