当前位置: 首页 - 编程技术 - 文章正文

前端身份认证技术

xiaoqihv
前言

由于http的访问是无状态的,上一次的请求与本次请求是毫无关系的,而在实际情况中,用户在登陆完成后,再通过接口去请求数据时,服务器需要识别出是谁在请求该接口,并返回相应的数据。在这种需求的情况下,就产生了以下的技术。

1.Cookie 1.1 诞生:cookie的诞生是为了弥补http协议无状态的不足 1.2 作用:cookie实际上是一段小的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response相客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器会把请求的网址连通该Cookie一同提交给服务器。服务器检查该Cookie值,以此来辨认用户状态,服务器还可以根据需要修改 1.3 Cookie中的属性值 String name:该Cookie的名称。Cookie一旦创建,名称便不可更改。Object value:该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。int maxAge:该Cookie失效的时间,单位秒。如果为正数,则该Cookie在>maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1。boolean secure:该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络>上传输数据之前先将数据加密。默认为false。String path:该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。String domain:可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”。String comment:该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明。 int version:该Cookie使>用的版本号。0表示遵循Netscape的Cookie规范,1表示遵循W3C的RFC 2109规范。 1.4 图解流程

2.Session 2.1 定义:session是一种记录服务器和客户端的会话机制 2.2 session与cookie的关系 session时基于Cookie实现的,session存储再服务器端,sessionID会被存放在客户端的cookie中。 2.3 认证流程 1.用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的Session(在服务器端开辟一块内存,用来存储当前用户的session信息)2.请求返回时将此Session的唯一标识信息SessionId返回客户端(浏览器)3.浏览器收到服务器返回的sessionId后,将此信息存入cookie中,同时记录sessionID属于那个域名4.当用户再次访问服务器时,请求会自动判断域名下是否存在cookie信息,如果存在自动将cookie信息发送到服务端,服务器会从cookie中查找sessionID,如果没找到说明用户没有登录或,登陆失效 2.4 特点 1.session存储在服务端2.支持任意类型的字符串3.有效期较短(客户端关闭,session超时)4.存储数据量大(会占用服务器资源) 2.5 图解流程

3.Token 3.1 意义: token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码进行对比,判断用户名和密码是否正确与否,并作出相应提示,在这样的背景下产生。 3.2 特点: 1.服务端无状态化2.可扩展性好3.支持移动端设备4.安全5.支持跨程序调用 3.3 生成流程 1.客户端使用用户名和密码请求登录2.服务端收到请求去验证用户名和密码3.验证成功后,服务端签发一个token并把这个token发送给客户端4.客户端收到token后,存储起来,(cookie或loaclStorage)5.客户端每次想服务端请求资源的时候带着服务端签发的token6.服务端收到请求,然后去验证客户端请求里面带者token,如果验证成功,就向客户端返回请求的数据 3.4 更新机制 refresh token专门用于刷新access token,如果没有refresh token,每次刷新需要用户输入用户名和密码,有refresh token,可以直接使用refresh token 去刷新access token,无需进行额外的操作。refresh token及过期时间是存储在服务器的数据库中,只有在申请新的access token时才会进行验证 3.5 图解流程

文章地址:https://wenmayi.cn/post/785.html

友情链接: 73so博客 73so博客

Copyright © 2022 wenmayi.cn.All Rights Reserved鲁ICP备14007021号-4