基于cookie的身份验证如何工作？

Question

有人可以给我一步一步描述基于cookie的身份验证的工作原理吗？我从未做过涉及身份验证或cookie的任何事情.浏览器需要做什么？服务器需要做什么？按什么顺序？我们如何保证安全？

我一直在阅读有关不同类型的身份验证和关于cookie的信息,但我想要了解如何将两者结合使用的基本描述 - 我只是读到它们经常一起使用但却找不到如何使用的描述.

Answer 1

我意识到这已经晚了几年,但我想我可以扩展Conor的答案,并在讨论中加一点.

有人可以给我一步一步描述基于cookie的身份验证的工作原理吗？我从未做过涉及身份验证或cookie的任何事情.浏览器需要做什么？服务器需要做什么？按什么顺序？我们如何保证安全？

第1步:客户端>注册

在此之前,用户必须注册.客户端向服务器发布包含其用户名和密码的HTTP请求.

第2步:服务器>处理注册

在将用户名和密码存储在数据库中之前,服务器会收到此请求并对密码进行哈希处理.这样,如果有人获得对您数据库的访问权限,他们将无法看到您用户的实际密码.

第3步:客户端>用户登录

现在您的用户登录.他/她提供用户名/密码,然后再将其作为HTTP请求发布到服务器.

第4步:服务器>验证登录

服务器在数据库中查找用户名,散列提供的登录密码,并将其与数据库中先前散列的密码进行比较.如果它没有签出,我们可以通过发送401状态代码并结束请求来拒绝他们访问.

第5步:服务器>生成访问令牌

如果一切都结束了,我们将创建一个访问令牌,它唯一地标识用户的会话.仍然在服务器中,我们使用访问令牌做两件事:

1. 将其存储在与该用户关联的数据库中
2. 将其附加到响应cookie以返回给客户端.请务必设置到期日期/时间以限制用户的会话

此后,cookie将附加到客户端和服务器之间的每个请求(和响应).

第6步:客户端>发出页面请求

回到客户端,我们现在已经登录.每次客户端请求需要授权的页面时(即需要登录),服务器都会从cookie中获取访问令牌并对其进行检查.在与该用户关联的数据库中.如果它签出,则授予访问权限.

这应该让你开始.注销时务必清除cookie!

Answer 2

Cookie基本上只是字典中的一个项目.每个项目都有一个键和一个值.对于身份验证,密钥可能类似于"用户名",值将是用户名.每次向网站发出请求时,您的浏览器都会在请求中包含cookie,主机服务器将检查cookie.因此,身份验证可以像这样自动完成.

要设置cookie,您只需将其添加到服务器在请求后发回的响应中.然后,浏览器将在收到响应后添加cookie.

您可以为cookie服务器端配置不同的选项,如到期时间或加密.加密cookie通常称为签名cookie.基本上,服务器会加密字典项中的键和值,因此只有服务器才能使用这些信息.那么cookie就是安全的.

浏览器将保存服务器设置的cookie.在浏览器向该服务器发出的每个请求的HTTP标头中,它将添加cookie.它只会为设置它们的域添加cookie.Example.com可以设置cookie并在HTTP标头中添加选项,以便将cookie发送回子域,例如sub.example.com.浏览器将cookie发送到不同的域是不可接受的.

Answer 3

基于Cookie的身份验证

基于Cookie的身份验证通常可以通过以下4个步

1. 用户在登录表单中提供用户名和密码,然后单击"登录".
2. 发出请求后,服务器通过查询数据库来验证后端的用户.如果请求有效,它将使用从数据库获取的用户信息创建会话并存储它们,对于每个会话,创建一个称为会话ID的唯一ID,默认情况下会话ID将通过浏览器提供给客户端.

3. 浏览器将在每个后续请求上提交此会话ID,会话ID是针对数据库进行验证的,基于此会话ID网站将识别属于哪个客户端的会话,然后提供访问请求.

4. 一旦用户退出应用程序,会话就会在客户端和服务器端被销毁.