鉴权和认证服务器

目前登录凭证的方式无非两种: 
一个是通过服务器端的session,一个是通过浏览器的cookie. 
简而言之:session和cookie

常规的是通过session 
步骤: 
1,用户在浏览器登录 
2,后台鉴权,若登录成功,则把用户信息写入session,servlet自动生成JSESSIONID 返回浏览器; 
3,浏览器把JSESSIONID 写入cookie 
说明:cookie是浏览器的存储文件,存储的只是JSESSIONID,而不是用户信息; 
JSESSIONID 只是一个钩子,用户信息其实存储在服务器端.

比如我在浏览器登录之后,重新打开一个标签页,输入相同的地址,仍然是登录状态,因为标签页共享cookie. 
也就是说我只要获取到JSESSIONID ,就可以获取用户隐私信息,比如除用户名以外的其他信息(密码,姓名,年龄等).也可以做一些敏感操作,比如修改密码

浏览器发送请求时会带上cookie 
这样服务器端才知道是否登录过: 

例如,我获取到JSESSIONID 之后,使用HTTP模拟发送请求: 

服务器端是如何判断是否登录

    public static boolean isLogined(GenericUser user2, String loginFlag) {           if (ValueWidget.isNullOrEmpty(user2) || ValueWidget.isNullOrEmpty(user2.getUsername())                   || (!Constant2.FLAG_LOGIN_SUCCESS.equalsIgnoreCase(loginFlag))) {               return false;           } else {               return true;           }       }       /***       * 判断是否已登录       *       * @param session       * @return       */       public static boolean isLogined(HttpSession session) {           String loginFlag = (String) session                   .getAttribute(Constant2.SESSION_KEY_LOGINED_FLAG);           GenericUser user2 = (GenericUser) session.getAttribute(Constant2.SESSION_KEY_LOGINED_USER);           return isLogined(user2, loginFlag);       }  

如果通过cookie呢?

详细流程,逻辑 

 (1)登录前,浏览器先向认证服务器请求一个OTP,认证服务器返回OTP,同时返回一个cookie给浏览器; 

(2)认证服务器把OTP 和CCC(cookie) 挂钩; 
(3)登录时连同带上OTP 
(4)若登录成功,则认证服务器返回登录凭证(access token)给应用服务器; 
(5)认证服务器把CCC 和登录凭证挂钩; 
(6)通过CCC 可以判断用户是否有权限.

所以, 
(a)可以通过CCC 获取登录凭证 
(b)也可以通过OTP 获取登录凭证

根本原因:服务器把OTP 和CCC(cookie) 挂钩

那么CCC记在什么地方? 
浏览器

 

 

 

 

参考:http://blog.csdn.net/hw1287789687/article/details/48373209

 segmentfault 登录时,竟然使用明文密码:

 

超聚变服务器操作系统FusionOS与阿里云PolarDB数据库完成兼容性认证 近日，超聚变服务器操作系统FusionOS签署阿里巴巴开源CLA(Contribution License Agreement, 贡献许可协议), 正式与阿里云PolarDB 开源数据库社区牵手，并率先展开超聚变服务器操作系统FusionOS 22与阿里云PolarDB数据库管理软件兼容性适配认证。
【最简OAuth 2.0 教程】开发认证中心及资源服务器接入 背景： 网上很多讲配置 oauth2 ，配置方法 复杂纷繁对于初学者很不友好，让人望而却步 欢迎关注本系列博客 基于 spring cloud 最新版本 hoxton 完成oauth2 的实践
基于 Spring Cloud OAuth ，用简洁的方式搭建oauth的认证中心， 关于oauth2 的授权模式 请直接参考 [阮一峰 OAuth 2.
[教程]在CentOS7上配置 FTP服务器 Proftpd 支持 MySQL 虚拟用户加密认证以及磁盘限额(Quota) 本文软件采用 yum 安装，不需要编译，而且随时都可以跟随 CentOS 升级 Proftpd 到最新版本，以避免可能的漏洞攻击。利用 Proftpd 现成的配置以及设置好的各种模块，可以实现 sftp 和 ssh 的结合，完美的实现虚拟用户加密密码存放于数据库。
最近在开发一个 Android 程序，需要做用户登录和认证功能，另外服务器用的是 Laravel 框架搭建的。
黄威的世界 我是一个热衷IT技术的人，希望自己不断地设计开发出对别人非常有用的软件。有近7年的java开发经验(包括2年Android开发经验)和一年左右的linux使用经验。擅长Java Web后台开发 ，喜欢研究新的各种实用技术