現在、ほとんどのシステムではログイン認証機能が必須となっており、主にユーザーの状態を保存したり、ユーザーの様々な行動を制限したりすることを目的としており、便利です。ユーザーの権限を制御するのに効果的です。例えば、ユーザーがWeiboにログインする場合、ログイン後、ユーザーステータスで投稿、フォロー、コメントの操作を行う必要があります。
ログイン検証を実装するには、主に 2 つの方法があります: Cookie&Session と JWT。このセクションでは、最初に Cookie&Session について説明します。動作原理について詳しく紹介し、次回以降の記事では、JWTと、Cookie&SessionおよびJWTを使用して改善する方法を順次紹介していきます。前のセクションで学んだことを踏まえて、構築された簡単なユーザー管理システムについて説明します。 [関連チュートリアルの推奨事項: nodejs ビデオ チュートリアル ]
1️⃣ Cookie&Session
HTTP がステートレスであることはわかっています。言い換えれば、HTTP リクエスターとレスポンダーは状態を維持できず、すべて 1 回限りであり、前後のリクエストで何が起こったのか知りません。ただし、シナリオによっては、状態を維持する必要があります。最も一般的には、ユーザーが Weibo にログインすると、ログイン後、投稿、フォロー、コメントは ユーザー ステータスになるはずです。
現時点では、Cookie と Session を導入して、ユーザーのログイン状態を保存できます。
この記事では主に、Cookie
とについて、ログイン検証に Cookie-Session を使用する動作原理を紹介します。 Session の詳細な紹介、この人の記事を参照してください:Cookie とセッションの詳細な説明
Cookie を単独で使用しない理由?
Cookie はブラウザに保存されています。ブラウザで コンソール を開き、Application を選択して、# # を見つけます。ストレージ 内の ##Cookie が表示されます:
自動的に 
次のように、
を リクエスト ヘッダー に追加して、サーバーがこの Cookie を取得できるようにします。
username
、
など) を使用する場合について考えることができます。 .) Cookie を生成してブラウザに保存すると、後続のすべてのネットワーク リクエストで自動的に Cookie が送信されます。 次に、リクエストに Cookie が含まれているかどうか、および
に有効な username と id# があるかどうかをサーバーに判断させます # #ユーザーがログインしたかどうかを判断するには、ユーザーのログイン状態が保存されないのでしょうか? 上記の Weibo の例に戻ります。このプロセスによれば、ユーザーがログインすると、Cookie が保存されます。このとき、ユーザーが公開すると、フォローし、コメント 操作を使用するためにログインする必要がある場合、Cookie
Cookie にユーザーの id が含まれている場合は、これらの操作をユーザーに許可できます (これらの操作には通常、ユーザーの id が必要です。これは Cookie から取得できます)。逆に、Cookie が存在しない場合、または Cookie が無効な場合には、ユーザーのこれらの操作は禁止されます。 これについて言うと、次のように疑問に思うかもしれません: Cookie は必要な効果を実現できるのに、なぜ
を使用する必要があるのですか? これは、Cookie が簡単に偽造されるためです。
Cookie に格納されている情報が username と id であることがわかっていれば (わからなくてもリクエストすることはできます) Cookie が本文で見つかった場合、ログインせずに偽の Cookie をブラウザに手動で保存できます: そう言えば、
が単独で使用できない理由が理解できるはずです。 
#セッションは Cookie とどのように組み合わされるのでしょうか?
Session は実際には Cookie
に基づいて実装され、Session はサーバーのメモリまたはデータベースに保存されます。
ユーザーが正常にログインすると、Cookie&Session を使用したログイン検証によって次の操作が実行されます。
-
はサーバー
Session## によって生成されます。 # およびSessionId;Session
は通常、ユーザー名、idなどのユーザーのログイン情報に基づいて生成されます。 。
Sessionをロックにたとえると、SessionIdはロックのキーに相当します。 - サーバーは
セッション
をメモリまたはデータベースに保存します; - サーバーは
を保存しますSessionId
を受信した後、クライアントはは、リクエストの応答ヘッダー (responseオブジェクト) のSet-Cookieフィールドに保存され、クライアントに送信されます。#Set-Cookie Set-Cookie - の値 (つまり、
SessionId
Cookie) をCookieに自動的に保存します。 ;後続のすべてのネットワーク リクエストは、自動的に を取得します。つまり、この - SessionId
;
SessionIdサーバーは後続のリクエストを受信すると、リクエストのCookieを取得します。つまり、 を取得し、# を渡します。 ##SessionId サーバーに保存されているSessionをクエリして検証します。検証が成功した場合は、SessionIdが有効であり、リクエストが有効であることを意味します。そうでない場合、リクエストはブロックされます。##図:
# ストレージの問題
ユーザーのログイン ステータスを保存するには、ログインしているユーザーごとに Session を生成して保存する必要があり、必然的に次の問題が発生します。
#セッションがメモリに保存されている場合、サーバーが再起動すると、これらのメモリ内の##セッションがクリアされ、すべてのユーザーのログインステータスが消去されます。ユーザーの数が多い場合、過剰なメモリ使用量がサーバーのパフォーマンスに影響を与えることは避けられません。
Session をデータベースに保存すると、サーバーの再起動によるユーザーのログイン状態の有効期限の問題は解決できますが、ユーザー数が多い場合、このデータベースのメンテナンスが困難になります。変化も比較的難しいです。
- フロントエンド ページで呼び出されるインターフェイスが 2 つのサーバー (つまり、2 セットのデータベース) から取得される場合、2 つのサーバー間で
- Session
の共有を実現するために、Sessionは通常、別のデータベースに保存されるため、プロジェクト全体がより複雑になり、保守が困難になります。 - # CSRF 問題
CSRF
は、クロスサイト リクエスト フォージェリと呼ばれます。
クロスサイト リクエスト フォージェリ 、検証に
クロスサイト リクエスト フォージェリを使用する Web サイトは大小の CSRF 脅威に直面します。銀行 Web サイトの例を使用して CSRF 攻撃を紹介します。原則: 銀行の
Web サイト A のログイン認証に Cookie&Session が使用され、 転送操作 が Web サイト上で # を実行するために使用される場合##API アドレス は: http://www.grillbankapi.com/?account=AccoutName&amount=1000
#apiパラメータ:account はアカウント名を表し、amount は送金額を表します。 その後、悪意のある攻撃者は次のコードを別の Web サイト B
、パラメータ<img src="/static/imghwm/default1.png" data-src="http://www.grillbankapi.com/?account=Ailjx&amount=1000" class="lazy" alt="ノード学習では、Cookie セッションのログイン検証の動作原理について説明します。" >api address
注:img#タグの ##srcはwebsite Aの転送操作の
account は Ailjx、amount
api アドレスimgは、アカウント名が Ailjx で 1000 を転送するときに呼び出される
タグが読み込まれ、ブラウザは自動的にapiと同等です。アカウント名 Ailjx のユーザーが、少し前にWeb サイト Aにアクセスしたばかりの場合、ログイン情報は期限切れになっていません (Web サイトのCookieAが存在し、有効です)。その後、Ailjx がこの悪意のあるWeb サイト Bにアクセスすると、上記のimg
タグを要求します。 src ルートはリクエスト http://www.grillbankapi.com/?account=Ailjx&amount=1000 (このリクエストは requestQ として記録されます)。
はブラウザに保存され、ブラウザはリクエストを送信するときに自動的に Cookie を持ち込むため、 リクエスト Q は自動的に Ailjx を Cookie# に運びます。 Web サイト A に ## 証明書がある場合、この リクエスト Q は に渡され、Ailjx は 1000 資金を失います 。
この種の悪意のある URL はさまざまな形式をとり、Web ページ上のさまざまな場所に隠される可能性があります。 さらに、攻撃者は、悪意のある URL が配置されている Web サイトを制御する必要はありません。たとえば、ユーザーが作成したコンテンツを含むフォーラム、ブログ、その他の Web サイトでこのアドレスを非表示にすることができます。これは、サーバー側に適切な防御手段がない場合、ユーザーが使い慣れた信頼できる Web サイトにアクセスしたとしても、依然として攻撃される危険にさらされていることを意味します。
この例からわかるように、攻撃者は CSRF 攻撃を通じてユーザーのアカウント制御を直接取得したり、ユーザー情報を直接盗んだりすることはできません。彼らができることは、 ユーザーのブラウザをだまして、ユーザーに代わって操作を実行させることです。
ログイン検証に Cookie&Session を使用する場合の問題は次のとおりです。これらの問題はどのように解決すればよいでしょうか?これには、JWT の概念を導入し、ログイン検証に token を使用する必要があります。これについては後続の記事で説明します。
ノード関連の知識の詳細については、nodejs チュートリアル を参照してください。
以上がノード学習では、Cookie セッションのログイン検証の動作原理について説明します。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
JavaScriptエンジン:実装の比較Apr 13, 2025 am 12:05 AMさまざまなJavaScriptエンジンは、各エンジンの実装原則と最適化戦略が異なるため、JavaScriptコードを解析および実行するときに異なる効果をもたらします。 1。語彙分析:ソースコードを語彙ユニットに変換します。 2。文法分析:抽象的な構文ツリーを生成します。 3。最適化とコンパイル:JITコンパイラを介してマシンコードを生成します。 4。実行:マシンコードを実行します。 V8エンジンはインスタントコンピレーションと非表示クラスを通じて最適化され、Spidermonkeyはタイプ推論システムを使用して、同じコードで異なるパフォーマンスパフォーマンスをもたらします。
ブラウザを超えて:現実世界のJavaScriptApr 12, 2025 am 12:06 AM現実世界におけるJavaScriptのアプリケーションには、サーバー側のプログラミング、モバイルアプリケーション開発、モノのインターネット制御が含まれます。 2。モバイルアプリケーションの開発は、ReactNativeを通じて実行され、クロスプラットフォームの展開をサポートします。 3.ハードウェアの相互作用に適したJohnny-Fiveライブラリを介したIoTデバイス制御に使用されます。
next.jsを使用してマルチテナントSaaSアプリケーションを構築する(バックエンド統合)Apr 11, 2025 am 08:23 AM私はあなたの日常的な技術ツールを使用して機能的なマルチテナントSaaSアプリケーション(EDTECHアプリ)を作成しましたが、あなたは同じことをすることができます。 まず、マルチテナントSaaSアプリケーションとは何ですか? マルチテナントSaaSアプリケーションを使用すると、Singの複数の顧客にサービスを提供できます
next.jsを使用してマルチテナントSaaSアプリケーションを構築する方法(フロントエンド統合)Apr 11, 2025 am 08:22 AMこの記事では、許可によって保護されたバックエンドとのフロントエンド統合を示し、next.jsを使用して機能的なedtech SaaSアプリケーションを構築します。 FrontEndはユーザーのアクセス許可を取得してUIの可視性を制御し、APIリクエストがロールベースに付着することを保証します
JavaScript:Web言語の汎用性の調査Apr 11, 2025 am 12:01 AMJavaScriptは、現代のWeb開発のコア言語であり、その多様性と柔軟性に広く使用されています。 1)フロントエンド開発:DOM操作と最新のフレームワーク(React、Vue.JS、Angularなど)を通じて、動的なWebページとシングルページアプリケーションを構築します。 2)サーバー側の開発:node.jsは、非ブロッキングI/Oモデルを使用して、高い並行性とリアルタイムアプリケーションを処理します。 3)モバイルおよびデスクトップアプリケーション開発:クロスプラットフォーム開発は、反応および電子を通じて実現され、開発効率を向上させます。
JavaScriptの進化:現在の傾向と将来の見通しApr 10, 2025 am 09:33 AMJavaScriptの最新トレンドには、TypeScriptの台頭、最新のフレームワークとライブラリの人気、WebAssemblyの適用が含まれます。将来の見通しは、より強力なタイプシステム、サーバー側のJavaScriptの開発、人工知能と機械学習の拡大、およびIoTおよびEDGEコンピューティングの可能性をカバーしています。
javascriptの分解:それが何をするのか、なぜそれが重要なのかApr 09, 2025 am 12:07 AMJavaScriptは現代のWeb開発の基礎であり、その主な機能には、イベント駆動型のプログラミング、動的コンテンツ生成、非同期プログラミングが含まれます。 1)イベント駆動型プログラミングにより、Webページはユーザー操作に応じて動的に変更できます。 2)動的コンテンツ生成により、条件に応じてページコンテンツを調整できます。 3)非同期プログラミングにより、ユーザーインターフェイスがブロックされないようにします。 JavaScriptは、Webインタラクション、シングルページアプリケーション、サーバー側の開発で広く使用されており、ユーザーエクスペリエンスとクロスプラットフォーム開発の柔軟性を大幅に改善しています。
pythonまたはjavascriptの方がいいですか?Apr 06, 2025 am 12:14 AMPythonはデータサイエンスや機械学習により適していますが、JavaScriptはフロントエンドとフルスタックの開発により適しています。 1. Pythonは、簡潔な構文とリッチライブラリエコシステムで知られており、データ分析とWeb開発に適しています。 2。JavaScriptは、フロントエンド開発の中核です。 node.jsはサーバー側のプログラミングをサポートしており、フルスタック開発に適しています。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
Dreamweaver Mac版
ビジュアル Web 開発ツール
WebStorm Mac版
便利なJavaScript開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
