前面的文章 https://www.cnblogs.com/lihaoyang/p/11967121.html  说了用过滤器实现HttpBasic 认证 ,在请求头里携带用户名和密码,存在的问题是,你不可能让用户每个请求都输入用户名密码吧,即使前端把用户名密码存起来,这也是不安全的。

一、基于Token的身份认证的原理图

基于Cookie-Session的实现

这种方式有很多种实现方式,在javaweb开发中,最常见的实现方式是,基于 Cookie-Session 的实现,基于session的登录本质上也是基于token的登录:

基于Cookie-Session的登录实现中,如果登录成功,往Session中放入用户信息:


浏览器会将其存到cookie中:


这样基于cookie-session的登录方式:


优点:就是弥补了HttpBasic的缺点,使用起来很方便


缺点:只适用于浏览器,浏览器接收到Response Header里的jessionId后去设置 Cookie,无法对App、第三方的服务器,因为他们不认Cookie


集群环境下,需要进行Session共享处理


自定义Token实现




 Session固定攻击防护:






++++++++++++++++++++++++++ 第三章总结+++++++++++++++++++++++++++++




												


											
Spring Cloud微服务安全实战_3-8_API安全之登录的更多相关文章
	

    
						
  1. Spring cloud微服务安全实战-3-11API安全机制之登录
		
    流控.认证.审计.授权以上都做了初步的简单的实现. 之前写的代码,base64加密了用户名和密码. 缺点1:每次请求都要带用户名密码 增加了泄露的风险. 每次传上来用户名和密码都要check验证.ch ...
    
		
    2. 
						
  2. Spring cloud微服务安全实战_汇总
		
    Spring cloud微服务安全实战 https://coding.imooc.com/class/chapter/379.html#Anchor Spring Cloud微服务安全实战-1-1 课 ...
    
		
    3. 
						
  3. 《Spring Cloud微服务 入门 实战与进阶》
		
    很少在周末发文,还是由于昨晚刚收到实体书,还是耐不住性子马上发文了. 一年前,耗时半年多的时间,写出了我的第一本书<Spring Cloud微服务-全栈技术与案例解析>. 时至今日,一年的 ...
    
		
    4. 
						
  4. Spring Cloud微服务安全实战_00_前言
		
    一.前言: 一直以来对服务安全都很感兴趣,所以就学习.这是学习immoc的 jojo老师的 <Spring Cloud微服务安全实战课程>的笔记,讲的很好. 课程简介:  二.最终形成的架 ...
    
		
    5. 
						
  5. Spring Cloud微服务安全实战_4-5_搭建OAuth2资源服务器
		
    上一篇搭建了一个OAuth2认证服务器,可以生成token,这篇来改造下之前的订单微服务,使其能够认这个token令牌. 本篇针对订单服务要做三件事: 1,要让他知道自己是资源服务器,他知道这件事后, ...
    
		
    6. 
						
  6. Spring Cloud微服务安全实战_4-3_订单微服务&价格微服务
		
    实现一个场景: 订单微服务: POM: <?xml version="1.0" encoding="UTF-8"?> <project xml ...
    
		
    7. 
						
  7. Spring cloud微服务安全实战 最新完整教程
		
    课程资料获取链接:点击这里 采用流行的微服务架构开发,应用程序访问安全将会面临更多更复杂的挑战,尤其是开发者最关心的三大问题:认证授权.可用性.可视化.本课程从简单的API安全入手,过渡到复杂的微服务 ...
    
		
    8. 
						
  8. Spring cloud微服务安全实战-6-8sentinel限流实战
		
    阿里2018年开源的. 简单来说就是干三件事,最终的结果就是保证你的服务可用,不会崩掉.保证服务高可用. 流控 先从最简单的场景来入手. 1.引用一个依赖, 2,声明一个资源. 3.声明一个规则 注意 ...
    
		
    9. 
						
  9. Spring cloud微服务安全实战-6-4权限控制改造
		
    授权,权限的控制 令牌里的scope包含fly就有权限访问.根据Oauth的scope来做权限控制, 要让@PreAuthorize生效,就要在启动类里面写一个注解. 里面有一个属性叫做,就是在方法的 ...
    
		
    10. 
						
  10. Spring cloud微服务安全实战-6-2JWT认证之认证服务改造
		
    首先来解决认证的问题. 1.效率低,每次认证都要去认证服务器调一次服务. 2.传递用户身份,在请求头里面, 3.服务之间传递请求头比较麻烦. jwt令牌. spring提供了工具,帮你在微服务之间传递 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. Excel已损坏,无法打开
			
    突然之间,很多EXCEL文件打开时报错:"已损坏,无法打开",这些文件共同点是从邮件中下载而来,这些文件可能面临着安全威协,原来是软件设置了受保护的视图,取消即可.
    
			
    2. 
						
  2. 使用App.Metrics监控消息队列
			
    使用App.Metrics监控消息队列 一.简介 App Metrics是一个开放源代码和跨平台的.NET库,用于记录应用程序中的指标.App Metrics可以在.NET Core或也支持.NET  ...
    
			
    3. 
						
  3. Hbase 多条件查询
			
    /** * 获得相等过滤器.相当于SQL的 [字段] = [值] * @param cf 列族名 * @param col 列名 * @param val 值 * @return 过滤器 */ pub ...
    
			
    4. 
						
  4. sitecore系列教程场所分类简介
			
    在Sitecore体验平台(XP)中,场所是可跟踪的离线交互发生的位置.这些是发生交互的物理位置,例如特定的零售场所或公共汽车站. 您可以使用场所分类记录特定交互发生的位置.此信息保存在体验数据库(x ...
    
			
    5. 
						
  5. 解决Git 克隆代码 The remote end hung up unexpectedly错误
			
    从GitHub上克隆一个项目一直不成功!猜想可能是文件太大超时或者网络太慢超时! 解决方案: 配置 git config -- git config -- 增加最低速时间,but,还是不行! 公司网络 ...
    
			
    6. 
						
  6. asp.net面试题总结1(未完待续。。。。)
			
    1.MVC中的TempData\ViewBag\ViewData区别? 答:页面对象传值,有这三种对象可以传. Temp:临时的 Bag:袋子 (1)  TempData  保存在Session中,C ...
    
			
    7. 
						
  7. 记netmvc中Html.BeginForm的一个大坑
			
    在asp.net mvc中,很常使用using(Html.BeginForm()){}来生成表单提交 不传入参数时,默认提交到原始url 最坑的是,此表单自动提交时,会将所在页面的原始url的参数也一 ...
    
			
    8. 
						
  8. Java中级知识归纳(二)
			
    六.Java中Collection和Collections的区别? java.util.Collection是一个集合接口,它提供了对集合对象进行基本操作的通用接口方法. java.util.Coll ...
    
			
    9. 
						
  9. C变量和常量
			
    变量定义 变量定义就是告诉编译器如何创建变量的储存,以及在何处创建变量的储存,变量定义指定了一个数据类型,并包含一个或者多个变量的列表: type variable_list //如: int i;  ...
    
			
    10. 
						
  10. java开发高校社团管理系统JSP
			
    运行环境JDK1.7编写Eclipse( Neon.3 Release (4.6.3)) windows下Tomcat v8.5Mysql 5.5使用技术Java servlet & jspM ...
    
			
    11.