的身份的过程而授权authorization是验证你有权访问的过程

获取用户提交的用户名和密码根据用户名查询数据库获得完整的用户信息包括真正的密码比较提交的密码和查询到的密码如果二者相等则用户认证成功否则用户认证失败

密码加密

对称加密加密与解密使用的是同样的密钥所以速度快但由于需要将密钥在网络传输所以安全性不高。

非对称加密使用了一对密钥公钥与私钥所以安全性高但加密与解密速度慢。

解决的办法是将对称加密的密钥使用非对称加密的公钥进行加密然后发送出去接收方使用私钥进行解密得到对称加密的密钥然后双方可以使用对称加密来进行沟通。

散列算法

密码加密——加盐算法两种方式_fiance111的博客-CSDN博客

OAuth2

客户端访问服务端的登录接口服务端根据请求的用户名和密码认证用户认证成功后向响应中写入Cookie

//创建cookie

//设置cookie的访问路径(哪些请求路径可以访问cookie)默认所有都可以访问

cookie.setPath(/project1/checkServlet);

//设置生命周期取值有三种://大于0单位是秒//等于0浏览器关闭//小于0-1

默认内存释放

System.out.println(cookie.getName()

cookie.getValue());

新创建cookie,只要路径和cookie的名称一致就可以修改cookie值

优缺点

Session对象同一个浏览器发起的多次请求,同属于一次会话(

Session)

下一次统一浏览器再次访问服务器的时候就会通过cookie携带JSessionId,来获取原来的Session

作用域

一次会话(可能有多次请求浏览器关闭会话结束)有效不同组件之间的session可以共享,java中有一块专门的内存保存session

钝化指关闭服务器后未关闭浏览器存储在session中的数据会通过序列化存储在磁盘上

活化指session中的数据被钝化过的浏览器未关闭服务器重新启动并将存储在磁盘上的数据读取到session中

session生命周期

//有一个boolean参数默认true没有则会创建一个新的会话;false如果没有回话则不会创建

HttpSession

System.out.println(session.getId());

//保存数据

session.setAttribute(name,gao);

//获取数据

(String)session.getAttribute(name);

//移除数据

session.setMaxInactiveInterval(60*60);

//手动销毁

之前的方案都是在服务器端进行改造的cookie方案是客户端的方案就是把session信息保存到cookie中即用户信息保存到cookie中这样就不需要服务器保存session用户信息了。

每次请求时把此cookie传给服务器端这样服务器端就知道是哪个用户了。

此方案比较实现比较简单而且还不占用服务器端的内存资源。

但是此方案的问题很大哦。

session复制

session复制是小型企业应用使用较多的一种服务器集群session管理机制在真正的开发使用的并不是很多通过对web服务器(例如Tomcat)进行搭建集群。

session同步的原理是在同一个局域网里面通过发送广播来异步同步session的一旦服务器多了并发上来了session需要同步的数据量就大了需要将其他服务器上的session全部同步到本服务器上会带来一定的网路开销在用户量特别大的时候会出现内存不足的情况

服务器之间的session信息都是同步的任何一台服务器宕机的时候不会影响另外服务器中session的状态配置相对简单

Tomcat内部已经支持分布式架构开发管理机制可以对tomcat修改配置来支持session复制在集群中的几台服务器之间同步session对象使每台服务器上都保存了所有用户的session信息这样任何一台本机宕机都不会导致session数据的丢失而服务器使用session时也只需要在本机获取即可

session绑定黏贴

我们利用nginx的反向代理和负载均衡之前是客户端会被分配到其中一台服务器进行处理具体分配到哪台服务器进行处理还得看服务器的负载均衡算法(轮询、随机、ip-hash、权重等)但是我们可以基于nginx的ip-hash策略可以对客户端和服务器进行绑定同一个客户端就只能访问该服务器无论客户端发送多少次请求都被同一个服务器处理

容易造成单点故障如果有一台服务器宕机那么该台服务器上的session信息将会丢失前端不能有负载均衡如果有session绑定将会出问题

配置简单

1.session中的信息存储在服务端相比于cookie就在一定程度上加大了数据的安全性。

2.session数据存储在服务端相比于jwt方便进行管理也就是说当用户登录和主动注销只需要添加删除对应的session就可以这样管理起来很方便。

session缺点

1.session存储在服务端这就增大了服务器的开销当用户多的情况下服务器性能会大大降低。

4、用户认证之后服务端做认证记录如果认证的记录被保存在内存中的话这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源这样在分布式的应用上相应的限制了负载均衡器的能力。

这也意味着限制了应用的扩展能力。

token

客户端请求服务端登录服务端验证用户之后返回响应的时候生成一个token

age或sessionStorage客户端下一次访问服务端的时候就通过Header携带token

JWT

1.header(头部)头部信息主要包括参数的类型–JWT,签名的算法–HS256

2.poyload(负荷)负荷基本就是自己想要存放的信息(因为信息会暴露不应该在载荷里面加入任何敏感的数据)

中间用点分隔开并且都会使用

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

Header

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9Payload

Payload

的具体内容这些内容里面有一些是标准字段你也可以添加其它需要的内容。

下面是标准字段

issIssuer发行者

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQSignature

JWT

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc最后这个在服务端生成并且要发送给客户端的

Token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc客户端收到这个

Token

和生成signature的方式一样然后比较signature是否一样

优缺点

不需要在服务端保存会话信息特别适用于分布式微服务。

自包含(Self-contained):负载中包含了所有用户所需要的信息避免了多次查询数据库简洁(Compact):可以通过URL

POST参数或者在HTTP

header发送因为数据量小传输速度也很快因为Token是以JSON加密的形式保存在客户端的所以JWT是跨语言的原则上任何web形式都支持。

安全问题

当网站使用cookie保存用户登陆状态时可能受到恶意站点的诱导在不知道的情况下下向目标网站发起敏感请求

csrf保护就是当向目标网站发起敏感请求时要求携带csrf_token,这是一个客户端浏览器附带的伪随机数通过恶意站点发送的请求不会携带这个数据

springsecurity默认开启csrf保护对于put,post等方法不包含get),要求请求时携带csrf_token,前后分离项目本来就是使用token,不必开启csrf的保护

Spring

(ruanyifeng.com)4种分布式session解决方案_断橋殘雪的博客-CSDN博客session-cookiejwt状态保持的差异以及优缺点_他们叫我浪浪的博客-CSDN博客浅谈常见的七种加密算法及实现

(zhihu.com)密码加密——加盐算法两种方式_fiance111的博客-CSDN博客