Cookie、Session、Token在登录校验

于 2025-04-13 09:00:00 发布
阅读量825 收藏 14
点赞数 28
文章标签: java 开发语言 安全 登录校验 cookie session token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77251217/article/details/147150309
版权

 一、引言

        在处理登录相关的业务时,常用到Cookie、Session、Token三种机制,但是对于一些完全专注后端业务开发的初学者伙伴,经常混淆这些概念,所以今天带大家从概念到应用来稍稍深入一下,下面是三者的简单对比,大家先简单浏览,后面我们结合当下比较常见的例子说明。

特性CookieSessionToken
定义存储在客户端的文本信息,用于标识用户。服务器端存储的用户会话信息。基于令牌的认证机制,通常使用JWT。
工作原理用户登录后,服务器生成一个SessionID,并将其存储在Cookie中。浏览器在后续请求中自动将包含SessionID的Cookie发送到服务器。用户登录后,服务器生成一个SessionID,并将用户信息存储在服务器端的Session中。服务器通过Set-Cookie响应头将SessionID发送给客户端。客户端在后续请求中自动将包含SessionID的Cookie发送到服务器。服务器根据SessionID查找对应的Session数据。用户登录后,服务器生成一个Token,并将其返回给客户端。客户端将Token存储在本地(如LocalStorage或Memory Storage)。客户端在每次请求中将Token包含在请求头中发送到服务器。服务器验证Token的有效性。
优点简单易用,浏览器自动管理。安全性较高,数据存储在服务器端。无状态,适合分布式系统,安全性较高。
缺点容易受到XSS攻击,数据量有限。服务器端存储压力大,不适合分布式系统。需要客户端手动管理Token,实现复杂。
适用场景简单的Web应用,需要服务器端管理Session。需要高安全性且用户量不大的应用。分布式系统和需要高安全性的应用。

二、cookie+session的验证

1.分析

        大家可以看到引言部分我们将cookie和session两者的工作原理结合在一起阐述了,那为什么是cookie+session呢?首先,cookie和session是可以单独完成校验的(很少不一起用,这里只是单纯为了说明能单独用而说明,了解即可不必纠结),但单独使用会存在如下的细些问题:

  • 单独使用cookie即直接将校验信息存储在客户端cookie中,但其大小通常限制为4KB以内,存储的信息量就很局限,并且直接将信息存储在cookie中,前端遭受攻击攻击会导致信息泄露;所以其只适用于简单的应用场景,如记住用户偏好设置、简单的访问统计等。

  • 单独使用session即将信息存储在服务器中,将sessionid返回给客户端,客户端可以通过 URL参数或者存储sessionid到LocalStorage、SessionStorage等方式在请求中携带id匹配服务端的session,但这样的方式不仅增加了开发复杂性,适应场景也被限制。

        而cookie+session,在用户登录后,服务器会生成一个SessionID且自动存储到cookie,并将用户信息存储在服务器端的Session中。客户端在后续请求中自动将包含SessionID的Cookie发送到服务器,服务器根据SessionID查找对应的Session数据。

        这样一来,cookie只用存储较小的sessionid,并且敏感信息不会直接在前端存储泄露,且session被cookie自动管理起来,开发的复杂性也大大降低。

2.应用

        现在我们通过一个简单的cookie+session登陆业务观察一下,拦截器、配置文件等就不一一放在文章里了,大家可以自己写一下简单的demo测试

  • 接口层

        @PostMapping("/login")
    public Result login(@RequestBody LoginFormDTO loginForm, HttpSession session){
        // 实现登录功能
        userService.sessionLogIn(loginForm,session);
        return Result.ok();
    }

  •  Sercive层

        @Override
    public void sendCode(String phone, HttpSession session) {
        //校验手机号
        if (RegexUtils.isPhoneInvalid(phone)) {
            //不符合返回错误信息
            throw new PhoneNumberEcpection("手机号格式错误!");
        }
        //符合生成验证码
        String code = RandomUtil.randomNumbers(6);
        //保存验证码到对应手机号的session
        session.setAttribute(phone, code);
        //发送验证码
        log.debug("发送验证码成功:{}",code);
    }


    @Override
    public void sessionLogIn(LoginFormDTO loginForm, HttpSession session) {
        //校验手机号和验证码
        String phone = loginForm.getPhone();
        if(StrUtil.isBlank(phone)){
            throw new PhoneNumberEcpection("手机号格式错误!");
        }
        Object cacheCode = session.getAttribute(phone);
        if (cacheCode == null) {
            throw new PhoneNumberEcpection("手机号不符!");
        }
        String postCode = loginForm.getCode();
        if (postCode==null || !postCode.equals(cacheCode)){
            throw new BaseException("验证码错误!");
        }
        //查询用户是否存在
        User user = query().eq("phone", phone).one();
        if (user==null){
            user=createUser(phone);
        }
        UserDTO userDTO = new UserDTO();
        BeanUtils.copyProperties(user, userDTO);
        //保存用户信息到session中
        session.setAttribute("user", userDTO);
    }

  • 测试

我们打断点debug,在前端页面F12打开应用程序,可以看到cookie出现了JSESSIONID,并且有几个比较特殊的属性需要注意:

expires属性为“会话”,说明我们的cookie和session是会话级别的,表示该Cookie将在浏览器会话结束时过期,这意味着当用户关闭浏览器时,该Cookie会被自动删除;

HttpOnly属性是一个布尔值,当设置为true时,表示该Cookie只能通过HTTP协议访问,无法通过客户端脚本(如JavaScript)访问,防止XSS(跨站脚本攻击)攻击者通过JavaScript窃取Cookie中的信息,从而提高安全性,但在面对一些钓鱼攻击,表单劫持时还是会出现泄露的情况;

SameSite属性用于控制浏览器是否以及如何在跨站请求中发送Cookie,从而提供针对CSRF攻击的保护(跨站请求伪造),这里我们没有设置属性值则默认为所有请求都会发送cookie,这也就是CSRF风险残留问题。

关于XSS和CSRF我们在JWT令牌的应用部分再深入介绍。



在服务端可以看到JSESSIONID是服务器自动生成的sessionid



然后放行可以看到我们的信息已经全部添加到session并存储与服务器中,而随后的需要权限校验的路由将通过cookie中的JSESSIONID值去服务器进行匹配



最后我们关闭历览器再打开前端页面,发现JSESSIONID已经消失,证明确实是会话级别的

三、JWT令牌校验

1.分析

        cookie+session虽然简单易用,安全性也不错,但是仍存在局限性,一方面session自身并不适合集群下的分布式系统(见下图),另一方面在如今大前端的环境下往往需要支持浏览器、小程序、app等等,而cookie+session主要针对浏览器这种能发送和接收HTTP请求的客户端。

        如图所示当部署了tomcat集群时,nginx通过负载均衡策略将请求发送到不同服务器,假设处理登录请求的为tomcat1那么session信息会存储在该服务器,当请求到达另外两台tomcat则无法获取到session,虽然tomcat提供了session复制功能但所有服务器复制session,网络传输延迟高、内存占用大,并没有得到广泛认可。

        为了解决分布式系统问题,Token就是一个可用的方法,其具有无状态的特性,,具体工作原理是用户登录后,服务器生成一个Token,并将其返回给客户端。客户端将Token存储在本地,在每次请求中携带Token,服务器根据一定规则解析校验,这样就不用在每台服务器进行存储,天然适合分布式系统。

2.应用

        这里我们拿应用比较多的JWT(JSON Web Token)作为示例进行演示。

  • 扩展

         如上文所说,token会被存储在客户端本地,并在请求中携带,但具体怎么存储,由谁携带呢?一般的我们会根据需求直接存储于local storage 或者 session storage中,并由请求头中自带的Authorization属性携带,有时也会自定义请求头属性(如token)携带。

         

        但这并不是唯一的方式,首先直接将令牌存在storage中可能遭到XSS攻击,简单介绍下攻击场景,类似于sql注入,攻击方将一段<script>获取token</script>的js脚本放入评论区或者其他地方,在用户刷新该界面后就会获取到用户的token来伪造用户行为。

那我们可以回想到上文提到cookie设置httponly属性为true后就不能通过script获取其内容了,那么可不可以将cookie存入cookie呢?答案是可以,这样能一定程度上防止XSS攻击,但是并不能杜绝XSS的一些其他行为,比如篡改页面信息,所以我们往往还会对页面内容进行过滤,不让攻击者的<script>标签生效。

那既然存到cookie里了能不能直接让cookie携带token每次请求自动发送就好了,多方便?这就又要提到CSRF攻击了,简单引入一个场景,当用户处于登陆状态,这时候一个攻击者构造了一个点击抽奖的诈骗链接https://bank.com/transfer?amount=1000&to=attacker_account被用户点击了,此时自动cookie会随请求自动发送,token被自动带去校验。虽然我们上文提到了samesite属性能限制cookie自动发送的情形,但它在面对某些特定的请求方式(如超链接访问、form表单提交到新页面等)仍然可能绕过SameSite的限制。而每次在请求头中前端逻辑手动添加token的方式有效减小了CSRF伪造用户请求的风险。

所以在一些安全性要求较高的场景,我们可能会使用cookie存储(合理配置HttpOnly、Secure、SameSite属性),请求头携带的方式(一般使用标准化的Authorization属性)完成校验,这样攻击者既无法用XSS从cookie获取token,也无法用CSRF伪造自动携带token的请求。

  • JwtUtil

    这里提供一个别人写好的工具类,可自己根据需求修改

    import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.nio.charset.StandardCharsets;
import java.util.Date;
import java.util.Map;

public class JwtUtil {
    /**
     * 生成jwt
     * 使用Hs256算法, 私匙使用固定秘钥
     *
     * @param secretKey jwt秘钥
     * @param ttlMillis jwt过期时间(毫秒)
     * @param claims    设置的信息
     * @return
     */
    public static String createJWT(String secretKey, long ttlMillis, Map<String, Object> claims) {
        // 指定签名的时候使用的签名算法,也就是header那部分
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        // 生成JWT的时间
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        // 设置jwt的body
        JwtBuilder builder = Jwts.builder()
                // 如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                // 设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置过期时间
                .setExpiration(exp);

        return builder.compact();
    }

    /**
     * Token解密
     *
     * @param secretKey jwt秘钥 此秘钥一定要保留好在服务端, 不能暴露出去, 否则sign就可以被伪造, 如果对接多个客户端建议改造成多个
     * @param token     加密后的token
     * @return
     */
    public static Claims parseJWT(String secretKey, String token) {
        // 得到DefaultJwtParser
        Claims claims = Jwts.parser()
                // 设置签名的秘钥
                .setSigningKey(secretKey.getBytes(StandardCharsets.UTF_8))
                // 设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims;
    }

}

        接下来我们来尝试在cookie中存储token再通过请求头携带自定义token属性的方式完成校验,需要注意的是如果我们在生产环境中用这种方式必须配置上文介绍的HttpOnly、Secure、SameSite属性来增加安全性,这里为了省事我就不配置了。

  • Controller

        @PostMapping("/login")
    @ApiOperation(value = "员工登录")
    public Result<EmployeeLoginVO> login(@RequestBody EmployeeLoginDTO employeeLoginDTO) {
        log.info("员工登录:{}", employeeLoginDTO);

        Employee employee = employeeService.login(employeeLoginDTO);

        //登录成功后,生成jwt令牌
        Map<String, Object> claims = new HashMap<>();
        claims.put(JwtClaimsConstant.EMP_ID, employee.getId());
        String token = JwtUtil.createJWT(
                jwtProperties.getAdminSecretKey(),
                jwtProperties.getAdminTtl(),
                claims);

        EmployeeLoginVO employeeLoginVO = EmployeeLoginVO.builder()
                .id(employee.getId())
                .userName(employee.getUsername())
                .name(employee.getName())
                .token(token)
                .build();
        //VO中返回token
        return Result.success(employeeLoginVO);
    }

  •  Service

        /**
     * 员工登录
     *
     * @param employeeLoginDTO
     * @return
     */
    public Employee login(EmployeeLoginDTO employeeLoginDTO) {
        String username = employeeLoginDTO.getUsername();
        String password = employeeLoginDTO.getPassword();

        //1、根据用户名查询数据库中的数据
        Employee employee = employeeMapper.getByUsername(username);

        //2、处理各种异常情况(用户名不存在、密码不对、账号被锁定)
        if (employee == null) {
            //账号不存在
            throw new AccountNotFoundException(MessageConstant.ACCOUNT_NOT_FOUND);
        }

        //密码比对
        password=DigestUtils.md5DigestAsHex(password.getBytes());
        if (!password.equals(employee.getPassword())) {
            //密码错误
            throw new PasswordErrorException(MessageConstant.PASSWORD_ERROR);
        }

        if (employee.getStatus() == StatusConstant.DISABLE) {
            //账号被锁定
            throw new AccountLockedException(MessageConstant.ACCOUNT_LOCKED);
        }

        //3、返回实体对象
        return employee;
    }

  •  测试

         同上文测试方式一样,可以看到我们成功在cookie中储存了token,注意我标红的三个属性,应用时用来降低XSS、CSRF风险,并限制https

        我们可以看到请求头中已经携带了我们自定义的Token,但是因为我们没做samesite属性限制,cookie同样自动发送了,这就是CSFR风险残留问题

四、 Redis+token

1.分析

        最后我们介绍另一种在分布式系统中代替session的校验方式,码字码的有点累了后面我就简单说了,还记得上面那个tomcat集群示意图吧,在多台tomcat间复制session性能较差,但是我们可以在独立于tomcat集群的redis中进行token存储,工作原理就是服务器生成token存储于redis并返回客户端,客户端通过请求头携带到服务器,服务器从redis获取token进行校验。

        这次存储呢我们就演示一下Storage,顺带再提一下存在localstorage和sessionstorage的区别,将Token存储在sessionStorage中,关闭标签页或浏览器后,Token会失效,这是因为sessionStorage的数据仅在会话期间有效,关闭标签页或浏览器后数据会被清除,而localstorage中的token关闭浏览器并不会被清楚,一般会在服务器设置的过期时间后失效,根据这些特性我们也能做一些其他发挥。

2.应用

  • Controller

         /**
     * 登录功能
     * @param loginForm 登录参数,包含手机号、验证码;或者手机号、密码
     */
    @PostMapping("/login")
    public Result login(@RequestBody LoginFormDTO loginForm){
        // 实现登录功能
        String token=userService.logIn(loginForm);
        return Result.ok(token);
    }

  • Service

        @Override
    public void sendCode(String phone) {
        //校验手机号
        if (RegexUtils.isPhoneInvalid(phone)) {
            //不符合返回错误信息
            throw new PhoneNumberEcpection("手机号格式错误!");
        }
        //符合生成验证码
        String code = RandomUtil.randomNumbers(6);
        //保存验证码到redis
        stringRedisTemplate.opsForValue().set(RedisConstants.LOGIN_CODE_KEY +phone,code,RedisConstants.LOGIN_CODE_TTL, TimeUnit.MINUTES);
        //发送验证码
        log.debug("发送验证码成功:{}",code);
    }

    @Override
    public String logIn(LoginFormDTO loginForm) {
        //校验手机号和验证码
        String phone = loginForm.getPhone();
        if(StrUtil.isBlank(phone)){
            throw new PhoneNumberEcpection("手机号格式错误!");
        }
        String cacheCode = stringRedisTemplate.opsForValue().get(RedisConstants.LOGIN_CODE_KEY + phone);
        String postCode = loginForm.getCode();
        if (postCode==null || !postCode.equals(cacheCode)){
            throw new BaseException("验证码错误!");
        }
        //查询用户是否存在
        User user = query().eq("phone", phone).one();
        if (user==null){
            user=createUser(phone);
        }
        UserDTO userDTO = new UserDTO();
        BeanUtils.copyProperties(user, userDTO);
        HashMap<String, String> userMap = new HashMap<>();
        userMap.put("nickName",userDTO.getNickName());
        userMap.put("icon",userDTO.getIcon());
        userMap.put("id",userDTO.getId().toString());
        //保存用户信息到redis
        String token = UUID.randomUUID().toString();
        String tokenKey = RedisConstants.LOGIN_USER_KEY + token;
        stringRedisTemplate.opsForHash().putAll(tokenKey,userMap);
        stringRedisTemplate.expire(tokenKey,60,TimeUnit.MINUTES);
        return token;
    }
    拦截器校验和token刷新大家自己写一写,这里我就不一点点粘了

  • 测试 

同样的测试方式,我们登录,可以看到前端将返回的token存储在sessionstorage

服务器将token存到了redis

        最后补充一下,文章里我并没有做分布式的负载均衡测试,并不复杂,大家可以自行尝试,本篇文章到这里就正式结束了,如果存在问题,欢迎大家留言指正,感谢阅读!

东山-CDS
关注
Session验证用户登录的大致过程
weixin_34023982的博客
01-11 8575
2019独角兽企业重金招聘Python工程师标准>>> ...
SessionCookieToken的区别
jishuxhengjiu的博客
05-23 905
CookieSession是存储在客户端和服务端的认证方式,用于记录用户的身份信息和会话信息。Token是一种服务端无状态的认证方式,通常代表一小段字符串,可以存储到cookie里,遂请求一起发过去,也可以存在服务器中。CookieSessionSession+Cookie的组合方式,用于在第一次请求时服务器生成一个信物,并要求客户端也定一个信物。Token是一种基于临时证书签名的认证方式,适用于REST API的场景。
常用的认证机制之session认证和token认证
python全栈
08-13 4664
一、session认证 1、session认证的过程: 前端输入用户名和密码进行登录操作,后端拿到用户名和密码后,会把md5进行加密,加密之后,拿上加密后的密文到用户表中查找密文是否一致,判断用户是否存在,如果用户存在,则认证通过;认证成功后后端会生成session_id(后端会话当中的一个键,表中的一个key值),将session_id默认保存在会话表,当这条数据一旦记录完之后,会将session_key数据作为session_id放到响应头的set-cookie字段中; 浏览器接下来的操作为:将响应头中
Session 认证和Token 认证
abc_138的博客
01-02 1377
概念:JWT 全称 JSON Web Token,是一种基于 Token 的认证授权机制。可以生成 token,也可以解析验证 token。官网地址先看看官网上 JWT 的具体样式基于 session 和基于 Token 认证方式,本质上没有什么区别,都是对用户身份的认证机制,只是在使用过程中校验的方式不同,各有优缺点,不能说哪个好哪个不好,要根据实际需求选择响应的方式,后续会有文章实现基于 token 的方式去实现用户登录访问控制。改变你能改变的,接受你不能改变的,关注我,一起成长,共同进步。
JavaScript系列—cookie,session,token
jiaojsun的博客
07-04 1285
前言 之前整理过cookie,session,token,但发现还是云里雾里,今天读了几篇经典的文章,彻底的弄清楚这个东西。 首先我们需要知道,这三个东西的为了解决什么问题 HTTP是一种无状态的协议,而服务器端的业务必须是要有状态的, 为了分辨链接是谁发起的,需自己去解决这个问题。不然有些情况下即使是同一个网站每打开一个页面或者 APP 每次进入也都要登录一下。 而 Session 、...
Shiro - 关于session
dengtangu7674的博客
12-01 564
Shiro Session session管理可以说是Shiro的一大卖点。 Shiro可以为任何应用(从简单的命令行程序还是手机应用再到大型企业应用)提供会话解决方案。 在Shiro出现之前,如果我们想让你的应用支持session,我们通常会依赖web容器或者使用EJB的Session Bean。 Shiro对session的支持更加易用,而且他可以在任何应用、任...
登录校验session、redis、token
m0_74071853的博客
02-22 740
localstorage用于在客户端长期存储信息,可存入token信息,用于登录状态的校验校验还是服务器去做的)。用户每次打开浏览器,它都不会消失。然而,其安全性较低。
Cookie & Session & Token
gc_charl的博客
05-29 919
Cookie & Session & Token Cookie: 理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。 而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。(例:用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了)
Cookie Session Token 与 JWT 解析
weixin_45898624的博客
06-25 1319
登录功能的解析
登录校验(会话跟踪(CookieSession、JWT令牌)、统一拦截技术(过滤器Filter、拦截器Interceptor)、全局异常拦截)
m0_63839619的博客
07-20 842
什么是会话?在我们日常生活当中,会话指的就是谈话、交谈。在web开发当中,会话指的就是浏览器与服务器之间的一次连接,我们就称为一次会话。在用户打开浏览器第一次访问服务器的时候,这个会话就建立了,直到有任何一方断开连接,此时会话就结束了。在一次会话当中,是可以包含多次请求和响应的。同一个浏览器在未关闭之前请求了多次服务器,这多次请求是属于同一个会话。什么是会话跟踪?一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。为什么要共享数据呢?
利用Session验证是否用户登录
08-14
利用Session验证用户登录,及Session的一些常见用法
Session案例:登录页面验证验证
匿名攻城狮
12-21 3151
一、验证验证码本质上是一张图片,图片内容会随着程序的运行而随机生成 验证码的作用:防止应用恶意发送数据,一定程度上避免了恶意程序对网站的攻击。 验证码本质上是一张图片,图片内容的准确解析不容易用程序来实现。 验证码的绘制:绘制验证码图片不仅仅需要随机生成要绘制的内容,同时要配合Java中与绘图有关的一套API来完成。 二、给出完整代码 ...
js使用sessionStorage、cookie保存token
热门推荐
qq_34309704的博客
06-04 3万+
  本文是参考别人的博客写的,图片直接用的别人的 1、Tokentoken是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token便应运而生了。 2、使用token的目的:token的目的是为了减轻服务器的压力,减少频繁的查询数据库。 3、在前端请求后台的API接口的时候,为了安全性,一般需要再用...
利用Session验证是否登陆
BearDie的博客
09-26 2151
自定义过滤器,当用户没有登录时,来访问就会跳转到登录页面,有利于后台数据的安全性  package com.hzit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; imp...
sessiontoken实现用户认证的异同
christwei的博客
04-20 3920
现在貌似大多数网站用户认证都是基于 session 的,即在服务端生成用户相关的 session 数据,而发给客户端 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户认证。这种认证方式,可以更好的在服务端对会话进行控制,安全性比较高(session_id 随机),但是服务端需要存储 ses...
传统的session认证以及其缺点
oqqaKun1的博客
06-12 2568
定义:http协议是一无状态协议,所以如果用户向后台应用提供了用户名和密码来进行认证,下一次请求时,用户还是要带上用户名和密码进行用户认证。为了使后台应用能识别是哪个用户发出的请求,只能在后台服务器存储一份用户登陆信息,这份信息也会在响应前端请求时返回给浏览器(前端),前端将其保存为cookie,下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自哪个用户了,这就是传统的session认...
Express + Session 实现登录验证
weixin_34162629的博客
09-08 477
1. 写在前面 当我们登录了一个网站,在没有退出登录的情况下,我们关闭了这个网站 ,过一段时间,再次打开这个网站,依然还会是登录状态。这是因为,当我们登录了一个网站,服务器会保存我们的登录状态,直到我们退出登录,或者保存的登录状态过期。那服务器是通过什么存储我们的登录状态的呢? 答案就是 Session ,服务通过 Session 能够记录每个客户端连接的状态。关于 Session 的原理,在这就...
js如何获取cookiesession里面的token
LJH950908的博客
10-23 7473
首先cookie 网上找的很多document获取的cookie都是假货,根本获取不到。 获取cookie需要导入 一个js.cookie.js文件。 文件地址点击此链接 引入<script src="static/js/js.cookie.js"></script> 获取cookie 数组:var arr=Cookies.get(); 获取具体cookie :...
cookiesessiontoken区别
最新发布
03-09
### CookieSessionToken 的区别 #### 定义与工作原理 Cookie 是一种小型文本文件,由服务器发送给浏览器并存储于用户的设备上。当用户再次访问同一网站时,浏览器会将这些 Cookies 发送回服务器[^1]。 Session 是一种用于跟踪用户状态的技术,在服务端创建唯一的标识符并与特定用户关联起来。每次HTTP请求都通过该唯一ID来识别属于哪个用户的交互过程[^2]。 Token 则是一种自包含的字符串形式的身份验证凭证,通常采用 JSON Web Tokens (JWT) 格式编码而成。它包含了关于用户的信息以及签名部分以确保其真实性。客户端可以在本地(如浏览器中的 `localStorage` 或者作为 HTTP 请求头的一部分)保存此令牌,并随后续请求一起提交给 API 接口进行权限校验[^3]。 #### 存储位置 Cookies 被存放在客户端机器上的浏览器环境中;Sessions 数据则主要位于服务器一侧;而Tokens既可以被放置在前端应用内部也可以嵌入到API调用里去。 #### 使用场景 对于传统的Web应用程序来说,如果前后端部署在同一台物理机或者同一个域名之下,则可以考虑使用 Sessions 来管理登录态和其他临时性的个人信息。然而随着现代互联网架构的发展趋势向微服务体系迈进,分布式部署变得越来越普遍,此时利用无状态特性的 Tokens 就显得尤为重要了——它们不仅能够跨越多个子域甚至完全独立的服务之间传递认证信息,而且减少了对共享内存资源的需求从而提高了系统的可伸缩性和性能表现。 #### 安全特性对比 由于 Sessions 需要依赖于服务器端维护的状态信息,因此容易受到诸如 CSRF 攻击的影响。相比之下,基于 Token 的身份验证方案更加灵活且具备更强的安全保障措施,比如可以通过设置较短的有效期来降低泄露风险,同时支持刷新机制以便长期保持有效连接而不必频繁重新输入密码等敏感资料。 ```python import jwt def create_token(user_id, secret_key): payload = { 'user_id': user_id, 'exp': datetime.utcnow() + timedelta(days=7), # 设置过期时间 } token = jwt.encode(payload, secret_key, algorithm='HS256') return token.decode('utf-8') # Python3 中返回的是bytes类型数据,需解码成str ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值