前面的文章 https://www.cnblogs.com/lihaoyang/p/11967121.html  说了用过滤器实现HttpBasic 认证 ,在请求头里携带用户名和密码,存在的问题是,你不可能让用户每个请求都输入用户名密码吧,即使前端把用户名密码存起来,这也是不安全的。

一、基于Token的身份认证的原理图

基于Cookie-Session的实现

这种方式有很多种实现方式,在javaweb开发中,最常见的实现方式是,基于 Cookie-Session 的实现,基于session的登录本质上也是基于token的登录:

基于Cookie-Session的登录实现中,如果登录成功,往Session中放入用户信息:


浏览器会将其存到cookie中:


这样基于cookie-session的登录方式:


优点:就是弥补了HttpBasic的缺点,使用起来很方便


缺点:只适用于浏览器,浏览器接收到Response Header里的jessionId后去设置 Cookie,无法对App、第三方的服务器,因为他们不认Cookie


集群环境下,需要进行Session共享处理


自定义Token实现




 Session固定攻击防护:






++++++++++++++++++++++++++ 第三章总结+++++++++++++++++++++++++++++




												


											
Spring Cloud微服务安全实战_3-8_API安全之登录的更多相关文章
	

    
						
  1. Spring cloud微服务安全实战-3-11API安全机制之登录
		
    流控.认证.审计.授权以上都做了初步的简单的实现. 之前写的代码,base64加密了用户名和密码. 缺点1:每次请求都要带用户名密码 增加了泄露的风险. 每次传上来用户名和密码都要check验证.ch ...
    
		
    2. 
						
  2. Spring cloud微服务安全实战_汇总
		
    Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课 ...
    
		
    3. 
						
  3. 《Spring Cloud微服务 入门 实战与进阶》
		
    很少在周末发文,还是由于昨晚刚收到实体书,还是耐不住性子马上发文了. 一年前,耗时半年多的时间,写出了我的第一本书<Spring Cloud微服务-全栈技术与案例解析>. 时至今日,一年的 ...
    
		
    4. 
						
  4. Spring Cloud微服务安全实战_00_前言
		
    一.前言: 一直以来对服务安全都很感兴趣,所以就学习.这是学习immoc的 jojo老师的 <Spring Cloud微服务安全实战课程>的笔记,讲的很好. 课程简介:  二.最终形成的架 ...
    
		
    5. 
						
  5. Spring Cloud微服务安全实战_4-5_搭建OAuth2资源服务器
		
    上一篇搭建了一个OAuth2认证服务器,可以生成token,这篇来改造下之前的订单微服务,使其能够认这个token令牌. 本篇针对订单服务要做三件事: 1,要让他知道自己是资源服务器,他知道这件事后, ...
    
		
    6. 
						
  6. Spring Cloud微服务安全实战_4-3_订单微服务&价格微服务
		
    实现一个场景: 订单微服务: POM: <?xml version="1.0" encoding="UTF-8"?> <project xml ...
    
		
    7. 
						
  7. Spring cloud微服务安全实战 最新完整教程
		
    课程资料获取链接:点击这里 采用流行的微服务架构开发,应用程序访问安全将会面临更多更复杂的挑战,尤其是开发者最关心的三大问题:认证授权.可用性.可视化.本课程从简单的API安全入手,过渡到复杂的微服务 ...
    
		
    8. 
						
  8. Spring cloud微服务安全实战-6-8sentinel限流实战
		
    阿里2018年开源的. 简单来说就是干三件事,最终的结果就是保证你的服务可用,不会崩掉.保证服务高可用. 流控 先从最简单的场景来入手. 1.引用一个依赖, 2,声明一个资源. 3.声明一个规则 注意 ...
    
		
    9. 
						
  9. Spring cloud微服务安全实战-6-4权限控制改造
		
    授权,权限的控制 令牌里的scope包含fly就有权限访问.根据Oauth的scope来做权限控制, 要让@PreAuthorize生效,就要在启动类里面写一个注解. 里面有一个属性叫做,就是在方法的 ...
    
		
    10. 
						
  10. Spring cloud微服务安全实战-6-2JWT认证之认证服务改造
		
    首先来解决认证的问题. 1.效率低,每次认证都要去认证服务器调一次服务. 2.传递用户身份,在请求头里面, 3.服务之间传递请求头比较麻烦. jwt令牌. spring提供了工具,帮你在微服务之间传递 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. Metersploit系统参数说明
			
    Back参数 Back参数主要⽤用于返回.⽐比如你进⼊入了了某⼀一个漏漏洞洞模块的设置,但是你想再重新选择一个漏漏洞洞模块,那么就需要⽤用到back参数. 这张图说明,才开始我使用了ms08_067_ ...
    
			
    2. 
						
  2. awk、sed、grep更适合的方向
			
    awk.sed.grep更适合的方向: grep 更适合单纯的查找或匹配文本 sed 更适合编辑匹配到的文本 awk 更适合格式化文本,对文本进行较复杂格式处理 关于awk内建变量个人见解,简单易懂  ...
    
			
    3. 
						
  3. SAS——proc format的其他应用:invalue,picture,default,mult,prefix,noedit,_same_,_error_,other
			
    一. proc format; invalue $test (default=200) "1"=_same_ "2"="Black" &qu ...
    
			
    4. 
						
  4. linux 用du查看硬盘信息
			
    linux 用du查看硬盘信息 <pre>[root@iZ238qupob7Z web]# df -hFilesystem Size Used Avail Use% Mounted on/ ...
    
			
    5. 
						
  5. ng 判定输入的手机号是否正确
			
    判定输入的手机号是否正确   infoConfirm(){        if (!/^1[3456789]\d{9}$/.test(this.mobile)) {          this.pho ...
    
			
    6. 
						
  6. git使用cherry-pick和revert抢救错误代码提交
			
    大多数的新手在新接触git时都会出现这样的问题.代码写完了,提交到dev分支进行测试.一高兴忘记切回来,继续在dev分支开发,写完之后提交时猛的发现,我靠,我怎么在dev上面写代码,此时内心必然是一阵 ...
    
			
    7. 
						
  7. HashMap的底层原理(jdk1.7.0_79)
			
    前言 在Java中我们最常用的集合类毫无疑问就是Map,其中HashMap作为Map最重要的实现类在我们代码中出现的评率也是很高的. 我们对HashMap最常用的操作就是put和get了,那么你知道它 ...
    
			
    8. 
						
  8. WPF 通过Win32SDK修改窗口样式
			
    使用函数为 SetWindowLong GetWindowLong 注册函数 [DllImport("user32.dll", EntryPoint = "GetWind ...
    
			
    9. 
						
  9. MySQL for OPS 01:简介 / 安装初始化 / 用户授权管理
			
    写在前面的话 取这个标题的目的很简单,MySQL 在中小型企业中一般都是由运维来维护的,除非数据很重要的公司可能会聘请 DBA. 但是运维一般存在由于所需要了解的东西很多很杂,导致学习过程中很多东西只 ...
    
			
    10. 
						
  10. Winform中设置ZedGraph多条Y轴时坐标轴左右显示设置
			
    场景 Winform中实现ZedGraph的多条Y轴(附源码下载): https://blog.csdn.net/BADAO_LIUMANG_QIZHI/article/details/1001322 ...
    
			
    11.