A、cookie B、session C、token D、model

A、B、C都是前端常见的身份验证方式，而D是一个概念，不属于前端身份验证方式。

A、cookie：是一种在客户端存储数据的方式，通常用于记录用户的登录状态以及其他相关信息。

B、session：是一种在服务器端存储数据的方式，每个用户在服务器上都会对应一个session对象，其中包含了用户的登录状态以及其他相关信息。

C、token：是一种在客户端存储数据的方式，通常用于在不同的客户端之间共享数据，比如用户的登录状态等。通常使用JWT（JSON Web Token）来实现token认证。

这三种方式都是前端常见的身份验证方式，用于保护用户的敏感信息，确保只有经过身份验证的用户才能访问受保护的资源。

相关问题

采用JSP Model2开发模型，利用Filter及 Cookie实现网站的自动登录功能。并且可以在另一页面查看登录状态

在JSP Model2开发模型中，实现自动登录功能通常涉及到以下几个步骤：

1. **用户登录处理**：当用户通过表单提交用户名和密码时，服务器端会验证这些信息并存储用户的会话数据（如用户的ID或Token），这通常是通过HttpServletRequest的getSession()方法完成的。

2. **创建Filter（过滤器）**：你可以创建一个Filter来监听HTTP请求，例如，每当有新的请求到达时，这个Filter会检查请求头或者Cookie中是否存在标志用户已登录的信息。如果存在，说明用户已经自动登录，可以直接从Session中获取用户数据。

   FilterConfig filterConfig = ...;
   // 获取session属性
   HttpSession session = request.getSession();
   User user = (User) session.getAttribute("loggedUser");

3. **设置Cookie**：为了保持跨页面的状态，可以将用户标识符存储在一个安全的Cookie中。设置Cookie时，记得设置过期时间以保证安全性。

4. **启用HttpOnly和Secure标志**：这两个标志可以防止Cookie被JavaScript直接读取，增加安全防护。

5. **自动登录标记**：在用户成功登录后，将一个标记（如"autoLogin"）存入Session或Cookie，用于后续页面判断是否需要显示登录界面。

6. **查看登录状态**：在其他页面上，可以检查当前请求是否携带该自动登录标记，如果没有，则跳转到登录页面。在JSP中可以使用EL表达式或JSTL标签库检查Session或Cookie：

   <c:if test="${not empty param.autoLogin || not empty session.autoLogin}">
       <!-- 用户已登录 -->
   </c:if>
   <c:else>
       <!-- 需要登录 -->
   </c:else>

fastapi cookie 登录

### 基于 Cookie 的用户登录实现

在 FastAPI 应用程序中，为了实现基于 cookie 的用户登录机制，通常会涉及到创建一个用于验证用户的端点，并通过响应向客户端发送带有 session 或者 JWT token 的 Set-Cookie 头部。这允许后续请求携带该 cookie 来识别已认证的用户。

考虑到安全性因素[^3]，尽管 cookies 方便使用，在设计时应特别注意防止跨站脚本攻击 (XSS) 和跨站请求伪造 (CSRF)，可以通过设置 HttpOnly 属性来保护 cookie 不被 JavaScript 访问，并启用 Secure 标志确保仅通过 HTTPS 进行传输。

下面是一个简单的例子展示如何利用 `fastapi` 创建带 cookie 支持的身份验证接口：

from datetime import timedelta, datetime
from typing import Optional

import uvicorn
from fastapi import FastAPI, HTTPException, Depends, Form
from fastapi.responses import Response
from pydantic import BaseModel
from starlette.middleware.sessions import SessionMiddleware
from passlib.context import CryptContext

pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto")

SECRET_KEY = "your-secret-key"
ALGORITHM = "HS256"

class Token(BaseModel):
    access_token: str
    token_type: str


def verify_password(plain_password, hashed_password):
    return pwd_context.verify(plain_password, hashed_password)


def get_password_hash(password):
    return pwd_context.hash(password)

app = FastAPI()
app.add_middleware(SessionMiddleware, secret_key=SECRET_KEY)

fake_users_db = {
    "johndoe": {
        "username": "johndoe",
        "full_name": "John Doe",
        "email": "johndoe@example.com",
        "hashed_password": get_password_hash("secret"),
        "disabled": False,
    }
}

async def authenticate_user(username: str, password: str):
    user = fake_users_db.get(username)
    if not user or not verify_password(password, user['hashed_password']):
        raise HTTPException(
            status_code=400, detail="Incorrect username or password"
        )
    return user


@app.post("/login/")
async def login(response: Response, username: str = Form(...), password: str = Form(...)):
    user = await authenticate_user(username, password)
    
    expire_time = datetime.utcnow() + timedelta(minutes=30)
    response.set_cookie(key="session", value=user["username"], httponly=True, secure=True, expires=expire_time.timestamp())
    
    return {"message": f"Welcome {user['username']}"}


@app.get("/profile/", response_model=dict)
async def profile(session_username: Optional[str] = None):
    if session_username is None:
        raise HTTPException(status_code=401, detail="Not authenticated")
        
    user_info = fake_users_db.get(session_username)
    del user_info["hashed_password"]
    
    return user_info

在这个示例里，当用户成功登录后，服务器会在返回给浏览器的响应头中加入 `Set-Cookie` 字段，从而让浏览器保存这个 cookie 并在未来访问同一域名下的资源时自动附带上它。这里还展示了如何读取并校验存储在 cookie 中的信息以确认当前会话的有效性。