当前位置：首页 > news >正文

Java面试八股之认证授权

news 2026/2/8 21:35:56

一、概念：

1、什么是认证？什么是授权？

认证

用于在系统登录时，验证身份的凭证，类似于账号、密码等。

授权

用户在访问资源时，根据权限的不同对资源访问程度不同。

2、什么是cookie？什么是session？

cookie

cookies是网站为了区分用户而存储在用户本地终端的一些数据。存放于客户端，保存用户信息。

场景：

1、存储登录用户的用户名和密码，下次登录可以自动填入。

2、保存sessionID和Token，请求后端的时候带上cookies，后端就可以读取到session和token。

session

用于在服务端跟踪用户，记录该用户的状态。

场景：

登录系统之后，如果用户进行一些增改的操作，session可以标识并跟踪当前用户。

3、什么是JWT

全称JSON Web Token，目前最流行的基于Token的跨域认证解决方案。其自身包含了身份验证所需要的所有信息，因此，我们的服务器不需要存储 Session 信息。并且，使用 JWT 认证可以有效避免 CSRF 攻击，因为 JWT 一般是存在在 localStorage 中，使用 JWT 进行身份验证的过程中是不会涉及到 Cookie 的。

二、结构

1、JWT组成部分

本质上是一个字符串，分为3部分，Header（头部）、Payload（载荷）、Signature（签名）。

Header：

定义了生成签名的算法以及 Token的类型。

Payload：

用来存放实际需要传递的数据，包含声明（Claims），如sub（subject，主题）。

Signature：

通过头部指定的签名算法生成的签名。

2、如何基于JWT做身份验证

用户向服务器发送用户名、密码以及验证码用于登陆系统。
如果用户用户名、密码以及验证码校验正确的话，服务端会返回已经签名的 Token，也就是 JWT。
用户以后每次向后端发请求都在 Header 中带上这个 JWT 。
服务端检查 JWT 并从中获取用户相关信息。

三、对比

1、优势

无状态：JWT 自身包含了身份验证所需要的所有信息，因此，我们的服务器不需要存储 Session 信息。
避免CSRF攻击：跨站请求伪造。因为CSRF需要借助cookie，但是JWT在登录成功之后会存储在localstorage，过程中不涉及到cookie，所以可以避免CSRF攻击。
适合移动端应用，因为使用session必须存储一份在服务端，这样的话需要依赖到cookie，因此不适合移动端的使用。
单点登陆友好

2、缺点

不可控：注销登录的场景下，JWT还有效。即使对权限做了修改，在JWT失效之前，都有效。

解决办法：

1、在redis中维护一个JWT名单/一个黑名单，通过比对判定是否失效，违背无状态原则。

2、修改密钥，为每个用户都创建一个专属密钥，如果我们想让某个 JWT 失效，我们直接修改对应用户的密钥即可。

3、设置更短的失效时间，经常更新，导致用户需要经常登录。

Java面试八股之认证授权

一、概念： 1、什么是认证？什么是授权？ 认证用于在系统登录时，验证身份的凭证，类似于账号、密码等。授权用户在访问资源时，根据权限的不同对资源访问程度不同。 2、什么是cookie？什么是…...

编程日记 2024/10/5 17:48:40

RCE_绕过综合

<aside> 💡 管道符 </aside> <aside> 💡 通配符绕过 </aside> **匹配任何字符串／文本，包括空字符串；*代表任意字符（0个或多个）? 匹配任何一个字符（不…...

编程日记 2024/10/5 17:46:37

关于Generator，async 和 await的介绍

在本篇文章中我们主要围绕下面几个问题来介绍async 和await 🍰Generator的作用，async 及 await 的特点，它们的优点和缺点分别是什么？await 原理是什么？ 📅我的感受是我们先来了解Generator，在去…...

编程日记 2024/10/5 17:45:36

Redis数据库与GO（二）：list,set

一、list（列表） list（列表）是简单的字符串列表，按照插入顺序排序。你可以添加一个元素到列表的头部(左边)或者尾部(右边)。List本质是个链表， list是一个双向链表，其元素是有序的，元…...

编程日记 2024/10/5 17:41:32

1.把字符串a复制到b里面 #include<iostream> #include<string.h> using namespace std; int main() {char a[110],b[110];cin>>a;int n strlen(a);for(int i 0;i<n1;i){b[i] a[i];}cout<<b;return 0; }2.比较两个字符串的大小如果a大返回1&…...

编程日记 2024/10/5 17:39:31

无IDEA不Java：快速掌握Java集成开发环境

IntelliJ IDEA是一种强大的Java集成开发环境，是Java开发人员的首选工具之一。本文将介绍IDEA的基本使用方法和常用功能，以帮助初学者快速上手。安装和配置首先，需要下载并安装IntelliJ IDEA。在安装完成后，需要配置JDK&#xff…...

编程日记 2024/10/5 17:38:30

9.30学习记录(补)

手撕线程池: 1.进程:进程就是运行中的程序 2.线程的最大数量取决于CPU的核数 3.创建线程 thread t1; 在使用多线程时，由于线程是由上至下走的，所以主程序要等待线程全部执行完才能结束否则就会发生报错。通过thread.join()来实现但是如果在一个比…...

编程日记 2024/10/5 17:37:28

移动应用中提升用户体验的因素

用户体验（UX）是任何移动应用程序成功的关键因素。随着数以百万计的应用程序争夺注意力，提供无缝、愉快和高效的体验可能是获得忠实用户或在一次互动后失去忠实用户之间的区别。无论是商业应用程序、游戏还是社交平台，增强用户体验…...

编程日记 2024/10/5 17:31:23

VS与VSCode的区别

文章目录 1. 什么是 Visual Studio 和 Visual Studio Code？Visual Studio（VS）Visual Studio Code（VS Code） 2. 主要区别详解性能和资源占用功能和复杂性扩展和自定义适用场景价格 3. 详细对比总结4. 如何选择适合自己的…...

编程日记 2024/10/5 17:28:20

用Python和OpenCV实现人脸识别：构建智能识别系统

解锁Python编程的无限可能：《奇妙的Python》带你漫游代码世界人脸识别技术在现代社会的各个领域得到了广泛应用，从智能手机的面部解锁到公共场所的安全监控，人脸识别已经成为一项日益重要的技术。本教程将指导你使用Python中的OpenCV库来构建一个简单的人脸检测与识别系统…...

编程日记 2024/10/5 17:27:19

微积分-反函数6.5（指数增长和衰减）

在许多自然现象中，数量的增长或衰减与其大小成正比。例如，如果 y f ( t ) y f(t) yf(t) 表示在时间 t t t 时某种动物或细菌种群的个体数量，那么似乎可以合理地假设增长速率 f ’ ( t ) f’(t) f’(t) 与种群 f ( t ) f(t) f(t) 成正比…...

编程日记 2024/10/5 17:23:15

C初阶（十二）do - while循环 --- 致敬革命烈士

大家国庆看阅兵仪式和天安门升旗仪式了吗？岁月安好，只因有人负重前行。 ————山那边是什么 ————是烈士的英魄 ————是他们拼死保卫的新中国 ————河那边是什么 ————是绵延的战火 ————她望着远方泪一滴滴的落 ————和平来了 ——…...

编程日记 2024/10/5 17:22:15

从零开始：SpringBoot实现古典舞在线交流平台

第二章相关技术介绍 2.1Java技术 Java是一种非常常用的编程语言，在全球编程语言排行版上总是前三。在方兴未艾的计算机技术发展历程中，Java的身影无处不在，并且拥有旺盛的生命力。Java的跨平台能力十分强大，只需一次编译&#xf…...

编程日记 2024/10/5 17:18:11

AL生成文章标题指定路径保存：创新工具助力内容创作高效启航

在信息爆炸的时代，一个吸引人的标题是文章成功的第一步。它不仅要准确概括文章内容，还要能激发读者的好奇心，促使他们点击阅读。随着人工智能技术的飞速发展，AL生成文章标题功能正逐渐成为内容创作者的新宠，看看它是如…...

编程日记 2024/10/5 17:17:09

java基础知识汇总

以下内容是学习《java核心技术卷1》的学习笔记一、一个简单的java应用程序 public class App { public static void main(String[] args) { System.out.println("yuanyexiaolu"); } } 代码解释： 关键字public称为访问修饰符，这些修饰…...

编程日记 2024/10/5 17:15:07

2.点位管理|前后端如何交互——帝可得后台管理系统

目录前言点位管理菜单模块1.需求说明2.库表设计3.生成基础代码0 .使用若依代码生成器最终目标1.创建点位管理2.添加数据字典3.配置代码生成信息4.下载代码并导入项目 4.优化菜单——点位管理1.优化区域管理2.增加点位数3. 合作商4.区域管理中添加查看详情功能5.合作商添加点位…...

编程日记 2024/10/5 17:13:04

Redis基础二(spring整合redis)

Springboot整合Redis 一、Springboot整合redis redis可以通过使用java代码来实现第一部分文档中在终端操作redis的所有命令，Spring已经帮我们封装了所有的操作，所以变得很简单了。 Spring专门提供了一个模块来进行这些操作的封装，这…...

编程日记 2024/10/5 17:12:03

JAVA开源项目教学资源库系统计算机毕业设计

本文项目编号 T 067 ，文末自助获取源码 \color{red}{T067，文末自助获取源码} T067，文末自助获取源码目录一、系统介绍二、演示录屏三、启动教程四、功能截图五、文案资料5.1 选题背景5.2 国内外研究现状5.3 可行性分析5.4 用例设计5.4.1 管…...

编程日记 2024/10/5 17:10:01

二分查找算法专题（2）

找往期文章包括但不限于本期文章中不懂的知识点： 个人主页：我要学编程(ಥ_ಥ)-CSDN博客所属专栏： 优选算法专题对于二分查找算法不是很了解或者只了解一部分的小伙伴一定要去看下面这篇博客：二分查找算法的介绍与另外一种查找方…...

编程日记 2024/10/5 17:09:00

[Python] 编程入门：理解变量类型

文章目录 [toc] 整数常见操作浮点数字符串字符串中混用引号问题字符串长度计算字符串拼接布尔类型动态类型特性类型转换结语收录专栏：[Python] 在编程中，变量是用于存储数据的容器，而不同的变量类型则用来存储不同种类的数据。Python 与 C…...

编程日记 2024/10/5 17:07:59

Chapter03-Authentication vulnerabilities

文章目录 1. 身份验证简介1.1 What is authentication1.2 difference between authentication and authorization1.3 身份验证机制失效的原因1.4 身份验证机制失效的影响 2. 基于登录功能的漏洞2.1 密码爆破2.2 用户名枚举2.3 有缺陷的暴力破解防护2.3.1 如果用户登录尝试失败次…...

编程新知 2026/2/7 4:57:53

无法与IP建立连接，未能下载VSCode服务器

如题，在远程连接服务器的时候突然遇到了这个提示。查阅了一圈，发现是VSCode版本自动更新惹的祸！！！ 在VSCode的帮助->关于这里发现前几天VSCode自动更新了，我的版本号变成了1.100.3 才导致了远程连接出…...

编程新知 2026/1/22 21:24:01

2.Vue编写一个app

1.src中重要的组成 1.1main.ts // 引入createApp用于创建应用 import { createApp } from "vue"; // 引用App根组件 import App from ./App.vue;createApp(App).mount(#app)1.2 App.vue 其中要写三种标签 <template>  </template>…...

编程新知 2026/1/31 6:04:01

华为OD机试-食堂供餐-二分法

import java.util.Arrays; import java.util.Scanner;public class DemoTest3 {public static void main(String[] args) {Scanner in new Scanner(System.in);// 注意 hasNext 和 hasNextLine 的区别while (in.hasNextLine()) { // 注意 while 处理多个 caseint a in.nextIn…...

编程新知 2026/1/28 11:11:03

【Java_EE】Spring MVC

目录 Spring Web MVC 编辑注解 RestController RequestMapping RequestParam RequestParam RequestBody PathVariable RequestPart 参数传递注意事项编辑参数重命名 RequestParam 编辑编辑传递集合 RequestParam 传递JSON数据编辑RequestBody …...

编程新知 2026/2/1 16:32:53