成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

前端應(yīng)該知道的web登錄

NervosNetwork / 901人閱讀

摘要:客戶端發(fā)起非登錄請(qǐng)求時(shí),服務(wù)端通過(guò)中的找到對(duì)應(yīng)的來(lái)知道此次請(qǐng)求是誰(shuí)發(fā)出的。數(shù)量隨著登錄用戶的增多而增多,存儲(chǔ)會(huì)增加很多。

還記得在上家公司做全干工程師的時(shí)候,基本從頁(yè)面寫到運(yùn)維,當(dāng)時(shí)做登錄這塊的時(shí)候,被session、cookie、token各種概念差點(diǎn)整蒙圈了,上網(wǎng)查詢相關(guān)概念,發(fā)現(xiàn)很多人都是類似的疑惑,比如:




來(lái)了字節(jié)跳動(dòng)之后,前端很少接觸HTTP請(qǐng)求之后的事情,而且登錄相關(guān)的SDK封裝的很好,所以這篇文章就簡(jiǎn)單的學(xué)習(xí)記錄一下。

為什么會(huì)有登錄這回事

首先這是因?yàn)镠TTP是無(wú)狀態(tài)的協(xié)議,所謂無(wú)狀態(tài)就是在兩次請(qǐng)求之間服務(wù)器并不會(huì)保存任何的數(shù)據(jù),相當(dāng)于你和一個(gè)人說(shuō)一句話之后他就把你忘掉了。所以,登錄就是用某種方法讓服務(wù)器在多次請(qǐng)求之間能夠識(shí)別出你,而不是每次發(fā)請(qǐng)求都得帶上用戶名密碼這樣的識(shí)別身份的信息。 從登錄成功到登出的這個(gè)過(guò)程,服務(wù)器一直維護(hù)了一個(gè)可以識(shí)別出用戶信息的數(shù)據(jù)結(jié)構(gòu),廣義上來(lái)說(shuō),這個(gè)過(guò)程就叫做session,也就是保持了一個(gè)會(huì)話。

常見的兩種登錄

忽然想到一點(diǎn),看了網(wǎng)上很多問(wèn)題,我覺(jué)得大家應(yīng)該區(qū)分兩個(gè)概念:廣義的session狹義的session

廣義的session:廣義的session就是從登錄成功到登出的過(guò)程,在這個(gè)過(guò)程中客戶端和服務(wù)器端維持了保持登錄的狀態(tài),至于具體怎么維持住這種登錄的狀態(tài),沒(méi)有要求。

狹義的session:狹義的session就是登錄成功后,服務(wù)器端存儲(chǔ)了一些必須的用戶信息,這部分存在服務(wù)器端的用戶信息就叫做session,也就是接下來(lái)要說(shuō)的第一種登錄的實(shí)現(xiàn)方式。

服務(wù)器session+客戶端sessionId

先用圖來(lái)看:


詳細(xì)說(shuō)的說(shuō)一下,這里面主要是這么幾個(gè)過(guò)程:

    客戶端帶著用戶名和密碼去訪問(wèn) /login 接口,服務(wù)器端收到后校驗(yàn)用戶名和密碼,校驗(yàn)正確就會(huì)在服務(wù)器端存儲(chǔ)一個(gè)sessionId和session的映射關(guān)系


    服務(wù)器端返回response,并且將sessionId以set-cookie的方式種在客戶端,這樣一來(lái),sessionId就存在了客戶端。這里要注意的是,將sessionId存在cookie并不是一種強(qiáng)制的方案,而是大家一般都這么做,而且發(fā)請(qǐng)求的時(shí)候符合domain和path的時(shí)候,會(huì)自動(dòng)帶上cookie,省去了手動(dòng)塞的過(guò)程。

    ?客戶端發(fā)起非登錄請(qǐng)求時(shí),服務(wù)端通過(guò)cookie中的sessionId找到對(duì)應(yīng)的session來(lái)知道此次請(qǐng)求是誰(shuí)發(fā)出的。

token

前面說(shuō)到sessionId的方式本質(zhì)是把用戶狀態(tài)信息維護(hù)在server端,token的方式就是把用戶的狀態(tài)信息加密成一串token傳給前端,然后每次發(fā)請(qǐng)求時(shí)把token帶上,傳回給服務(wù)器端;服務(wù)器端收到請(qǐng)求之后,解析token并且驗(yàn)證相關(guān)信息;


所以跟第一種登錄方式最本質(zhì)的區(qū)別是:通過(guò)解析token的計(jì)算時(shí)間換取了session的存儲(chǔ)空間

業(yè)界通用的加密方式是jwt(json web token),jwt的具體格式如圖:


簡(jiǎn)單的介紹一下jwt,它主要由3部分組成:

header 頭部
{
  "alg": "HS256",
  "typ": "JWT"
}
payload 負(fù)載
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1555341649998
}
signature 簽名

header里面描述加密算法和token的類型,類型一般都是JWT;

payload里面放的是用戶的信息,也就是第一種登錄方式中需要維護(hù)在服務(wù)器端session中的信息;

signature是對(duì)前兩部分的簽名,也可以理解為加密;實(shí)現(xiàn)需要一個(gè)密鑰(secret),這個(gè)secret只有服務(wù)器才知道,然后使用header里面的算法按照如下方法來(lái)加密:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

總之,最后的 jwt = base64url(header) + "." + base64url(payload) + "." + signature


jwt可以放在response中返回,也可以放在cookie中返回,這都是具體的返回方式,并不重要。

客戶端發(fā)起請(qǐng)求時(shí),官方推薦放在HTTP header中:

Authorization: Bearer

這樣子確實(shí)也可以解決cookie跨域的問(wèn)題,不過(guò)具體放在哪兒還是根據(jù)業(yè)務(wù)場(chǎng)景來(lái)定,并沒(méi)有一定之規(guī)。

兩種登錄方案存在的問(wèn)題 session方式

    session方式由于會(huì)在服務(wù)器端維護(hù)session信息,單機(jī)還好說(shuō),如果是多機(jī)的話,服務(wù)器之間需要同步session信息,服務(wù)橫向擴(kuò)展不方便。

    session數(shù)量隨著登錄用戶的增多而增多,存儲(chǔ)會(huì)增加很多。

    session+cookie里面存sessionId的方式可能會(huì)有csrf攻擊的問(wèn)題,常見的方式是使用csrf_token來(lái)解決

jwt方式

    jwt的過(guò)期時(shí)間需要結(jié)合業(yè)務(wù)做設(shè)置,而且jwt一旦派發(fā)出去,后端無(wú)法強(qiáng)行使其作廢

后話

理清概念,一身輕松


文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/7311.html

相關(guān)文章

  • 前端經(jīng)驗(yàn) - 收藏集 - 掘金

    摘要:我拖拖拖拖放基礎(chǔ)篇前端掘金不要搞錯(cuò),本文不是講如何拖地的。結(jié)構(gòu)說(shuō)明前端應(yīng)該從哪些方面來(lái)優(yōu)化網(wǎng)站前端掘金不知道是哪位大牛的文章,轉(zhuǎn)過(guò)來(lái)回答。 我拖拖拖 --H5 拖放 API 基礎(chǔ)篇 - 前端 - 掘金不要搞錯(cuò),本文不是講如何拖地的??催^(guò)《javascript精粹》朋友應(yīng)該知道,他實(shí)現(xiàn)拖放的過(guò)程比較復(fù)雜,現(xiàn)在時(shí)代不同了,我們用H5的新的拖放API就能非常方便的實(shí)現(xiàn)拖放效果了。最近在園子見...

    MudOnTire 評(píng)論0 收藏0

  • 如何在SpringBoot中集成JWT(JSON Web Token)鑒權(quán)

    摘要:在使用非對(duì)稱加密算法進(jìn)行簽名的時(shí)候,還可以用于驗(yàn)證的發(fā)件人是否與中申明的發(fā)件人是同一個(gè)人。如果沒(méi)有用非對(duì)稱加密算法的話,把復(fù)制之后直接可以去官網(wǎng)在線解析。 這篇博客主要是簡(jiǎn)單介紹了一下什么是JWT,以及如何在Spring Boot項(xiàng)目中使用JWT(JSON Web Token)。 1.關(guān)于JWT 1.1 什么是JWT 老生常談的開頭,我們要用這樣一種工具,首先得知道以下幾個(gè)問(wèn)題。 這...

    yeyan1996 評(píng)論0 收藏0

  • 后臺(tái) - 收藏集 - 掘金

    摘要:探究系統(tǒng)登錄驗(yàn)證碼的實(shí)現(xiàn)后端掘金驗(yàn)證碼生成類手把手教程后端博客系統(tǒng)第一章掘金轉(zhuǎn)眼間時(shí)間就從月份到現(xiàn)在的十一月份了。提供了與標(biāo)準(zhǔn)不同的工作方式我的后端書架后端掘金我的后端書架月前本書架主要針對(duì)后端開發(fā)與架構(gòu)。 Spring Boot干貨系列總綱 | 掘金技術(shù)征文 - 掘金原本地址:Spring Boot干貨系列總綱博客地址:http://tengj.top/ 前言 博主16年認(rèn)識(shí)Spin...

    CrazyCodes 評(píng)論0 收藏0

  • nodejs+mongodb構(gòu)建一個(gè)簡(jiǎn)單登錄注冊(cè)功能

    摘要:搭建簡(jiǎn)單登錄注冊(cè)還是我又來(lái)了近來(lái)突然對(duì)數(shù)據(jù)庫(kù)和后臺(tái)有點(diǎn)感興趣就開始了漫長(zhǎng)的學(xué)習(xí)之路想想自己只是一個(gè)前端只會(huì)斯科瑞普所以就開始看看著看著突然發(fā)現(xiàn)和更配哦遂就開了我的之路由于我的表達(dá)能力有限下面的文章可能寫的不是那么詳細(xì)有看不懂的可以去我上看源 nodejs+mongodb搭建簡(jiǎn)單登錄注冊(cè) biu!biu!biu!還是我又來(lái)了!!! 近來(lái)突然對(duì)數(shù)據(jù)庫(kù)和后臺(tái)有點(diǎn)感興趣,就開始了漫長(zhǎng)的學(xué)習(xí)之...

    yibinnn 評(píng)論0 收藏0

發(fā)表評(píng)論

0條評(píng)論

最新活動(dòng)
閱讀需要支付1元查看
<