一文彻底搞懂cookie、session、token

最新推荐文章于 2024-07-23 22:24:07 发布
最新推荐文章于 2024-07-23 22:24:07 发布
阅读量660 收藏 1
点赞数 2
分类专栏: 网络 文章标签: 服务器 网络 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BaiXuePrincess/article/details/128352665
版权

1.Cookie

Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,实际上Cookie是服务器在本地机器上存储的一小段文本,并随着每次请求发送到服务器。

Cookie技术通过请求和响应报文中写入Cookie信息来控制客户端的状态。

Cookie会根据响应报文里的一个叫做Set-Cookie的首部字段信息,通知客户端保存Cookie。当下客户端再向服务端发起请求时,客户端会自动在请求报文中加入Cookie值之后发送出去。

之后服务端发现客户端发送过来的Cookie后,会检查是哪个客户端发送过来的请求,然后对服务器上的记录,最后得到了之前的状态信息。

在这里插入图片描述

2.Session

1.客户端把信息放入报文的实体部分,通常是以POST 方法把请求发送给服务器。

2.服务器会发放用以识别用户的Session ID。通过验证从客户端发送过来的信息进行验证,然后把用户的认证状态与Session ID 绑定后记录在服务器端。向客户端返回响应时,会在首部字段Set-Cookie 内写入Session ID(如PHPSESSID=l128ogl…)。你可以把Session ID 想象成一种用以区分不同用户的唯一Id。

3.客户端接收到从服务器端发来的Session ID 后,会将其作为Cookie 保存在本地。下次向服务器发送请求时,浏览器会自动发送Cookie,所以Session ID 也随之发送到服务器。服务器端可通过验证接收到的Session ID 验证状态。

在这里插入图片描述

3.Cookie与Session的区别

1.cookie数据存放在客户的浏览器(客户端)上,session数据放在服务器上,但是服务端的session的实现对客户端的cookie有依赖关系的;

2.cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session;

3.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。考虑到减轻服务器性能方面,应当使用COOKIE;

4.单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能超过3K;

4.Token

token 也称作令牌,由uid+time+sign[+固定参数],token一般用于登录验证。

token 的认证方式类似于临时的证书签名, 并且是一种服务端无状态的认证方式, 非常适合于 REST API 的场景. 所谓无状态就是服务端并不会保存身份认证相关的数据。

存放

token在客户端一般存放于localStorage,cookie,或sessionStorage中。在服务器一般存于数据库中。

token认证流程

用户登录,成功后服务器返回Token给客户端;

客户端收到数据后保存在客户端;

客户端再次访问服务器,将token放入headers中;

服务器端采用filter过滤器校验。校验成功则返回请求数据,校验失败则返回错误码。

BaiXuePrincess
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
一篇带你搞懂SessionToken的区别,大数据时代下为什么会产生token
qq_53999369的博客
07-10 3640
因为网络http是,这样就无法确定你的本次请求和上次请求是不是一个人发送的,所有需要session来验证信息。 浏览器第一次访问服务器服务器会创建一个session,同时为该session生成一个唯一的会话,也就是。然后将sessionid及对应的session分别作为保存到缓存中,也可以持久化到数据库或者redis中。浏览器下次在访问时,会带着cookie中的sessionid,然后服务器根据sessionid找到对应的session进行匹配。 首先,session的存储是需要空间的
Cookietoken的区别
m0_45309753的博客
03-25 3984
文章目录前言一、基于cookie的身份验证二、基于token的身份验证 前言 HTTP是一种“无状态”协议,它的每个请求都是完全独立的,每个请求中包含了处理这个请求所需的完整的数据,发送请求不会涉及到状态变更。 举个例子:你第一次去A店买了苹果,然后你第二次去买苹果时你和老板说我上次来过,能便宜点不,他说他不认识你,并且无论你去他那买多少次苹果他都不认识你。他只知道有人来买过苹果,具体是谁他不知道。 所以在浏览器向服务端请求数据的过程中就延伸出一种严重的问题–数据泄露,许多Web应用程序的安全和正常运行都
Cookie
cxyYeChen的博客
04-01 914
文章目录Cookie概念快速入门Cookie的特点和作用案例(十天内免登陆) Cookie 概念 Cookie是客户端会话技术,将数据保存到客户端。默认情况下:只要浏览器不关闭,用户再次发送请求的时候,会自动将运行内存中的cookie发送给服务器cookie保存方式 可以保存在运行内存中。(浏览器只要关闭cookie就消失了。) 可以保存在客户端硬盘文件中。(设置保存时间) 快速入门 使用步骤: 创建Cookie对象,绑定数据 new Cookie(String name, Strin
Cookie基础
yuluo的博客
03-20 1363
Cookie基础 cookie介绍 session的实现原理中,每一个session对象都会关联一个sessionid。例如 JSESSIONID=53484JDFFJ9549N 以上这个键值对数据其实就是cookie对象 对于session关联的cookie来说,这个cookie是被保存到“浏览器的运行内存当中” 只要浏览器不关闭,用户再次发送请求时,会自动将运行内存中的cookie发送给服务器 服务器就是根据53484JDFFJ9549N来找到对应的session对象的 cookie怎么生成,保存到
前端面试题:Token一般是存放在哪里 Token放在cookie和放在localStorage、sessionStorage中有什么不同
m0_54854317的博客
03-06 9548
Token其实就是访问资源的凭证。 一般是用户通过用户名和密码登录成功之后,服务器将登陆凭证做数字签名,加密之后得到的字符串作为token。 它在用户登录成功之后会返回给客户端,客户端主要有这么几种存储方式: 1.存储在localStorage 中,每次调用接口的时候都把它当成一个字段传给后台。 2.存储在cookie 中,让它自动发送,不过缺点就是不能跨域。 3拿到之后存储在localStorage中,每次调用接口的时候放在HTTP请求头的Authorization字段里所以token在客户端一般存..
Token一般存放在哪里
wufaqidong1的博客
08-15 1万+
CSRF:跨站请求伪造,简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如:发邮件、发信息、甚至财产操作如转账和购买商品)。这利用了web中用户身份验证的一个漏洞:简单的身份验证职能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出去的。这些类型的XSS攻击可以得到每个人的Web存储来访问你的网站。支持localStorage的一派则认为:撇开localStorage的各种优点不谈,如果做好适当的XSS防护,收益是远大于风险的。...
一文详解CookieSession以及浏览器与CookieSession的底层联系
lin1151211427的博客
04-03 1170
Cookie: 翻译过来就是饼干的意思 Cookie服务器用于保存键值对的一种技术,保存的是一段文本信息。 客户端有了Cookie之后,每次请求都会发送给服务器 每个Cookie的大小不能超过4KB 创建Cookie Cookie cookie = new Cookie (“key”,“Value”); resp.addCookie(Cookie); 服务器获取Cookie req.getCookies(); //这里获取的其实是一个Cookie数组 获取的是以一个Cookie数组,但是并不是相对
cookie / 服务端cookies / 本地客户端cookies
kino2046的博客
03-18 312
cookie cookie是http协议下,服务端或者脚本可以维护客户端信息的一种方式。 koa中cookie的使用 1.储存cookie的值 ctx.cookies.set(name,value,[options]) 2.获取cookie的值 ctx.cookies...
一文彻底弄懂CookieSessionToken
初念初恋的博客
07-09 915
Cookie翻译成中文的意思是‘小甜饼’,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
一文彻底理解 CookieSessionToken
ceshiren_com的博客
05-07 94
很久很久以前,Web 基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的 HTTP 协议,就是请求加响应,尤其是我不用记住是谁刚刚发了 HTTP 请求,每个请求对我来说都是全新的。这段时间很嗨皮。 但是随着交互式 Web 应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战,因为 HTTP 请求是无状态的
一文彻底弄懂cookiesessiontoken
油墨香^-^的博客
07-05 107
作为一个JAVA开发,之前有好几次出去面试,面试官都问我,JAVAWeb掌握的怎么样,我当时就不知道怎么回答,Web,日常开发中用的是什么?今天我们来说说JAVAWeb最应该掌握的三个内容。1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,
js使用sessionStorage、cookie保存token
热门推荐
qq_34309704的博客
06-04 3万+
  本文是参考别人的博客写的,图片直接用的别人的 1、Tokentoken是客户端频繁向服务器端请求数据,服务器频繁的去数据库查询用户名和密码进行对比,判断用户名和密码正确与否,并作出相应的提示,在这样的背景下,token便应运而生了。 2、使用token的目的:token的目的是为了减轻服务器的压力,减少频繁的查询数据库。 3、在前端请求后台的API接口的时候,为了安全性,一般需要再用...
理解Session,Token,Cookie,sessionStorage,localStorage
三枪八路的博客
10-09 656
理解Session,Token,Cookie,sessionStorage,localStorage无验证Web Server单进程Web Server 的 Session验证模式集群Web Server 的 Session验证模式Token验证模式Cookie的作用Web Storage作为Cookie的替代品sessionStorage应用场景localStorage应用场景Token &am...
两台低功耗服务器存档
最新发布
skywalk8163的专栏
07-23 508
两台都是J1900 四核芯片,当前1号机内存8G,2号机内存4G后将2号机内存升为8G,使用的协德牌子的内存。
客户端与服务器通讯详解(5):安全威胁与应对策略
贝格前端工场的博客
07-23 271
在进行客户端与服务器通讯的时候,要时刻防范安全威胁,后端有一句名言“永远不要相信用户在前端的输入”,就是说客户端和服务器之间通讯,必须有严密的规则。
pageoffice常见问题处理
每天学习一点点
07-23 388
3. 个别客户端电脑office有问题: 电脑上安装或更新一些与office相关的软件时,office的公共运行库被替换为老版本或新版本等;个别文件有问题:比方文件是用POI或其他程序生成的,或者比方说有的客户端电脑安装的wps,有的安装的office,操作了同一个文件,由于wps和office软件的兼容问题造成的.问题描述: 电脑关机重启后,pageoffice打开报告提示安装pageoffice,安装后再次打开报告,还提示需要安装pageoffice。或者安装WPS,WPS没有这个问题。
scp 服务器复制命令
nbsaas-boot基于Request-Response的企业级快速开发框架
07-23 148
2. 密钥生成后会在 /root/.ssh/ 文件夹下产生两个文件 id_rsa id_rsa.pub。3. 再此拷文件到 152.136.121.24 服务器时就不用输入密码。将 id_rsa.pub 文件复制到 152.136.121.24。(1) 将本地文件拷贝到远程。(2) 从远程将文件拷回本地。(1) 将本地目录拷贝到远程。(2) 从远程将目录拷回本地。
服务器CPU满载——基本解决过程
一只不知疲倦的学习猿
07-23 131
入侵检测
cookie session token区别
06-28
### 回答1: CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对数据,在用户的不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名和密码等。 Session Token 是在用户登录时在服务器端创建,并在用户与服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结,Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性和隐私性。在理解三者的区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份和记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性和隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份和权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户的浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者的区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性和使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端与服务端的交互;Session更注重用户身份的鉴别与用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域和分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证和信息存储方式,它们之间最大的不同在于其存储的位置和方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie在用户登录后会保存用户名、密码和一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同于CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息和身份的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BaiXuePrincess

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值