前の記事 https://www.cnblogs.com/lihaoyang/p/11967121.htmlは フィルターがHttpBasicは、要求のユーザー名とパスワードで事前に認証取得を達成し、問題があると、各ユーザーに任せることはできませんユーザー名を入力し、パスワードはフロントエンドのユーザー名とパスワードが危険である、最大保存する場合でも、それを要求します。
A、トークンベースの認証の概略
クッキー・セッションを実現するベース
javaweb開発でこの方法を達成するための多くの方法が、ありますが、最も一般的な実装が基づいているクッキー、セッションは、自然のログインセッションに基づいてもトークンログインをベースに実現します:
ユーザー情報でのセッションにクッキー、セッションベース、ログインに成功を達成ログイン:
ブラウザがクッキーに保存されます。
ログインのこのクッキーセッションに基づいて:
長所:HttpBasicの欠点を補うために、ある、使いやすいです
短所:唯一の彼らはクッキーを認識しないため、CookieレスポンスヘッダがjessionId、ないサーバアプリケーション、第三者に受信を設定するには、ブラウザ、ブラウザに適用されます
クラスタ環境で、共有処理セッションの必要性
カスタムトークンを達成します
セッション固定攻撃からの保護:
++++++++++++++++++++++++++第三章では、まとめて++++++++++++++++++++ +++++++++