浅析Session、Cookie、Token原理与区别

已于 2022-03-07 16:47:47 修改
阅读量409 收藏 3
点赞数
分类专栏: WEB渗透 文章标签: session cookie token
于 2021-02-03 12:58:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Captain_RB/article/details/113461181
版权

HTTP是无状态协议,为安全有效验证登录,记录用户登录状态,目前采用的验证机制主要有Session、Cookie和Token,三种机制互有利弊,文章简要分析三种机制的基本原理和特点,对比区别与联系。

文章目录

1.Cookie

  • 基本描述
    由客户端浏览器保存在本地的一些数据,用来保存由服务器指定的用户信息。用户在访问服务器后,由服务器在响应包中通过HTTP头Set-Cookie返回Cookie内容及限制条件,之后客户端再次访问时,携带相应的Cookie完成认证。

  • 存储内容
    NAME=VALUE键值对形式存储,包括用户数据、过期时间、路径、域名等信息,也可以包括SessionID和Token。

  • 存储位置
    由客户端浏览器保存在本地

  • 有效时间
    会话Cookie:如果不设置过期时间,则Cookie在会话结束后 (关闭浏览器) 销毁;
    持久化Cookie:直到Set-Cookie头设置的过期时间Cookie才销毁,可以设置很长时间 (几十年、几百年)。

  • 认证方式
    在HTTP请求的Cookie头中携带相应信息

  • 优点
    ① 用户信息保存在客户端本地,不占用服务器存储资源;
    ② 父域可以与子域共享Cookie,比如访问a.xx.com站点,请求中会携带xx.com域的Cookie;
    ③ 可根据访问URL路径使用不同的Cookie,比如设置path=/device,则路径中包括/device的请求才会携带该Cookie。

  • 缺点
    ① 以文本的形式保存在本地,安全性较差;
    ② 数目限制(一般是50个),大小受限(一般是4096字节);
    ③ 并发访问量大时,服务端占用带宽多;
    ④ 需要客户端浏览器支持,移动端APP不适用;
    ⑤ 基于Cookie的认证方式容易遭受CSRF攻击。

2.Session

  • 基本描述
    在服务端保存的一种数据结构,用来保存用户信息。用户在访问服务器时,服务器为用户生成唯一的用户标识 (SessionID)并返回客户端,同时在服务端保存一份SessionID对应的用户数据,之后用户再次访问时,服务器通过请求中携带的SessionID匹配记录中对应的用户信息,完成认证。

  • 存储内容
    SessionID相对应的数据结构存储着用户信息,包括账户密码等隐私数据。

  • 存储位置
    服务器存储着完整的数据结构信息,可以存储在内存(sessionStorage)、数据库(localStorage)等位置;
    客户端只保存SessionID,通常在Cookie中保存,也可以在内存(sessionStorage)、数据库(localStorage)中存储。

  • 有效时间
    一般在会话结束后 (退出登录或关闭浏览器) Session即失效,即便设置失效时间,为缓解服务器存储开销,一般也会比较短暂,一般为30分钟。

  • 认证方式
    ① 基于Cookie信息,在HTTP请求的Cookie头中携带;
    ② 基于URL重写,不同的后台语言携带Session的方式不同,比如:
    jsp --> http://www.a.com/login.jsp;JSESSIONID=1?ie=utf-8&f=8
    php --> http://www.a.com/login.jsp?PHPSESSID=1&ie=utf-8&f=8

  • 优点
    存储在服务器上,对用户是透明的,可以较好保证数据安全。

  • 缺点
    ① 并发访问量大时,对服务器存储资源造成较大压力;
    ② 对于分布式服务器集群,存储信息难以共享;
    ③ 一般基于Cookie实现,存在CSRF风险;
    ④ 不可跨域,Session仅在所属域有效。

3.Token

  • 基本描述
    由服务端生成的一串字符串,作为用户请求服务时的令牌。在用户登录后,服务器对用户标识、生效时间、时间戳等信息使用HASH算法及密钥进行签名,并将这个签名和信息一起作为Token返回给客户端,之后用户每次访问服务器时携带Token进行验证,服务器获得请求后会再次用相同算法计算Token,通过对比进行验证。

  • 存储内容
    包括用户标识、生效时间、时间戳等信息以及对这些信息的签名

  • 存储位置
    客户端,通常存储在Cookie中,也可以存储在内存 (sessionStorage)、数据库 (localStorage) 等位置。

  • 有效时间
    根据应用场景灵活设置,一般为7天,若存储在sessionStorage中,则会话结束 (关闭浏览器) 时Token即失效。

  • 认证方式
    ① 基于Cookie信息,在HTTP请求的Cookie头中携带;
    ② 在HTTP请求头中携带,如:X-TokenAuthorization
    ④ 在HTTP请求的body中携带;
    ③ 通过URL拼接参数携带。

  • 优点
    ① 服务端无需存储用户信息,相当于用CPU开销换取了存储开销;
    ② 无状态,扩展性强,可以跨域访问;
    ③ 不依赖浏览器,支持移动端APP;
    ④ 因为只有前端页面才能获取到当前会话保存的Token (比如js通过接口获取),而CSRF无法控制用户前端,恶意链接发送的请求中无法获取Token,因此能够有效防止CSRF。

  • 缺点
    ① 并发访问量大时,占用服务器CPU资源;
    ② 无法在服务端注销,难以解决劫持问题。

Captain_RB
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
cookietoken区别
u012963112的博客
04-29 5760
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
CookieToken区别
a2986467829的博客
06-27 6640
说到 cookietoken 应该没有人不知道的吧,而如果说让大家说出 cookietoken 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关的基础知识,给自己充充电吧!!!!Cookie ...
Cookie Session Token讲解及用法
最新发布
weixin_59915237的博客
08-07 3331
Cookie Session Token讲解及用法
Cookiesessiontoken区别tokensession对比选型)
热门推荐
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
tokensessioncookie详解以及应用原理
m0_61355190的博客
07-26 6019
理解cookiesessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。httpshttpshttpshttps。...
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
Java接口测试Cookietoken原理解析
08-19
主要介绍了Java接口测试Cookietoken原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
tokencookie区别
标准都是留给不爱的人,爱的本质是自由意志的沉沦
07-13 1332
总而言之,TokenCookie 在身份验证和授权方面都有其特定的用途和优势。选择使用哪种机制取决于具体的应用场景和安全需求。
网络请求中,cookietoken区别
Java搜索工程技术栈
06-19 1924
在平常开发中,用于用户登录校验的方法可以分为cookietoken,这两者比平常开发都有用到,那区别是什么,原先我觉得用户登录是后台的事不必多了解,用多了以后就开始好奇,为什么有些项目用cookie 有些用token?cookie之前在做存储区别的时候有说过,大小只有4kb, 往返于客户端和服务端之间。在用户校验过程中,主要还是和服务端的session配合使用。大概的使用流程是,用户请求登录接口,服务端进行用户校验,校验通过则把用户信息储存在服务端的session当中,并通过set-cookie把user
sessioncookietoken究竟是什么,一文搞懂!
酷奇的博客
02-23 609
session存储于服务器,可以理解为一个状态列表,拥有一个唯一识别符号sessionId,通常存放于cookie中。服务器收到cookie后解析出sessionId,再去session列表中查找,才能找到相应session。依赖cookiecookie类似一个令牌,装有sessionId,存储在客户端,浏览器通常会自动添加。token也类似一个令牌,无状态,用户信息都被加密到token中,服务器收到token后解密就可知道是哪个用户。需要开发者手动添加。jwt只是一个跨域认证的方案。
【解决】在Chrome浏览器Cookies内,给项目手动添加token,会报红且无法保存
huangfuyk.的博客
03-05 4466
问题: 在Chrome浏览器Cookies内给项目手动添加token时,发现无法添加成功,示例如下: 解决: 打开Chrome浏览器,访问地址chrome://flags,然后搜索Partitioned 将Partitioned cookies设置项改为Enabled 右下角一键或手动重启浏览器,使更改生效 ...
Token的使用
zyy151007的博客
03-21 1660
5.服务端收到请求,然后去验证客户端请求里面带着token,如果验证成功,就向客户端返回请求的数据,如果验证失败就返回。2.验证成功后,服务端会签发一个token,再把这个token发送给客户端。验证token是否过期并规定哪些路由不需要验证 (具体代码下面会写)4.客户端每次向服务端请求资源的时候需要带着服务器签发的token。定义生成token和获取token的函数。再次向服务端发送请求时携带token。验证token的方法verify。生成token的方法sign。作用:生成token与验证。
loadrunner获取设置全局token
Krystal_RonghuiLi的博客
08-14 1130
loadrunner获取token并用于其他请求 设置抓取的最大长度 web_set_max_html_param_len("999999"); 设置关联函数抓取token,LB 设置左边界,RB设置右边界 web_reg_save_param("Auth","LB=Authorization: ","RB=\r\n","Search=All",LAST); 输出抓取的内容, lr_output_message(lr_eval_string("{Auth}")); 将token设置作用于脚本中的全部的
谷歌浏览器运行项目报错Uncaught SyntaxError: Unexpected token ‘ .‘
你的阿迁
12-19 2056
运行项目报错 (项目正常启动,但是在浏览器打开后报该错误)测试了好多方法都没有解决,最后想的更换浏览器测试(测试成功)解决方法:谷歌浏览器问题(可能是版本问题) 重新下载安装谷歌浏览器 即可。
cookietoken区别
qq_54247497的博客
06-28 1410
cookietoken区别cookietoken的共同点都是用来判断用户是否“已登录”,至于判断具体是哪个用户,服务器的做法不一样
CookieToken区别
小男孩tom的博客
11-23 1万+
两者的共同点都是用来判断用户是否“已登录”,至于判断具体是哪个用户,服务器的做法不一样: Cookie 验证是服务器在用户登录时生成 用户唯一标识 即 Sessionid 并以映射表的形式保存在该台服务器的内存上(一般做法,也可以保存在其他地方),接着将该 Sessionid 通过 set-cookie 头部传给客户端浏览器保存到 cookie,下次 同源请求 浏览器会自动带上 Sessionid 给服务器,服务器再去查对应的用户 id。 Token 验证是服务器在用户登录时使用 密钥 对用户信息进
cookiesessiontoken区别
04-07
CookieSessionToken都是用来在Web应用中跟踪用户身份的方式,但它们之间有一些区别: 1. Cookie是存储在客户端的一小段文本,存储在浏览器中,可以设置过期时间。Session是存储在服务器上的数据,用于存储用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值