前面的文章 https://www.cnblogs.com/lihaoyang/p/11967121.html  说了用过滤器实现HttpBasic 认证 ,在请求头里携带用户名和密码,存在的问题是,你不可能让用户每个请求都输入用户名密码吧,即使前端把用户名密码存起来,这也是不安全的。

一、基于Token的身份认证的原理图

基于Cookie-Session的实现

这种方式有很多种实现方式,在javaweb开发中,最常见的实现方式是,基于 Cookie-Session 的实现,基于session的登录本质上也是基于token的登录:

基于Cookie-Session的登录实现中,如果登录成功,往Session中放入用户信息:


浏览器会将其存到cookie中:


这样基于cookie-session的登录方式:


优点:就是弥补了HttpBasic的缺点,使用起来很方便


缺点:只适用于浏览器,浏览器接收到Response Header里的jessionId后去设置 Cookie,无法对App、第三方的服务器,因为他们不认Cookie


集群环境下,需要进行Session共享处理


自定义Token实现




 Session固定攻击防护:






++++++++++++++++++++++++++ 第三章总结+++++++++++++++++++++++++++++




												


											
Spring Cloud微服务安全实战_3-8_API安全之登录的更多相关文章
	

    
						
  1. Spring cloud微服务安全实战-3-11API安全机制之登录
		
    流控.认证.审计.授权以上都做了初步的简单的实现. 之前写的代码,base64加密了用户名和密码. 缺点1:每次请求都要带用户名密码 增加了泄露的风险. 每次传上来用户名和密码都要check验证.ch ...
    
		
    2. 
						
  2. Spring cloud微服务安全实战_汇总
		
    Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课 ...
    
		
    3. 
						
  3. 《Spring Cloud微服务 入门 实战与进阶》
		
    很少在周末发文,还是由于昨晚刚收到实体书,还是耐不住性子马上发文了. 一年前,耗时半年多的时间,写出了我的第一本书<Spring Cloud微服务-全栈技术与案例解析>. 时至今日,一年的 ...
    
		
    4. 
						
  4. Spring Cloud微服务安全实战_00_前言
		
    一.前言: 一直以来对服务安全都很感兴趣,所以就学习.这是学习immoc的 jojo老师的 <Spring Cloud微服务安全实战课程>的笔记,讲的很好. 课程简介:  二.最终形成的架 ...
    
		
    5. 
						
  5. Spring Cloud微服务安全实战_4-5_搭建OAuth2资源服务器
		
    上一篇搭建了一个OAuth2认证服务器,可以生成token,这篇来改造下之前的订单微服务,使其能够认这个token令牌. 本篇针对订单服务要做三件事: 1,要让他知道自己是资源服务器,他知道这件事后, ...
    
		
    6. 
						
  6. Spring Cloud微服务安全实战_4-3_订单微服务&价格微服务
		
    实现一个场景: 订单微服务: POM: <?xml version="1.0" encoding="UTF-8"?> <project xml ...
    
		
    7. 
						
  7. Spring cloud微服务安全实战 最新完整教程
		
    课程资料获取链接:点击这里 采用流行的微服务架构开发,应用程序访问安全将会面临更多更复杂的挑战,尤其是开发者最关心的三大问题:认证授权.可用性.可视化.本课程从简单的API安全入手,过渡到复杂的微服务 ...
    
		
    8. 
						
  8. Spring cloud微服务安全实战-6-8sentinel限流实战
		
    阿里2018年开源的. 简单来说就是干三件事,最终的结果就是保证你的服务可用,不会崩掉.保证服务高可用. 流控 先从最简单的场景来入手. 1.引用一个依赖, 2,声明一个资源. 3.声明一个规则 注意 ...
    
		
    9. 
						
  9. Spring cloud微服务安全实战-6-4权限控制改造
		
    授权,权限的控制 令牌里的scope包含fly就有权限访问.根据Oauth的scope来做权限控制, 要让@PreAuthorize生效,就要在启动类里面写一个注解. 里面有一个属性叫做,就是在方法的 ...
    
		
    10. 
						
  10. Spring cloud微服务安全实战-6-2JWT认证之认证服务改造
		
    首先来解决认证的问题. 1.效率低,每次认证都要去认证服务器调一次服务. 2.传递用户身份,在请求头里面, 3.服务之间传递请求头比较麻烦. jwt令牌. spring提供了工具,帮你在微服务之间传递 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. 最小费用最大流 学习笔记&&Luogu P3381 【模板】最小费用最大流
			
    题目描述 给出一个网络图,以及其源点和汇点,每条边已知其最大流量和单位流量费用,求出其网络最大流和在最大流情况下的最小费用. 题目链接 思路 最大流是没有问题的,关键是同时保证最小费用,因此,就可以把 ...
    
			
    2. 
						
  2. CSP-J&S2019前颓废记
			
    说了是颓废记,就是颓废记,因为真的很颓废...... 2018年12月 我看懂了<啊哈算法>(仅仅是看懂,并没有完全学会,只看得懂,却不会敲) 插曲:八上期末考试 我们老师阻挠我继续学OI ...
    
			
    3. 
						
  3. Zuul中聚合Swagger的坑
			
    每个服务都有自己的接口,通过Swagger来管理接口文档.在服务较多的时候我们希望有一个统一的入口来进行文档的查看,这个时候可以在zuul中进行文档的聚合显示. 下面来看下具体的整合步骤以及采坑记录. ...
    
			
    4. 
						
  4. 剑指offer:剪绳子(找规律,贪心算法,动态规划)
			
    1. 题目描述 /* 题目描述 给你一根长度为n的绳子,请把绳子剪成m段(m.n都是整数,n>1并且m>1),每段绳子的长度记为k[0],k[1],...,k[m].请问k[0]xk[1] ...
    
			
    5. 
						
  5. (三十二)golang--面向对象之封装
			
    封装:把抽象出来的字段和对字段的操作封装在一起,数据被保护在内部,程序的其它包只有通过被授权的操作(方法),才能对字段进行操作. 封装的好处: (1)隐藏实际的细节: (2)可以对数据进行验证,保证安 ...
    
			
    6. 
						
  6. 《一起学mysql》5
			
    基准函数   用于评估不同机器之间的性能差别   MariaDB [jason]> select benchmark(10000000,md5('test')); +-------------- ...
    
			
    7. 
						
  7. 【shell脚本】将三个数字进行升序排序===numSort.sh
			
    从命令输入三个数字进行升序排序(冒泡排序) 原理:比较两个相邻的元素,将值大的元素交换至右端. 脚本内容: [root@VM_0_10_centos shellScript]# cat numSort ...
    
			
    8. 
						
  8. Vue.js 源码分析(四) 基础篇  响应式原理 data属性
			
    官网对data属性的介绍如下: 意思就是:data保存着Vue实例里用到的数据,Vue会修改data里的每个属性的访问控制器属性,当访问每个属性时会访问对应的get方法,修改属性时会执行对应的set方 ...
    
			
    9. 
						
  9. 【UOJ#62】【UR #5】怎样跑得更快(莫比乌斯反演)
			
    [UOJ#62][UR #5]怎样跑得更快(莫比乌斯反演) 题面 UOJ 题解 众所周知,\(lcm(i,j)=\frac{ij}{gcd(i,j)}\),于是原式就变成了: \[\sum_{j=1} ...
    
			
    10. 
						
  10. kali渗透综合靶机(十二)--SickOs1.2靶机
			
    kali渗透综合靶机(十二)--SickOs1.2靶机 靶机下载地址:https://www.vulnhub.com/entry/sickos-12,144/ 一.主机发现 1.netdiscover ...
    
			
    11.