Cookie、Session、Token、JWT区别

最新推荐文章于 2024-07-19 14:40:55 发布
最新推荐文章于 2024-07-19 14:40:55 发布
阅读量116 收藏
点赞数
分类专栏: 计算机网络基础 文章标签: 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DZQ1223/article/details/129562626
版权

目录

1. 什么是Cookie?

● HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。
● cookie 存储在客户端:cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
● cookie 是不可跨域的:每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。

2. 什么是 Session?

● session 是另一种记录服务器和客户端会话状态的机制
● session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中
● session认证流程:
1)用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的session;
2)请求返回时将此session的唯一标识信息sessionId返回给浏览器;
3)浏览器接受到服务器返回的sessionId信息后,会将此信息存入到cookie中,同时cookie记录此sessionId属于哪个域名;
4)当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在cookie信息,如果存在自动将cookie信息也发送给服务器,服务器会从cookie中获取sessionId,再根据sessionId查找对应的session信息,如果没有找到说明用户没有登录或者登录失效,如果找到session证明用户登录可执行后面操作。
根据以上流程可知,SessionID 是连接 Cookie 和 Session 的一道桥梁,大部分系统也是根据此原理来验证用户登录状态。

3. 什么是 Token(令牌)?

● 访问资源接口(API)时所需要的资源凭证;
● 简单token的组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串)
● 特点:
  1)服务器无状态化、可扩展性好;
  2)支持移动端设备
  3)安全
  4)支持跨程序调用
● token的身份验证流程
1)客户端使用用户名和密码请求登录;
2)服务端收到请求,去验证用户名与密码;
3)验证成功后,服务器会签发一个token,并把这个token发送给客户端;
4)客户端收到token后,会把它存储起来,比如放在cookie或者localStorage里;
5)客户端每次向服务器请求资源的时候就会带着服务端签发的token
6)服务端收到请求后,然后去验证客户端请求里面的token值,如果验证成功,就向客户端返回请求的数据。
● 每一次请求都需要携带 token,需要把 token 放到 HTTP 的 Header 里
● 基于 token 的用户认证是一种服务端无状态的认证方式,服务端不用存放 token 数据。用解析 token 的计算时间换取 session 的存储空间,从而减轻服务器的压力,减少频繁的查询数据库
● token 完全由应用管理,所以它可以避开同源策略

4. 什么是 JWT?

● JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。
● 是一种认证授权机制。
● JWT 是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准(RFC 7519)。JWT 的声明一般被  用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源。比如用在用户登录上。
● 可以使用 HMAC 算法或者是 RSA 的公/私秘钥对 JWT 进行签名。因为数字签名的存在,这些传递的信息是可信的。
● JWT认证流程:
1)用户输入用户名/密码登录,服务端认证成功后,会返回给客户端一个 JWT
2)客户端将 token 保存到本地(通常使用 localstorage,也可以使用 cookie)
3)当用户希望访问一个受保护的路由或者资源的时候,需要请求头的 Authorization 字段中使用Bearer 模式添加 JWT,其内容看起来是下面这样
Authorization: Bearer <token>
● 服务端的保护路由将会检查请求头 Authorization 中的 JWT 信息,如果合法,则允许用户的行为
● 因为 JWT 是自包含的(内部包含了一些会话信息),因此减少了需要查询数据库的需要
● 因为 JWT 并不使用 Cookie 的,所以你可以使用任何域名提供你的 API 服务而不需要担心跨域资源共享问题(CORS)
● 因为用户的状态不再存储在服务端的内存中,所以这是一种无状态的认证机制
前端~初学者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CookieSessionTokenJWT
weixin_58045199的博客
07-08 391
CookieSessionTokenJWT(
区分CookieSessionTokenJWT
赫赫有安
10-28 338
如何区分CookieSessionTokenJWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明 “你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱 / 验证码,就默认你是账号的主人 什么是授权(A...
CookieSessionTokenJWT区别
睡不醒大猫的博客
04-23 274
HTTP是无状态的协议:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次请求的发送者是不是同一个客户端。服务器与浏览器为了进行会话跟踪,就必须主动的去维护一个状态,这个状态用于告诉服务端前后两个请求是否来自同一个浏览器。这个状态就需要通过cookie或者session来实现。cookie存储在客户端:cookie是服务器发送到用户浏览器,并进行保存到本地的数据,它会在浏览器下次向同一服务器再发起请求时被再一次被带到并发送到服务器上面。
熬夜彻底搞懂Cookie Session Token JWT
码农小胖哥
08-19 854
一切的根源就是因为 HTTP 是一个无状态的协议。HTTP 是一个无状态的协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。看过电影《夏洛特烦恼》的...
cookie session token jwt
JiAyInNnNnN123的博客
01-09 398
使用 cookie 时需要考虑的问题 因为存储在客户端,容易被客户端篡改,使用前需要验证合法性 不要存储敏感数据,比如用户密码,账户余额 使用 httpOnly 在一定程度上提高安全性 尽量减少 cookie 的体积,能存储的数据量不能超过 4kb 设置正确的 domain 和 path,减少数据传输 cookie 无法跨域 一个浏览器针对一个网站最多存 20 个Cookie,浏览器一般只允许存放...
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
CookieSessionTokenJWT
07-21
CookieSessionTokenJWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
再一次,CookieSessionTokenJWT.xmind
02-05
再一次,CookieSessionTokenJWT.xmind
JWT相关知识及Cookie, Session,TokenJWT区别总结.pdf
05-31
Cookie通常用于存储用户会话信息,依赖服务器的Session存储,而JWT则将这些信息包含在Token中,减少了服务器的负担。与Cookie相比,JWT是无状态的,更适合于微服务架构,但不适用于需要服务器维持状态的情况。JWT与...
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookieToken是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
Web 性能入门指南 - 2.2 理解和改进最大内容绘制 (LCP)
weixin_43303603的博客
07-15 404
最大内容绘制 (LCP) 衡量的是页面上最大视觉元素的渲染时间。为了让 Google 满意,请将 LCP 时间控制在 2 秒以内。
<Rust><GUI>rust语言GUI库tauri体验:前、后端结合创建一个窗口并修改其样式
用沸腾的热血,支付我们的人生吧!
07-16 1159
前言 本文是rust语言下的GUI库:tauri来创建一个窗口的简单演示,主要说明一下,使用tauri这个库如何创建GUI以及如何添加部件、如何编写逻辑、如何修改风格等,所以,这也是一个专栏,将包括tauri库的多个方面。 环境配置 系统:windows 平台:visual studio code 语言:rust、javascript、html、css 库:tauri概述 本文是tauri库系列博文的第一篇,主要是简单实现一个窗口程序并成功运行,当然,这是基于官方的示例,事实上官方给出的上手例程非常详细,不
博客前端项目学习day03——框架页
qq_53237241的博客
07-19 58
【代码】博客前端项目学习day03——框架页。
基于 Gunicorn、Flask 和 Docker 的 Web 应用开发
最新发布
2401_85639015的博客
07-19 781
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中。容器可以运行在任何支持 Docker 的机器上,确保了环境的一致性。通过本教程,你将学会如何使用 Docker、Gunicorn 和 Flask 构建一个高效、可扩展的 Web 应用。每个步骤都提供了详细的指导和示例代码,确保你能够理解和实践每个环节。希望本教程能够作为你进入微服务架构领域的起点。
前端性能优化--懒加载
weixin_43799793的博客
07-19 75
3、同时还可结合 lazy loading 属性,利用浏览器的原生属性,进一步优化图片加载,不过其延迟加载机制完全是由浏览器自身决定的,在不同浏览器上效果不同(BTW,部分浏览器可能并不支持)。2、然后对元素进行监听,当图片进入可视区域时,提取元素的 data-src 即真实的图片地址赋值给 src 属性,就会去发送请求加载图片,实现了懒加载。设置为 1 张 1px*1px 的透明图片用作占位符,以防止出现出错图标。TinyPNG 网站: https://tinypng.com/
网站开发:使用VScode安装yarn包和运行前端项目
m0_67412019的博客
07-15 545
再次输入以下命令,无报错说明yarn安装成功。
自定义 Hooks 在 Vue3 中的应用和重要性
CodeQi技术小栈的博客
07-16 975
自定义Hooks是Vue3提供的一种将可复用逻辑提取到独立函数中的方式。这不仅可以减少代码的重复,还能让你的代码更加清晰易读,维护起来也更加方便。在这篇文章中,我将通过详细的步骤和实例,带你深入了解如何在Vue3中使用自定义Hooks,以及它们在实际项目中的应用和重要性。首先,我们来看一下如何创建一个简单的自定义Hook。在Vue3中,自定义Hook本质上就是一个返回特定功能的函数。让我们从一个简单的计数器例子开始。
原生html贪吃蛇?
weixin_52236586的博客
07-18 177
【代码】原生html贪吃蛇?
前端小项目-强调鼠标悬停时效果的名片
关注收藏,可以私信解决问题!
07-19 701
在学习完HTML和CSS之后,我们就可以开始做一些小项目了。本篇文章所讲的小项目为——动态效果名片。通过这个项目,你将学会如何使用HTML和CSS来创建一个具有动态效果的名片。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

前端~初学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值