前面的文章 https://www.cnblogs.com/lihaoyang/p/11967121.html  说了用过滤器实现HttpBasic 认证 ,在请求头里携带用户名和密码,存在的问题是,你不可能让用户每个请求都输入用户名密码吧,即使前端把用户名密码存起来,这也是不安全的。

一、基于Token的身份认证的原理图

基于Cookie-Session的实现

这种方式有很多种实现方式,在javaweb开发中,最常见的实现方式是,基于 Cookie-Session 的实现,基于session的登录本质上也是基于token的登录:

基于Cookie-Session的登录实现中,如果登录成功,往Session中放入用户信息:


浏览器会将其存到cookie中:


这样基于cookie-session的登录方式:


优点:就是弥补了HttpBasic的缺点,使用起来很方便


缺点:只适用于浏览器,浏览器接收到Response Header里的jessionId后去设置 Cookie,无法对App、第三方的服务器,因为他们不认Cookie


集群环境下,需要进行Session共享处理


自定义Token实现




 Session固定攻击防护:






++++++++++++++++++++++++++ 第三章总结+++++++++++++++++++++++++++++




												


											
Spring Cloud微服务安全实战_3-8_API安全之登录的更多相关文章
	

    
						
  1. Spring cloud微服务安全实战-3-11API安全机制之登录
		
    流控.认证.审计.授权以上都做了初步的简单的实现. 之前写的代码,base64加密了用户名和密码. 缺点1:每次请求都要带用户名密码 增加了泄露的风险. 每次传上来用户名和密码都要check验证.ch ...
    
		
    2. 
						
  2. Spring cloud微服务安全实战_汇总
		
    Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课 ...
    
		
    3. 
						
  3. 《Spring Cloud微服务 入门 实战与进阶》
		
    很少在周末发文,还是由于昨晚刚收到实体书,还是耐不住性子马上发文了. 一年前,耗时半年多的时间,写出了我的第一本书<Spring Cloud微服务-全栈技术与案例解析>. 时至今日,一年的 ...
    
		
    4. 
						
  4. Spring Cloud微服务安全实战_00_前言
		
    一.前言: 一直以来对服务安全都很感兴趣,所以就学习.这是学习immoc的 jojo老师的 <Spring Cloud微服务安全实战课程>的笔记,讲的很好. 课程简介:  二.最终形成的架 ...
    
		
    5. 
						
  5. Spring Cloud微服务安全实战_4-5_搭建OAuth2资源服务器
		
    上一篇搭建了一个OAuth2认证服务器,可以生成token,这篇来改造下之前的订单微服务,使其能够认这个token令牌. 本篇针对订单服务要做三件事: 1,要让他知道自己是资源服务器,他知道这件事后, ...
    
		
    6. 
						
  6. Spring Cloud微服务安全实战_4-3_订单微服务&价格微服务
		
    实现一个场景: 订单微服务: POM: <?xml version="1.0" encoding="UTF-8"?> <project xml ...
    
		
    7. 
						
  7. Spring cloud微服务安全实战 最新完整教程
		
    课程资料获取链接:点击这里 采用流行的微服务架构开发,应用程序访问安全将会面临更多更复杂的挑战,尤其是开发者最关心的三大问题:认证授权.可用性.可视化.本课程从简单的API安全入手,过渡到复杂的微服务 ...
    
		
    8. 
						
  8. Spring cloud微服务安全实战-6-8sentinel限流实战
		
    阿里2018年开源的. 简单来说就是干三件事,最终的结果就是保证你的服务可用,不会崩掉.保证服务高可用. 流控 先从最简单的场景来入手. 1.引用一个依赖, 2,声明一个资源. 3.声明一个规则 注意 ...
    
		
    9. 
						
  9. Spring cloud微服务安全实战-6-4权限控制改造
		
    授权,权限的控制 令牌里的scope包含fly就有权限访问.根据Oauth的scope来做权限控制, 要让@PreAuthorize生效,就要在启动类里面写一个注解. 里面有一个属性叫做,就是在方法的 ...
    
		
    10. 
						
  10. Spring cloud微服务安全实战-6-2JWT认证之认证服务改造
		
    首先来解决认证的问题. 1.效率低,每次认证都要去认证服务器调一次服务. 2.传递用户身份,在请求头里面, 3.服务之间传递请求头比较麻烦. jwt令牌. spring提供了工具,帮你在微服务之间传递 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. Java 并发系列之十三:安全发布
			
    1. 定义 发布对象(Publish): 使一个对象能够被当前范围之外的代码所使用 对象逸出(Escape): 一种错误的发布.当一个对象还没有构造完成时,就使它被其他线程所见 1.1 发布对象 pu ...
    
			
    2. 
						
  2. 微信jssdk的getLocalImgData拿到的base64不完整
			
    最近上传图片接口突然出现偶尔报错,错误内容是 图片的base64 在调用 Convert.FromBase64String 报错了. 我从log里面拿到一些 出错的 base64. 发现都有一个特征  ...
    
			
    3. 
						
  3. (十八)golang--defer关键字
			
    在函数中,程序员经常需要创建资源(比如,数据库连接,文件句柄,锁等),为了在函数执行完毕后,及时释放资源,go设计者提供defer(延时机制) 用defer申明的语句不会立即执行,而是被存入到defe ...
    
			
    4. 
						
  4. mybatis使用collection查询集合属性规则
			
    接上篇mybatis使用associaton进行分步查询 相关的类还是上篇中的类. 查询部门的时候将部门对应的所有员工信息也查询出来 DepartmentMapper.xml <!--嵌套结果集 ...
    
			
    5. 
						
  5. SourceTree 版本跳过bitbucket注册方法
			
    1.安装sourcetree时 需要选择 bitbucket账号,这个令人头疼 当然肯定有办法来跳过这一步 2.关闭当前安装界面 进入   C:\Users\Administrator\AppData ...
    
			
    6. 
						
  6. 使用JWT作为Spring Security OAuth2的token存储
			
    序 Spring Security OAuth2的demo在前几篇文章中已经讲过了,在那些模式中使用的都是RemoteTokenService调用授权服务器来校验token,返回校验通过的用户信息供上 ...
    
			
    7. 
						
  7. 如何取消 SqlDataAdapter.Fill() 的执行(转载)
			
    问 Scenario: We have a DataGridView which is attached to DataAdapter (datatable), we load the data in ...
    
			
    8. 
						
  8. WPF-自定义实现步骤条控件
			
    步骤条实现的效果: 步骤条控件是在listbox的基础上实现的. 一. xaml代码: <Window.Resources> <convert1:StepListBarWidthCo ...
    
			
    9. 
						
  9. VS工具箱不显示DEV控件解决方法
			
    VS工具箱中不显示DEV控件解决方法 之前先装vs,再装dev控件,vs工具栏中自动会加载并显示dev相关组件,但是,在更新vs(我用2017版)后,原先安装好的dev控件库不显示在vs的工具栏中了. ...
    
			
    10. 
						
  10. 配置 ASP.NET Core 请求(Request)处理管道
			
    配置 ASP.NET Core 请求(Request)处理管道 在本节中,我们将讨论使用中间件组件为 asp.net core 应用程序配置请求处理管道. 作为应用程序启动的一部分,我们要在Confi ...
    
			
    11.