#chat GPT# #p y t hon# 昨晚有点匆忙
#chat GPT# #p y t hon# 昨晚有点匆忙,抽空理下思路,补充一下这篇文章背景吧,最近客户有个需求,需要对系统的部分工单做批处理操作,个人有两个方案选择,
第一:通过浏览器开发者工具获得登录cookie,auth等信息通过post请求处理,
第二:解决图形验证码问题,实现模拟登录
综合评估了下,为了方便后期不了解技术的人操作,选择了模拟登录这条路
小脚本首选python了,但是本来就不太熟练用的少,再加上图像验证码涉及到图片处理的算法问题,有点动摇,但是我们有了chatgpt就完全不一样了,一路的困难都帮我解决了,最终完美实现系统识别图形验证码模拟登录
兴奋之余,也很感慨chatGPT的强大,于是趁着兴致把处理全过程记录下来,算是一个给自己的奖励网页链接AIGC爱好者
chatGPT真是太神了!小白也能变高手
一图理解什么是Session、cookie、JWT、Token、SSO和OAuth 2
一图理解什么是Session、cookie、JWT、Token、SSO和OAuth 2.0
上面的这些术语都与用户身份管理相关。当你登录一个网站时,你声明自己是谁(身份identification)。你的身份将得到验证(认证authentication),然后授予你必要的权限(授权authorization)。在用户身份管理上已经有了许多解决方案,并且这个方案列表还在不断增长。
下面从简单到复杂来解释用户身份管理方案:
⭕️ WWW-Authenticate是最基本的方法。浏览器会要求你输入用户名和密码。由于无法控制登录生命周期,这种方法现在已经很少使用了。
⭕️ 一个更精细地控制登录生命周期的方法是使用session-cookie。服务器维护session会话存储,浏览器保存session会话ID。Cookie通常仅适用于浏览器,对移动应用程序不太友好。
⭕️ 为了解决兼容性问题,可以使用token。客户端向服务器发送token,服务器验证token。缺点是token需要加密和解密,这可能会耗费时间。
⭕️ JWT(JSON Web Token)是token的标准方法。该信息可以被验证和信任,因为它是数字签名的。由于JWT包含签名,所以不需要在服务器端保存会话信息。
⭕️ 通过使用SSO(single sign-on单点登录),你只需登录一次,就可以登录多个网站。它使用CAS(central authentication service中央认证服务)来维护跨站点信息。
⭕️ 通过使用OAuth 2.0,你可以授权一个网站访问你在另一个网站上的信息。
From:ByteByteGo
无状态的HTTP协议以及Session和Cookie
无状态的HTTP协议以及Session和Cookie
由于HTTP协议的无状态性,于是两种用于保持HTTP连接状态的技术就出现了,它们就是Session和Cookie。
Session在服务端,也就是网站的服务器,用来保存用户的会话信息;Cookie 在客户端(可以理解为浏览器端),有了Cookie,浏览器在下次访问网站时会自动附带上它发送给服务器,服务器通过识别Cookie 鉴别出是哪个用户,判断是否是登录状态,然后返回对应的响应。
Cookie 保存了登录的凭证,有了它,只需要在下次请求中携带Cookie 发送请求 就不用重新输入用户名,密码等信息重新登录了。
session的id是从哪里来的,sessionID是如何使用的:当客户端第一次请求session对象时候,服务器会为客户端创建一个session,并将通过特殊算法算出一个session的ID,用来标识该session对象。
session 是基于 cookie 实现的,session 存储在服务器端,sessionID 会被存储到客户端的cookie 中。
服务端会为Session设置一个失效时间,当距离客户端上一次使用Session的时间超过这个失效时间时,服务端就认为客户端停止了活动,会把Session删除以节省存储空间。
阿里二面:说一下cookie、session、token有什么区别
阿里二面:说一下cookie、session、token有什么区别?
Cookie、Session和Token是用于在Web应用程序中实现用户身份验证和状态管理的常见机制,它们有着不同的特点和使用方式。
Cookie是一种在浏览器端存储数据的机制,由服务器在HTTP响应中设置,然后浏览器会在后续的HTTP请求中自动将该Cookie发送回服务器。Cookie通常用于在客户端存储会话标识或其他数据,以实现用户的身份验证和状态跟踪。Cookie具有以下特点:
存储在浏览器端:Cookie以键值对的形式存储在浏览器的Cookie文件中,每次请求都会自动发送到服务器。
客户端可修改:虽然Cookie的值可以被服务器设置,但客户端也可以通过JavaScript等手段修改Cookie的值。
大小和数量限制:每个域名下的Cookie数量和大小都有限制,通常限制为几十个Cookie以及总大小为几KB。
Session是一种在服务器端存储用户状态的机制。当用户第一次访问服务器时,服务器会为其创建一个唯一的会话标识,并将该标识存储在服务器端的某个存储介质(如内存、数据库)中。而在后续的请求中,客户端会通过Cookie或URL重写将会话标识发送给服务器。Session具有以下特点:
存储在服务器端:Session数据存储在服务器的内存或持久化存储介质中,客户端只保存了会话标识。
安全性较高:相比Cookie,Session的数据存储在服务器端,对于客户端来说是不可见和不可修改的。
需要服务器存储:由于Session数据存储在服务器端,需要占用服务器资源,特别是在大规模应用中可能需要分布式存储。
Token是一种通过加密和签名等方式来验证用户身份和权限的机制。在用户登录成功后,服务器会生成一个Token并将其返回给客户端。客户端在后续的请求中携带该Token,并通过验证来获取相应的资源。Token具有以下特点:
无状态:Token机制不需要在服务器端存储用户状态,因此可以实现无状态的API设计。
扩展性好:Token可以轻松地扩展到多个应用程序、多个服务器或跨域的场景。
客户端可存储:Token通常被存储在客户端的本地存储(如LocalStorage或SessionStorage)中,也可以通过Cookie或URL传递。
需要加密和签名:为了确保Token的安全性,通常会对Token进行加密和签名处理,以防止篡改和伪造。
总的来说,Cookie是一种在浏览器端存储数据的机制,用于跟踪用户会话和存储少量信息;Session是一种在服务器端存储用户状态的机制,通过会话标识进行身份验证和状态管理;而Token是一种通过加密和签名验证用户身份和权限的机制,不需要服务器端存储用户状态。
对比它们的特点和使用场景,可以得出以下结论:
Cookie适合用于存储少量、不敏感的数据,并且需要在客户端和服务器之间进行传递。它可以用于实现用户身份验证、持久登录状态等。
Session适合用于存储大量、敏感的数据,因为数据存储在服务器端,对客户端来说是不可见和不可修改的。它通常用于用户身份验证、权限管理等。
Token适合用于分布式系统和无状态的API设计。由于Token是自包含的,服务器端不需要存储用户状态,因此可以方便地扩展到多个应用程序和服务器中。它通常用于实现跨域身份验证、API访问权限控制等。
在选择使用哪种机制时,需要考虑安全性、性能、扩展性和开发复杂度等因素。Cookie和Session需要服务器端存储和管理用户状态,而Token是无状态的,对于大规模分布式系统更具优势。然而,Token的安全性需要更多的关注,因为它在客户端存储且需要加密和签名处理。
最佳实践中,通常会将Cookie与Session或Token结合使用,例如使用Cookie存储会话标识(Session ID)或Token,在服务器端使用Session或Token验证和管理用户身份和权限。这样可以兼顾安全性和性能,并根据具体需求选择合适的机制。
