接上篇 六种网络请求的常规身份验证方式(一)Basic Authentication
继续学习常规身份验证方式,本次记录的是 Session Based Authentication,即基于会话的身份认证方式。
Session Based Authentication
Session 会话认证也是一种常用的身份验证方式,多用于Web网站等,它可以验证和管理用户身份、会话,主要使用服务器端 sessions 和 cookie 来进行身份验证和跟踪用户活动。
工作原理
- 用户登录:当用户使用凭据(通常是用户名和密码)发起登录时,服务器验证成功后为用户创建一个唯一的会话
Session,即生成一个会话标识符,通常是一个唯一的随机字符串,它对应一个用户的会话数据。 - 会话存储:服务器将完整会话数据(包括用户特定信息和权限)存储在数据库或内存缓存等存储机制中,会话标识符被用作每个用户后续请求中的密钥键,通过验证会话标识符即可对应用户数据。
- 发放会话
Cookie:会话创建成功后,服务器会向客户端返回发送一个响应,其中包含会话标识符的cookie,它也可以设置会话的过期时间。 - 通过
Cookie验证身份:后续的每个到服务器的请求,客户端会自动在请求头中携带会话cookie,服务器接收请求后,提取cookie中的会话标识符,检索对应的用户数据,并对用户进行身份验证和授权。 - 会话管理:服务器可以管理用户会话的生命周期,如会话的过期、用户注销,服务器可以销毁会话,删除关联的会话数据,后续该会话标识符将无法验证身份。
优点:
- 简单易实现:
Session会话认证是一种相对简单的身份验证方法,易于应用在Web网站程序。 - 存储用户数据:在会话中存储用户特定的数据和权限信息,方便后续的用户操作和授权管理。
- 状态可维护:如管理会话认证的登录状态和会话过期时间,可以控制用户访问和操作的有效性。
缺点:
- 服务器端存储:
Session会话认证需要服务器端存储会话数据,这可能会对服务器的可扩展性和性能产生影响。因为随着用户数量和会话数据的增加,服务器的负载会持续增加。 - 会话劫持风险:如果会话
cookie没有得到合适的保护,攻击者可以通过窃取会话标识符进行会话劫持,从而非法访问。 - 跨站脚本攻击(XSS)风险:如果系统程序存在XSS漏洞,攻击者可以通过注入恶意脚本获取用户的会话
cookie,然后导致会话劫持或其他恶意操作。
总结
Session 会话认证是一种简单实用的身份验证方法,但需要权衡可扩展性、安全性和移动性方面的限制。在实际应用中,需要根据特定的需求和安全要求评估身份验证方式是否适用。