前端鉴权:cookie、session、token、jwt、单点登录

已于 2024-05-22 11:15:12 修改
阅读量490 收藏 7
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 前端 文章标签: javascript vue.js
于 2024-05-22 11:13:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C1054158790/article/details/139115023

本文你将看到:

  • 基于 HTTP 的前端鉴权背景
  • cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式
  • session 方案是如何实现的,存在哪些问题
  • token 方案是如何实现的,如何进行编码和防篡改?jwt 是做什么的?refresh token 的实现和意义
  • session 和 token 有什么异同和优缺点
  • 单点登录是什么?实现思路和在浏览器下的处理

从状态说起

HTTP 无状态

我们知道,HTTP 是无状态的。也就是说,HTTP 请求方和响应方间无法维护状态,都是一次性的,它不知道前后的请求都发生了什么。

但有的场景下,我们需要维护状态。最典型的,一个用户登陆微博,发布、关注、评论,都应是在登录后的用户状态下的。

标记

那解决办法是什么呢?::标记::。

在学校或公司,入学入职那一天起,会录入你的身份、账户信息,然后给你发个卡,今后在园区内,你的门禁、打卡、消费都只需要刷这张卡。

前端存储

这就涉及到一发、一存、一带,发好办,登陆接口直接返回给前端,存储就需要前端想办法了。

前提是,你要把卡带在身上。

前端的存储方式有很多。

  • 最矬的,挂到全局变量上,但这是个「体验卡」,一次刷新页面就没了
  • 高端点的,存到 cookie、localStorage 等里,这属于「会员卡」,无论怎么刷新,只要浏览器没清掉或者过期,就一直拿着这个状态。

前端存储这里不展开了。

有地方存了,请求的时候就可以拼到参数里带给接口了。

基石:cookie

可是前端好麻烦啊,又要自己存,又要想办法带出去,有没有不用操心的?

有,cookie。

cookie 也是前端存储的一种,但相比于 localStorage 等其他方式,借助 HTTP 头、浏览器能力,cookie 可以做到前端无感知。

一般过程是这样的:

  • 在提供标记的接口,通过 HTTP 返回头的 Set-Cookie 字段,直接「种」到浏览器上
  • 浏览器发起请求时,会自动把 cookie 通过 HTTP 请求头的 Cookie 字段,带给接口

配置:Domain / Path

你不能拿清华的校园卡进北大。

cookie 是要限制::「空间范围」::的,通过 Domain(域)/ Path(路径)两级。

Domain属性指定浏览器发出 HTTP 请求时,哪些域名要附带这个 Cookie。如果没有指定该属性,浏览器会默认将其设为当前 URL 的一级域名,比如 http://www.example.com 会设为 http://example.com,而且以后如果访问http://example.com的任何子域名,HTTP 请求也会带上这个 Cookie。如果服务器在Set-Cookie字段指定的域名,不属于当前域名,浏览器会拒绝这个 Cookie。
Path属性指定浏览器发出 HTTP 请求时,哪些路径要附带这个 Cookie。只要浏览器发现,Path属性是 HTTP 请求路径的开头一部分,就会在头信息里面带上这个 Cookie。比如,PATH属性是/,那么请求/docs路径也会包含该 Cookie。当然,前提是域名必须一致。
—— Cookie — JavaScript 标准参考教程(alpha)

配置:Expires / Max-Age

你毕业了卡就不好使了。

cookie 还可以限制::「时间范围」::,通过 Expires、Max-Age 中的一种。

Expires属性指定一个具体的到期时间,到了指定时间以后,浏览器就不再保留这个 Cookie。它的值是 UTC 格式。如果不设置该属性,或者设为null,Cookie 只在当前会话(session)有效,浏览器窗口一旦关闭,当前 Session 结束,该 Cookie 就会被删除。另外,浏览器根据本地时间,决定 Cookie 是否过期,由于本地时间是不精确的,所以没有办法保证 Cookie 一定会在服务器指定的时间过期。
Max-Age属性指定从现在开始 Cookie 存在的秒数,比如60 * 60 * 24 * 365(即一年)。过了这个时间以后,浏览器就不再保留这个 Cookie。
如果同时指定了Expires和Max-Age,那么Max-Age的值将优先生效。
如果Set-Cookie字段没有指定Expires或Max-Age属性,那么这个 Cookie 就是 Session Cookie,即它只在本次对话存在,一旦用户关闭浏览器,浏览器就不会再保留这个 Cookie。
—— Cookie — JavaScript 标准参考教程(alpha)

配置:Secure / HttpOnly

有的学校规定,不带卡套不让刷(什么奇葩学校,假设);有的学校不让自己给卡贴贴纸。

cookie 可以限制::「使用方式」::。

Secure属性指定浏览器只有在加密协议 HTTPS 下,才能将这个 Cookie 发送到服务器。另一方面,如果当前协议是 HTTP,浏览器会自动忽略服务器发来的S
最低0.47元/天 解锁文章

200万优质内容无限畅学
cookiesessionToken的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 985
JWTJSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
Cookie Session Token 的区别原理
最新发布
m0_65431718的博客
07-07 1165
令牌。最简单的token组成: uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,以哈希算法压缩成一定长的十六进制字符串)。从本质上讲 JWT 也是一种 token,只不过 JWT 是被大家广泛接受的标准。JWT 即:Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。
常见登录方案
奇舞周刊
11-02 983
‍背景说起大家应该都很熟悉,不过作为前端开发来讲,的流程大头都在后端小哥那边,本文的目的就是为了让大家了解一下常见的的方式原理。认知:HTTP 是一个无状态协议,所以客户端...
前端必须了解的5个兄弟:cookiesessiontokenjwt单点登录
hello world!
07-20 755
原文:https://juejin.cn/post/6898630134530752520#heading-0本文你将看到:基于 HTTP 的前端背景cookie 为什么是最方便的存储...
必须了解的5个知识点:cookiesessiontokenjwt单点登录
qq_34261347的博客
10-08 3892
从状态说起 [HTTP 无状态] 我们知道,HTTP是无状态的,也就是说,HTTP请求方响应方间无法维护状态,都是一次性的,它不知道前后的请求都发生了什么 但有的场景下,我们需要维护状态,最常见的,一个用户登录微博,发布,关注,评论,都是应该在登录后的用户状态下的 [标记] 在学校或公司,入学入职那一天起,会录入你的身份、账户信息,然后给你发个卡,今后在园区内,你的门禁、打卡、消费都只需要刷这张卡 [前端存储] 这就涉及一发,一存,一带,发好办,登录接口直接返回给前端,存储就需要前端想办法了,前提是,你要
前端的兄弟们:cookiesessiontokenjwt单点登录
前端开发博客
07-25 1万+
原文:https://juejin.cn/post/6898630134530752520#heading-0本文你将看到:基于 HTTP 的前端背景cookie 为什么是最方便的存储...
前端必须了解的 5 个兄弟:cookiesessiontokenjwt单点登录
FANSHUHAI的博客
12-24 207
本文你将看到: 基于 HTTP 的前端背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,如何进行编码防篡改?jwt 是做什么的?refresh token 的实现意义 session token 有什么异同优缺点 单点登录是什么?实现思路在浏览器下的处理 从状态说起 「HTTP 无状态」我们知道,HTTP 是无状态的。也..
5 兄弟:cookiesessiontokenjwt单点登录,终于有人说清楚了
python6_quanzhan的博客
01-19 395
作者:Henrylulu 来源:juejin.cn/post/6898630134530752520 本文你将看到: 基于 HTTP 的前端背景 cookie 为什么是最方便的存储方案,有哪些操作 cookie 的方式 session 方案是如何实现的,存在哪些问题 token 方案是如何实现的,如何进行编码防篡改?jwt 是做什么的?refresh token 的实现意义 session token 有什么异同优缺点 单点登录是什么?实现思路在浏览器下的处理 从状态说起 「
大全(cookiesessiontokenjwt单点登录),深入理解搞懂
qzwzsl的博客
07-18 1686
大全(cookiesessiontokenjwt单点登录),深入理解搞懂
前端的10种方式
椰卤工程师的个人博客
10-09 4385
(Authentication) 在信息安全领域是指对于一个声明者所声明的身份利,对其所声明的真实性进行别确认的过程。
SpringCloud之SSO单点登录-基于GatewayOAuth2的跨系统统一认证详解
热门推荐
踏雨歌青春,诗酒趁年华
05-29 2万+
本文详述了如何利用SpringCloud、GatewayOAuth2实现跨系统的统一认证。文章介绍了SSO单点登录的概念优势,通过具体的配置代码示例,讲解了如何搭建一个安全、高效的认证中心,实现用户只需一次登录即可访问多个系统的目标,从而提高系统安全性用户体验。
session,cookie,token的详解介绍以及单点登录的介绍
ywn0601的博客
03-10 356
详解session,cookie,token http是一种无状态的协议,即这一次请求上一次请求是没有任何关系,互不认识,没有管理的,所以需要使用一些手段将其关联起来 session 就是一个会话,服务器用来区分不同客户的"身份标识",客户端请求带上这个标识,服务器就可以通过自己存储的数据知道是哪个客户端,客户端存储这个身份标识的方式一般是用cookie cookie 是浏览器中存储kv数据的一种具体功能,由服务器生成,发给浏览器,每个域的cookie的数量是有限的 token 由于session是存在服
前端cookiesession token 3种机制,以及 jwt 单点登
青蛙king的博客
05-31 2751
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token前端前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
前端认证登录--Session JWT简介
桃子阿桃
10-17 3408
Session 工作原理
前端机制(cookiesessiontoken、WebStorage会话管理方式)
坚强的泡沫的博客
01-30 800
1、cookiesession的区别 cookie数据存放在客户端上,session数据存放在服务器上 cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。用户验证这种场合一般会用 session session保存在服务器,客户端不知道其中的信息;反之,cookie保存在客户端,服务器能够知道其中的信息 session会在一定时间内保存在服务器上,当访问增多,会比较占用服务器的性能,考虑到减轻服务器性能方面,应当使用coo
前后端的10种方案
追求幸福,探索未知的博客
01-28 6138
前后端的10种方案
Web前端最全前端的兄弟们:cookiesessiontokenjwt单点登录,2024年最新2024年最新腾讯前端面经
2401_84617080的博客
05-17 814
对于框架原理只能说个大概,真的深入某一部分具体的代码实现方式就只能写出一个框架,许多细节注意不到。开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】算法方面还是很薄弱,好在面试官都很蔼可亲,擅长发现人的美哈哈哈…(最好多刷一刷,不然影响你的工资成功率???在投递简历之前,最好通过各种渠道找到公司内部的人,先提前了解业务,也可以帮助后期优秀 offer 的决策。
前端知识:Cookie, Session, TokenJWT的概览及差异
"前端知识Cookie, Session, TokenJWT的发展及区别" 在互联网应用中,身份验证会话管理是核心部分,而CookieSessionTokenJWTJSON Web Token)是实现这些功能的关键技术。本文将从背景、定义、特点、优...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值