一、基于session的身份认证方案

1.方案图示

2.比较通用的鉴权流程实现如下:

在整个流程中有两个拦截器。
第一个拦截器AuthInteceptor是为了每一次的请求的时候都先去session中取user对象,如果session中有,就放user对象到threadlocal中。这是为了业务处理的时候能直接获取用户对象。
第二个拦截器AuthActionInteceptor是先看页面是否需要登录,如果不需要登录,则直接进行业务逻辑处理;如果需要登录,则判断是否已经登录(UserContext.getUser()是否为空),没有登录则重定向到登录页面,登录后是会把用户信息放到session当中的 。 
@Component

public class AuthInterceptor implements HandlerInterceptor{

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)

            throws Exception {

        Map<String, String[]> map = request.getParameterMap();

        map.forEach((k,v) -> {

            if (k.equals("errorMsg") || k.equals("successMsg") || k.equals("target")) {

                request.setAttribute(k, Joiner.on(",").join(v));

            }

        });

        String reqUri =    request.getRequestURI();

        if (reqUri.startsWith("/static") || reqUri.startsWith("/error") ) {

            return true;

        }

        HttpSession session = request.getSession(true);//参数为true,没有session则创建新的

        User user =  (User)session.getAttribute(CommonConstants.USER_ATTRIBUTE);

        if (user != null) {

            UserContext.setUser(user);

        }

        return true;

    }

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,

            ModelAndView modelAndView) throws Exception {

    }

    @Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)

            throws Exception {

        UserContext.remove();

    }

}
@Component

public class AuthActionInterceptor implements HandlerInterceptor {

    @Override

    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)

            throws Exception {

        User user = UserContext.getUser();

        if (user == null) {

            String msg = URLEncoder.encode("请先登录","utf-8");

            String target = URLEncoder.encode(request.getRequestURL().toString(),"utf-8");

            if ("GET".equalsIgnoreCase(request.getMethod())) {

                response.sendRedirect("/accounts/signin?errorMsg=" + msg + "&target="+target);

                return false;//修复bug,未登录要返回false

            }else {

                response.sendRedirect("/accounts/signin?errorMsg="+msg);

                return false;//修复bug,未登录要返回false

            }

        }

        return true;

    }

    @Override

    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,

            ModelAndView modelAndView) throws Exception {

    }

    @Override

    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)

            throws Exception {

    }

}
@Configuration

public class WebMvcConf extends WebMvcConfigurerAdapter {

    @Autowired

    private AuthActionInterceptor authActionInterceptor;

    @Autowired

    private AuthInterceptor authInterceptor;

    @Override

    public void addInterceptors(InterceptorRegistry registry){

         registry.addInterceptor(authInterceptor).addPathPatterns("/**").excludePathPatterns("/static");

            registry

                .addInterceptor(authActionInterceptor).addPathPatterns("/house/toAdd")

                .addPathPatterns("/accounts/profile").addPathPatterns("/accounts/profileSubmit")

                .addPathPatterns("/house/bookmarked").addPathPatterns("/house/del")

                .addPathPatterns("/house/ownlist").addPathPatterns("/house/add")

                .addPathPatterns("/house/toAdd").addPathPatterns("/agency/agentMsg")

                .addPathPatterns("/comment/leaveComment").addPathPatterns("/comment/leaveBlogComment");

            super.addInterceptors(registry);

    }

}
为什么要分成两个拦截器呢?
第一个拦截器是为了拦截除静态资源以外的任何资源,并且从session中取user放到ThreadLocal中,至于为什么要这么做,是可以在后面的业务处理逻辑中都可以方便使用到它,具体请参考ThreadLocal管理session
第二个拦截器才是对于需要进行访问控制的资源进行判断处理。
最后业务逻辑处理完后,都需要将user从threadlocal中移除,以免影响以后的请求,因为我们的请求线程是处在线程池中的,每个线程在下一个请求中都可以复用。
 
3.缺点
  1).sessio需要存在服务器内存中,这样就不能跨实例共享。当下一次请求被分发到另一个实例的时候,就会造成重新登录。
  2).在高并发情况下,session放在内存中受限于内存的大小
  3).session依赖于浏览器的cookie机制,对于移动客户端就很难支持。移动端使用token。

二、基于token的身份认证方案

优点:

  1.token方案保证了服务的无状态,所有的信息都是存在分布式缓存中。基于分布式存储,这样可以水平扩展来支持高并发。
  2.不依赖与cookie机制,可以通过客户端约定的协议来传输token,浏览器可以存在cookie中,手机端可以放在内存或者本地文件中,代价是增加了外部存储依赖以及在代码方面要复杂。
 
注:
Session 是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。所谓 Session 认证只是简单的把 User 信息存储到 Session 里,因为 SID 的不可预测性,暂且认为是安全的。这是一种认证手段。 
 Token,指的是 OAuth Token 或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对 App 。其目的是让 某App 有权利访问 某用户 的信息。
这里的 Token 是唯一的。不可以转移到其它 App 上,也不可以转到其它 用户 上。 
 
下一篇将详细介绍基于JWT的身份认证方案

基于session和token的身份认证方案的更多相关文章

  1. 基于JWT的token身份认证方案

    一.使用JSON Web Token的好处? 1.性能问题. JWT方式将用户状态分散到了客户端中,相比于session,可以明显减轻服务端的内存压力. Session方式存储用户id的最大弊病在于S ...

  2. 基于JWT的token身份认证方案(转)

    https://www.cnblogs.com/xiangkejin/archive/2018/05/08/9011119.html 一.使用JSON Web Token的好处? 1.性能问题. JW ...

  3. ASP.NET Web API 2系列(四):基于JWT的token身份认证方案

    1.引言 通过前边的系列教程,我们可以掌握WebAPI的初步运用,但是此时的API接口任何人都可以访问,这显然不是我们想要的,这时就需要控制对它的访问,也就是WebAPI的权限验证.验证方式非常多,本 ...

  4. 基于Token的身份认证 与 基于服务器的身份认证

    基于Token的身份认证 与 基于服务器的身份认证 基于服务器的身份认证 在讨论基于Token的身份认证是如何工作的以及它的好处之前,我们先来看一下以前我们是怎么做的: HTTP协议是无状态的,也就是 ...

  5. webapp用户身份认证方案 JSON WEB TOKEN 实现

    webapp用户身份认证方案 JSON WEB TOKEN 实现Deme示例,Java版 本项目依赖于下面jar包: nimbus-jose-jwt-4.13.1.jar (一款开源的成熟的JSON ...

  6. ASP.NET Core WebApi基于Redis实现Token接口安全认证

    一.课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NET WebSer ...

  7. 在ASP.NET Core中使用Angular2,以及与Angular2的Token base身份认证

    注:下载本文提到的完整代码示例请访问:How to authorization Angular 2 app with asp.net core web api 在ASP.NET Core中使用Angu ...

  8. NET Core中使用Angular2的Token base身份认证

    下载本文提到的完整代码示例请访问:How to authorization Angular 2 app with asp.net core web api 在ASP.NET Core中使用Angula ...

  9. 银行应用USB Key身份认证方案

    前言:本文为USB Key的厂商SafeNet公司提供的宣传稿件,并不代表本博客作者的观点和看法. 本文的技术解决方案使用的是SafeNet自身的产品,虽然这个产品支持数字签名和PKI体系,可生成并储 ...

随机推荐

  1. 使用Fastjson生成Json字符串少字段属性(数据丢失)

    最后是控制台打印生成的结果如下:FastJson生成字符串是:{"id":"2","name":"节点1"," ...

  2. Mybatis 3.1中 Mapper XML 文件 的学习详解(转载)

    MyBatis 真正的力量是在映射语句中.这里是奇迹发生的地方.对于所有的力量,SQL 映射的 XML 文件是相当的简单.当然如果你将它们和对等功能的 JDBC 代码来比较,你会发现映射文件节省了大约 ...

  3. 160428、JavaScript知识总结—cookie及其应用

    一.cookie基本介绍 cookie是document的对象.cookie可以使得JavaScript代码能够在用户的硬盘上持久地存储数据,并且能够获得以这种方式存储的数据.cookie还可以用于客 ...

  4. Servlet------>jsp自定义标签2(让标签体不显示)

    自定义标签能做什么: 1.移除java代码 2.控制jsp页面某一部分是否执行 3.控制整个jsp是否执行 3.jsp内容重复输出 4.修改jsp内容输出 2.控制jsp页面某一部分是否执行 tag1 ...

  5. Dealing with a Stream-based Transport 处理一个基于流的传输 粘包 即使关闭nagle算法,也不能解决粘包问题

    即使关闭nagle算法,也不能解决粘包问题 https://waylau.com/netty-4-user-guide/Getting%20Started/Dealing%20with%20a%20S ...

  6. MyBatis 工作流程及插件开发

    1. MyBatis 框架分层架构 2. MyBatis 工作流程 获取 SqlSessionFactory 对象: 解析配置文件(全局映射,Sql映射文件)的每一个信息,并保存在Configurat ...

  7. 【c++】生成浮点随机数

    c++11:std::uniform_real_distribution<>直接求(尖括号不填默认生成double) 随机10个在1-2之间的浮点数 #include <random ...

  8. Spring-Spring Bean后置处理器

    Spring Bean后置处理器 BeanPostProcessor接口定义回调方法,你可以实现该方法来提供自己的实例化逻辑,依赖解析逻辑等.你也可以在Spring容器通过插入一个或多个BeanPos ...

  9. Ubuntu 常见错误--Could not get lock

    问题产生的原因:另外一个程序正在运行,导致资源被锁不可用.而导致资源被锁的原因可能是上次运行安装或更新时没有正常完成,进而出现此状况 解决问题的办法:sudo rm /var/cache/apt/ar ...

  10. wordpress 自己制作子主题 child theme

    使用 WordPress 的子主题(Child Themes)功能快速制作自己的主题 在了解子主题功能之前,先来看一下你在使用 WordPress 的时候是否是这样:不会自己制作主题,只好从网上下载一 ...