• 欢迎访问 winrains 的个人网站!
  • 本网站主要从互联网整理和收集了与Java、网络安全、Linux等技术相关的文章,供学习和研究使用。如有侵权,请留言告知,谢谢!

微服务统⼀认证⽅案 Spring Cloud OAuth2 + JWT

微服务统⼀认证⽅案 Spring Cloud OAuth2 + JWT
一、微服务架构下统⼀认证思路 基于Session的认证⽅式:在分布式的环境下,基于session的认证会出现⼀个问题,每个应⽤服务都需要在session中存储⽤ 户身份信息,通过负载均衡将本地的请求分配到另⼀个应⽤服务需要将session信息带过去,否则会重新认证。我们可以使⽤Session共享、Session黏贴等⽅案。Session⽅案也有缺点,……继续阅读 »

winrains 2个月前 (08-15) 77浏览 0个赞

Session、Cookie、Token 详解

Session、Cookie、Token 详解
Cookie 和 Session HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。 Session 是什么 客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,……继续阅读 »

winrains 7个月前 (04-11) 44浏览 1个赞

SpringSession系列:sessionId解析和Cookie读写策略

SpringSession系列:sessionId解析和Cookie读写策略
首先需求在这里说明下,SpringSession的版本迭代的过程中肯定会伴随着一些类的移除和一些类的加入,目前本系列使用的版本是github上对象的master的代码流版本。如果有同学对其他版本中的一些类或者处理有疑惑,欢迎交流。 本篇将来介绍下SpringSession中两种sessionId解析的策略,这个在之前的文章中其实是有提到过的,这里再拿出来和……继续阅读 »

winrains 7个月前 (03-21) 51浏览 2个赞

聊一聊 session和cookie

聊一聊 session和cookie
从http协议的无状态性说起 HTTP是一种无状态协议。关于这个无状态之前我也不太理解,因为HTTP底层是TCP,既然是TCP,就是长连接,这个过程是保持连接状态的,又为什么说http是无状态的呢?先来搞清楚这两个概念: 无连接和无状态 无连接每次连接只处理一个请求,服务端处理完客户端一次请求,等到客户端作出回应之后便断开连接; 无状态是指服务端对于客户端……继续阅读 »

winrains 7个月前 (03-21) 50浏览 2个赞

Spring Security 实现 API Token 权限认证

Spring Security 实现 API Token 权限认证
常见的权限认证是通过提供“用户名密码”完成,业务中有一些 API,我们希望以 API Token 的形式验证。例如 URL 上加上 token /api?token=xxxx 就允许API 的访问。这种设计背后的逻辑是用户名密码拥有较高的权限,而 API token 可以只给出某个子系统的权限,类似于 Github 的 Personal API Token……继续阅读 »

winrains 8个月前 (03-07) 58浏览 1个赞

JSON Web Token绝非银弹

JSON Web Token绝非银弹
越来越多的开发者开始学习JWT技术并在实际项目中运用JWT来保护应用安全。一时间,JWT技术风光无限,很多公司的应用程序也开始使用JWT(Json Web Token)来管理用户会话信息。本文将从JWT的基本原理出发,分析在使用JWT构建基于Token的身份验证系统时需要谨慎对待的细节。 ​ 任何技术框架都有自身的局限性,不可能一劳永逸,JWT也不例外。接下……继续阅读 »

winrains 12个月前 (11-14) 46浏览 2个赞

tomcat架构分析:Session管理

tomcat架构分析:Session管理
Session管理是JavaEE容器比较重要的一部分,在app中也经常会用到。在开发app时,我们只是获取一个session,然后向session中存取数据,然后再销毁session。那么如何产生session,以及session池如何维护及管理,这些并没有在app涉及到。这些工作都是由容器来完成的。 Tomcat中主要由每个context容器内的一个Man……继续阅读 »

winrains 1年前 (2019-09-10) 63浏览 2个赞

Session攻击手段及其安全防御措施

Session攻击手段及其安全防御措施
一、 概述 对于Web应用程序来说,加强安全性的第一条原则就是——不要信任来自客户端的数据,一定要进行数据验证以及过滤才能在程序中使用,进而保存到数据层。然而,由于Http的无状态性,为了维持来自同一个用户的不同请求之间的状态,客户端必须发送一个唯一的身份标识符(Session ID)来表明自己的身份。很显然,这与前面提到的安全原则是相违背的,但是没有办法,……继续阅读 »

winrains 1年前 (2019-09-10) 70浏览 3个赞

Shiro 实现 Tomcat 集群的 Session 共享

Shiro 实现 Tomcat 集群的 Session 共享
一、背景 Session 共享有多种方案,之前写过《Spring Session 实现 Tomcat 集群的 Session 共享》 文章,功能实现起来非常简单和方便。 最近在学习 Shiro 框架,Shiro 也提供了会话管理的功能。如果项目中选用 Shiro 作为权限控制的方案,同时项目又需要集群,那么可以自定义 sessionDAO 来实现 Sess……继续阅读 »

winrains 1年前 (2019-09-02) 88浏览 2个赞

JWT 基础教程

JWT 基础教程
一、前言 针对前后端分离的项目,大多是通过 token 进行身份认证来进行交互,今天将介绍一种简单的创建 token 的方式 — JWT。 二、基本介绍 2.1 定义 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。 2.2 组成部分 一个 JWT 实际上就是一个字……继续阅读 »

winrains 1年前 (2019-09-02) 77浏览 2个赞