程序员过关斩将--互联网人必备知识cookie和session认证

640

菜菜,上次你说的cookie和session的文章,我觉得不太具体

640

640?wx_fmt=jpeg

那你想怎么样具体呢?

640

640?wx_fmt=jpeg

我自己从网上查了一下,很多关于cookie和session认证的,能不能给我讲讲

640

640?wx_fmt=jpeg

用户认证呀,可以呀

640

640?wx_fmt=jpeg

这样我下次再去面试,有可能会遇到这样的问题

640

640?wx_fmt=jpeg

原来你是想为面试做准备呀,看来公司收不住你的心了

640

640?wx_fmt=jpeg

640?wx_fmt=png

用户认证

640

在互联网发展初期,Web基本上只是内容的浏览而已,服务器不需要记住每个浏览请求的状态,换句话说,服务器不需要有任何的状态信息,每次客户端的请求都是新的请求,这也是http无状态一个很明显的表现。随着互联网大潮的到来,尤其是像在线购物等这种和用户关系密切的系统的大量兴起,系统需要辨识出用户,以便进行各种业务操作,这种需求给Http无状态这种特性一个强烈的冲击,所以最终的解决方案就是客户端请求的时候携带着一种标识,这种标识每个用户不同,这样服务端就可以根据这个标识区分出不同的客户端用户了,这也就诞生了用户认证这个概念。

640

由于http协议是无状态的,所以基于http协议进行的认证,都需要依赖客户端上传的某种标识

640

所谓身份认证,就是判断一个用户是否为合法用户的处理过程。

640

以上是百科针对于用户认证的泛型定义,和认证相关的授权这里要顺便提一下,认证和授权是两个不同的概念,更是两个不同的阶段,绝大多数带有认证和授权的系统,在用户操作流程上都是先进行认证,之后根据认证的结果再进行授权操作,有的初学者容易混淆二者的概念。举一个很简答的栗子:一个OA系统,在用户登录成功之后,一般左侧都会根据当前用户的不同角色或者权限出现不同操作的菜单树,其中用户登录这个过程就是认证的过程,而左侧的菜单树就是对当前用户的授权的一个具体表现形式(当然有的系统可能不这样做,但不代表没有授权的流程)。

640?wx_fmt=png

640

认证是用来证明一个用户身份的操作流程,授权是用来给当前用户赋予权限的操作流程

session认证

640

通过上一篇文章,相信大家已经明白了session和cookie的关系,如果你还没看过,我推荐还是看一下吧。

640

Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web页时,如果该用户还没有会话,则Web服务器将自动创建一个Session对象。当会话过期或被放弃后,服务器将终止该会话。

640

基于session的认证方式,最主要的一个特点就是:服务端存储着用户信息,客户端是通过携带一个sessionid的cookie来做session的标识。很多初期项目都喜欢采用session的认证方式,这种方式对于快速开发上线项目极为有利。每个客户端只需要保存一个cookie,但是服务端却需要保存成千上万的用户session信息,这无疑对服务端造成了很大的压力,尤其是当做了负载均衡之后,session的命中问题更为可怕。举个栗子:用户A登录系统成功,服务器A下发sessionid,session信息存储在服务器A上,如果当下次请求到服务器B上的时候,由于服务器B上没有session信息,所以就造成了未命中的现象,这也是session认证解决方案实施过程面临的一个问题。有问题就有解决方案,其中一个便是session复制,服务端的每个服务器都存储每个session的一个副本,这样请求无论到达哪个服务器,都可以成功取到session信息,但是这样无疑增大了服务的存储压力,而且session在服务器之间的复制延迟,session信息的更新同步、过期同步等操作都令人头疼。所以这种方案在一定程度上其实并不推荐。

目前业界关于session存储的方案一般都倾向于集中式存储,像利用第三方的redis,Memcached把session信息都存储在同一个地方,所有的服务器都访问这个地方的数据。这样就避免了session复制,同步等问题。但是引入了第三方,就意味着增加了一个第三方挂掉的可能性,所以现在都基本采用第三方集群的方案来尽量减小这种可能性,把高可用性做到极致。另外说一点,由于大多数session机制是基于cookie的,在一定程度上对于浏览器比较友好,但是对于很多移动端应用其实并不是太友好。

640?wx_fmt=png

640?wx_fmt=png

640

由于session的认证信息保存在服务端,数据量到达一定程度对服务器有一定的压力,即使是采用第三方的存储(比如redis)可以缓解这种问题,但是服务器和第三方存储的IO操作所花费的时间有的时候也是很大的。在这种情况下,有的系统放弃了session的认证方式,而直接采用的最直接的cookie认证方式。

和session认证不同,用户的认证信息完全存储在cookie中,换句话说用户的认证信息存储在客户端(这也是为什么不推荐在cookie认证中存放敏感信息)。cookie认证这种方式的优势就在于服务端没有了session存储的压力,每次识别用户都只需要解析cookie的内容即可(解析cookie其实也需要花费时间),相比较第三方存储session的方式,减少了一次网络IO操作,在一定程度上提高了请求的响应速度,而且由于服务端处于无状态的形式,所以可以很方便的横向扩展。

基于cookie的认证方式也有很多缺点:

1. cookie是存储在客户端的,所以在一定程度上增加了可以伪造的几率,安全性上稍微弱一点。

2. 由于cookie在浏览中有跨域的阻拦,所以在有跨域需求的时候,需要服务器做相应的配置。

3. cookie是有长度限制的,所以不宜存储过长的信息。

4. 用户的客户端可能会禁用cookie,这个时候可以依靠url传值来解决这个问题。

5. 服务端想要操作cookie认证信息的失效,比较困难,不像session认证那样方便。

其实我司现在老的系统都是利用的cookie验证方式,只不过cookie信息的加密算法很好,而且再加上全站https的策略,在一定程度上安全性还是可以的(如果让我重构一次认证系统,我不会选择cookie认证)。

写在最后

640

无论是基于session的还是基于cookie的认证方式,都需要客户端上传标识,都需要服务端下发这个标识,并且对这个标识进行加密。虽然加密,但是不法之人一旦拿到这个标识还是可以进行一系列非法操作,所以这个标识里边最好能加上来源IP和过期时间这些属性,再配置上https,可以更加有效的保护整个认证流程和数据。也许还有更好的认证方式,敬请期待!!

640?wx_fmt=gif

●程序员过关斩将--cookie和session的关系其实很简单

●程序员修神之路--用NOSql给高并发系统加速

●程序员修神之路--高并发系统设计负载均衡架构

●程序员修神之路--做好分库分表其实很难之一(继续送书)

●程序员修神之路--做好分库分表其实很难之二(送书继续)

●程序员过关斩将--你为什么还在用存储过程?

●程序员过关斩将--小小的分页引发的加班血案

●程序员修神之路--问世间异步为何物?

●程序员修神之路--提高网站的吞吐量?

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/314007.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2019-03-15-算法-进化(有效的数独)

题目描述 判断一个 9x9 的数独是否有效。只需要根据以下规则,验证已经填入的数字是否有效即可。数字 1-9 在每一行只能出现一次。 数字 1-9 在每一列只能出现一次。 数字 1-9 在每一个以粗实线分隔的 3x3 宫内只能出现一次。上图是一个部分填充的有效的数独。 数独…

net core WebApi——尝试企业微信来开发企业内部应用

前言这几天忙活着别的东西,耽误了很长时间,从文件操作完了之后就在考虑着下一步鼓捣点儿啥,因为最开始的业务开发就是企业微信相关的,这刚好来做个内部应用的小例子玩玩。企业微信前身是企业号,当时微信主推的还是公众…

微软发布了开发社区采用.NET Standard的最新信息

最近,微软发布了开发社区当前采用.NET Standard的最新信息。.NET Standard是API的正式规范,现有.NET实现在不同平台的是通用的(从而允许跨平台开发)。当前规范(版本2.0)在两年前发布,在.NET Cor…

卓语言对泛型类的使用

上次发了中文编程语言卓语言《小卓.NET中文编程特点介绍》。这篇文章来看下卓语言对泛型类的使用。泛型是现代编程语言很重要的功能。C#语言可以完全定义和使用泛型类型。卓语言是面向广大非专业人员的,为了减低编程难度,没有实现定义泛型类型&#xff0…

AT2675 [AGC018F] Two Trees(欧拉回路)

AT2675 [AGC018F] Two Trees 首先我们看到1或-1,那么就是限制差距在1以内,然后我们可以想到构造一些东西来满足这种东西,然后我们经常利用的就是欧拉回路。 首先这是两个树,然后我们可以根据儿子个数来判断当前点的奇偶性&#x…

.netcore 分布式事务CAP2.6之控制台使用

上一编.netcore 分布式事务CAP2.6 快速入门 讲了cap2.6的快速入门,这次我们来讲讲在控制台中如何使用cap2.6。因为cap2.6的内存模式目前已经可以使用了,相关组件已经更新,所以这次我们以简单的内存模式为例。1:创建项目创建一个名…

TestinPro应用与DevOps之路

文 | 中国农业银行软件研发中心 系统支持部 王晓昕 程伟静 胡莉莉Testin Pro(云测平台)是一款移动端自动化测试平台工具,帮助用户实现移动端测试自动化,是一套设备统一调配、软硬件一体化的移动端测试方案。Testin Pro具有在线录制…

通过Service访问应用 (2)

目录 通过NodePort Service在外部访问集群应用 通过LoadBalancer Service在外部访问集群应用 Microsoft SQL Server数据库部署 为了便于理解和学习,请先阅读上一篇《通过Service访问应用 (1)》再继续学习本篇内容。通过NodePort Service在外…

【A】兼容Core3.0后 Natasha 的隔离域与热编译操作。

文章转载授权级别:A 预计阅读时间:15分钟一、 2.0预览版本增加了哪些功能大部分为底层的升级优化,例如:引擎兼容 Core3.0优化编译流程,增加编译前语法检测及日志,统一采用流加载方式在 Vito 的建议…

.NET Core 使用 K8S ConfigMap的正确姿势

背景ASP.NET Core默认的配置文件定义在 appsetings.json和 appsettings.{Environment}.json文件中。这里面有一个问题就是,在使用容器部署时,每次修改配置文件都需要重新构建镜像。当然你也可能会说,我的配置文件很稳定不需要修改&#xff0c…

2019-03-22-算法-进化(环形链表)

题目描述 给定一个链表,判断链表中是否有环。 为了表示给定链表中的环,我们使用整数 pos 来表示链表尾连接到链表中的位置(索引从 0 开始)。 如果 pos 是 -1,则在该链表中没有环。 示例 1: 输入&#xf…

ASP.NET Core on K8S深入学习(9)Secret Configmap

本篇已加入《.NET Core on K8S学习实践系列文章索引》,可以点击查看更多容器化技术相关系列文章。01—Secret关于Secret在应用启动过程中需要一些敏感信息,比如数据库用户名、密码,如果直接明文存储在容器镜像中是不安全的,K8S提供…

.NET Core 学习资料精选:进阶

2019.09月就要正式发布.NET 3.0了,对于前一篇博文《.NET Core 学习资料精选:入门》大家学的可还开心?这是本系列的第二篇文章:进阶篇,喜欢的园友速度学起来啊。对于还在使用传统.NET Framework 框架的园友,…

VS Code 1.38 发布!

今天(北京时间 2019 年 9 月 5 日),微软发布了 Visual Studio Code 1.38 版本。此版本主要更新的内容包括:Preserve case for global search and replace - 进行全局替换字符串时保留大小写。Settings editor string array valida…

.NET Core 收徒,有缘者,可破瓶颈

最近感悟天命,偶有所得,故而打算收徒若干,以继吾之传承。有缘者,可破瓶颈,职场巅峰指日可待。入门基本要求:1、工作经验:1年或以上。2、拜师费用:3999元(RMB)…

【全】Docker(二)-在Docker中部署Nginx实现负载均衡视频教程

一、前言在前面的文章中我们已经介绍了如何在Centos7系统中安装Docker以及利用Docker进行Asp.Net Core应用的部署。在本文中,我们将继续介绍利用Docker部署Nginx服务实现负载均衡。文章最后附有Nginx部署的视频全过程。注:查看公众号历史文章&#xff0c…

开源导入导出通用库Magicodes.ExporterAndImporter发布

导入导出通用库 Magicodes.ExporterAndImporter为心莱团队封装的导入导出通用库,并且仍在跟随项目不断地打磨。GitHub地址:https://github.com/xin-lai/Magicodes.ExporterAndImporter目录特点相关官方Nuget包导出 Demo普通导出特性导出列头处理或者多语…

netcore 中的动态代理与RPC实现(微服务专题)

一、关于RPC的调用1. 调用者(客户端Client)以本地调用的方式发起调用;  2. Client stub(客户端存根)收到调用后,负责将被调用的方法名、参数等打包编码成特定格式的能进行网络传输的消息体; …

[翻译] .NET Core 3.0 Preview 9 发布

原文: Announcing .NET Core 3.0 Preview 9今天,我们宣布推出 .NET Core 3.0 Preview 9。就像 Preview 8 一样,我们专注于打磨 .NET Core 3.0 的最终版本,而不是添加新功能。如果这些最终版本看起来不像早期预览版那么令人兴奋,我…

谈谈“学习”这件事儿

曾经有童鞋在我博客留言:楼主你是如何学习的,肿么那么牛逼(注:真不牛逼,只不过我讲的你刚好不知道,在你心中就形成了好牛逼的样子)曾经也有童鞋加我好友,开头第一句则是:…