谈谈对Cookie Session Token的认识

最新推荐文章于 2021-04-27 10:17:20 发布
最新推荐文章于 2021-04-27 10:17:20 发布
阅读量211 收藏 1
点赞数
分类专栏: web前端 文章标签: cookie session node.js java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jiang216/article/details/108528231
版权

一、序言

对从事Web开发的或者有过Web开发经验的朋友来说,身份验证一定是一个避不开的话题。即使是再小的系统,也少不了登录这道程序。不管是前端还是后端,总要和会话打交道,那么,就从会话开始,聊聊常用的验证方式:Cookie、Session、Token。

在计算机术语中,会话是指一个终端用户与交互系统进行通讯的过程,TCP的三次握手就创建了一个会话,TCP关闭连接就是关闭会话。理论上,一个用户的所有请求操作都应该属于同一个会话。但是,Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。所以要跟踪用户会话,就需要引入会话跟踪机制。

二、Cookie

Cookie是一段用户文本信息,它存放在用户请求头信息中:

客户端第一次访问服务器的时候,服务器如果验证通过,就可以使用response向客户端返回一个Cookie,客户端将Cookie保存,下次向服务器进行请求时,请求头中就会携带服务器颁发的Cookie信息。可以理解为:由于http的无状态特性,服务器端需要借助一种认证方式来识别客户端身份,通过Cookie相当于给客户端颁发一个通行证,当客户端携带通行证进行访问时,服务器就可以通过通行证中的信息来识别客户端身份。

Cookie存放客户端,具有不可跨域名性。前端与后端都可以进行Cookie的设置与修改,当设置Cookie时未设置对应的过期时间或过期时间设置为非正数,则该Cookie会被认为是临时性Cookie被写入Cookie文件中,在用户关闭浏览器后,Cookie即自动消失;相反,如果显式设置Cookie过期时间,则Cookie会被写入Cookie文件,如果用户关闭了浏览器,但只要Cookie仍在过期时间之内,则Cookie依然生效。如果设置过期时间如下,则该Cookie永远生效:

cookie.setMaxAge(Integer.MAX_VALUE);           // 设置生命周期为MAX_VALUE

Cookie不存在显式的修改及删除操作,如果要修改某个Cookie,只需要新建一个同名的Cookie,添加到response中覆盖原来的Cookie。如果要删除某个Cookie,只需要新建一个同名的Cookie,并将maxAge设置为0,并添加到response中覆盖原来的Cookie。注意是0而不是负数。(修改、删除Cookie时,新建的Cookie除value、maxAge之外的所有属性,例如name、path、domain等,都要与原Cookie完全一样。否则,浏览器将视为两个不同的Cookie不予覆盖,导致修改、删除失败。)

 由于其可以被客户端获取及修改,因此,为保障网络安全,一般建议对Cookie进行加密。

三、Session

Session是服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。

Session对象是在客户端第一次请求服务器的时候创建的。Session也是一种key-value的属性对 ,为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出。因此,Session里的信息应该尽量精简。

Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了。

虽然Session保存在服务器端,但Session的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。

四、Token

当讨论基于token的身份验证时,一般都是说的JSON Web Tokens(JWT)。虽然有着很多不同的方式实现token,但是JWT已经成为了事实上的标准,所以后面会将JWT和token混用。

基于token的验证是无状态的。服务器不记录哪些用户已登陆或者已经发布了哪些JWT。对服务器的每个请求都需要带上验证请求的token。该标记既可以加在header中,可以在POST请求的主体中发送,也可以作为查询参数发送。

Token的验证流程如下:

  • 用户输入登陆凭据;
  • 服务器验证凭据是否正确,然后返回一个经过签名的token;
  • 客户端负责存储token,可以存在local storage,或者cookie中;
  • 对服务器的请求带上这个token;
  • 服务器对JWT进行解码,如果token有效,则处理该请求;
  • 一旦用户登出,客户端销毁token。

 从以上请求验证流程对比不难看出,Token不存在跨域问题,相比于Cookie的有状态性,基于token的验证是无状态的,这也许是它相对cookie来说最大的优点。后端服务不需要记录token。每个令牌都是独立的,包括检查其有效性所需的所有数据,并通过声明传达用户信息。

JWT具有两个特点:

  1. 紧凑。由于其较小的尺寸,JWT可以通过URL,POST参数或者HTTP头发送。较小的尺寸会带来传输速度的优势;
  2. 自包含:token中包含了用户的所有必须信息,避免了多次查询数据库的需要。

当然,JWT同样存在自己的缺点:其 最大的缺点就是它的大小,最小的它都比 cookie 要大,如果 token 中包含很多声明,那问题就会变得比较严重,毕竟向服务器发送的每个请求都要有这个 token。(意思应该是太大了会导致请求缓慢)

五、小结

 对于简单的小型应用而言,使用Session配合Cookie进行简单的用户身份验证就足够了。但在大型应用中,Session的大量存储会使得服务器不堪重负。事实上,现在的互联网公司普遍使用Token进行身份验证。当然,以上技术均有其优缺点,基于不同场景、不同需求,选择合适的方式即可。

 

WHU_JiangLong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vue源码中的对象相等比较
Jiang216的博客
09-17 1700
Vue源码中的对象比较函数写的极为经典漂亮,在此进行部分注释并添加一个函数类型比较判断,代码如下: function isObject(o) { return typeof o==='object' } function isFunction(o) { return typeof o==='function' } function looseEqual(a,b) { //如果a和b都是值类型,可以直接判断是否相等
彻底理解coookie、sessiontoken
学Java,找哪吒
05-04 2026
一、发展史 1、很久很久以前,web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的,这段时间就很嗨皮。 2、但是随着交互式web应用 ...
彻底理解cookiesessiontoken
斯维特哈特
12-28 2652
原文链接: 彻底理解cookiesessiontoken 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应,  尤其是我不用记住是谁刚刚发了HTTP请求,   每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站...
一文带你马上彻底了解CookieSessionToken
weixin_41663412的博客
03-18 267
个人博客导航页(点击右侧链接即可打开个人博客):大牛带你入门技术栈 Cookie 洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛:马冬梅啊。 大爷:马什么没? 夏洛:行,大爷你先凉快着吧。 在了解这三个概念之前我们先要了解HTTP是无状态的Web服务器,什么是无状态呢?就像上面夏洛特烦恼中经典的一幕对话一样,一次对话...
谈谈不一样的sessiontokencookie理解
qq_28692269的博客
05-16 267
再谈sessiontokencookiesessiontokencookie三者之间的关系sessionid和token有什么不同再说说session老生常谈的cookie信息 sessiontokencookie三者之间的关系 关于sessiontokencookie的文章已经很多了,本文只想结合自己的理解重新整理一遍自己的思路。谈谈对三者的看法。 1、session是在服务端,从实现的数据结构上看类似于hashmap,当然内部原理没有深究,具体实现应该不是用hashmap实现的,毕竟要保
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookieToken是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
关于SessionCookieToken你知道多少?
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
05-01 1056
一.Cookie 1.什么是cookie? Cookie 技术产生源于 HTTP 协议在互联网上的急速发展。随着互联网时代的策马奔腾,带宽等限制不存在了,人们需要更复杂的互联网交互活动,就必须同服务器保持活动状态(简称:保活)。 Cookie 是在 HTTP 协议下,服务器或脚本可以维护客户工作站上信息的一种方式。Cookie 是由 Web 服务器保存在用户浏览器(客户端)上的小文本文件,它可以包含有关用户的信息。无论何时用户链接到服务器,Web 站点都可以访问 Cookie 信息. 2.cooki
【踩坑日记】无状态登录时设置tokencookie中遇到的坑
lhr666666的博客
07-21 1246
有状态登录 在以前的单一系统中,记录用户的登录状态常使用的是有状态登录,即服务器端在用户登陆后将用户的信息保存在服务器中,从而识别用户身份。典型的做法是将用户信息存储在Session中,并分配一个SessionID存储在客户端的cookie中,当用户再次访问时,就可以通过SessionID识别用户。 但是在大型的分布式系统当中,这种做法已经无法适应时代的潮流,弊端主要有二: 一是大量的用户Session信息存储在服务器端,会对服务器产生压力。 二是由于在分布式系统当中,用户每次请求的可能不是同一台服务器,这
web前端笔记:CSS top属性问题
Jiang216的博客
10-10 2501
首先需要搞清楚CSS的定位问题: CSS定位常用方式包括:1.absolute绝对定位,其绝对的意思为相对于最邻近的非static定位祖先进行定位。而非static定位的意思即在CSS属性中对position属性进行了定义(包括absolute,relative)。2.relative相对定位,即相对于其父元素进行定位。3.fixed固定定位,即相对于浏览器窗口进行固定定位,上下拖动进度条均不会影
前端基本网络协议知识整合
Jiang216的博客
10-19 1341
一、ICMP协议 ICMP协议(Internet Control Message Protocol)的全称是“Internet控制消息协议”,它是IPv4协议族中的一个子协议,用于IP主机、路由器之间传递控制消息。控制消息是在网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然不传输用户数据,但是对于用户数据的传递起着重要的作用。 ICMP协议与ARP协议不同,ICMP靠IP协议来完成任务,所以ICMP报文中要封装IP头部。它与传输层协议(如TCP和UDP)的目的不同,一般不用...
ChromeDevTools值得记住的小知识
Jiang216的博客
11-08 1025
1.Element面板 Elements 面板主要用于对页面 HTML 和 CSS 的检查以及可视化编辑。 DOM树 右击页面任意处,选择检查 / 审查元素,查看选中页面对应的 DOM 元素 点击,当图标显示为蓝色时,鼠标点击页面任意一处,可以查看选中页面对应的 DOM 元素 鼠标悬停 DOM 树上的任意一个节点,页面会用淡蓝色的蒙板在页面上标记 DOM 节点对应的页面 按键盘的向上...
Web页面完整请求及渲染过程
Jiang216的博客
04-27 777
前端技术人员离不开计算机网络通信知识的了解,基础的网络架构模型与TCP、HTTP等相关知识掌握之后,不免会考虑:我们在互联网使用过程中,输入一个网址后,获取网址对应的Web页面信息并成功渲染到浏览器窗口这一整套流程是如何实现的呢?本文就针对这一日常而又复杂的请求渲染流程进行一次较为全面的梳理介绍。 一、Web页面请求过程 1.DHCP配置主机信息 在上网之前,我必须要让网络知道我是谁,只有网络知道我的身份,才会允许我们对它进行访问。因此,我们首先需要一个自己电脑对应的IP地址。 假设我们最开始没有I
关于Vue全局方法配置的总结
Jiang216的博客
08-06 709
通过Vue-Cli搭建的Vue项目工程中,我们通常都会或多或少地使用Vue官方支持插件(如Router、Vuex、VueI18n等)、第三方插件、自定义工具函数等等,以方便我们的开发工作、优化代码结构、减少代码冗余。本文就目前我所接触到的业务需求,对Vue工程中的全局方法、属性配置方式进行总结。 一、Vue.use() Vue官方文档中对Vue.use()定义如下: 即插件需要支持install方法方能使用Vue.use()方式在Vue工程中进行全局配置,常用的如Vue-router,Vuex,E
Web App开发经验总结
Jiang216的博客
03-09 645
前端这个领域,上手很快,只需要短期学会html,css,js就可以开始写常规网页了。但另一方面,入门简单对应的是广泛、复杂、快速迭代的前端知识体系、框架、工具等一个又一个难题。以移动端开发为例,至今Web App开发仍然处于一个你方唱罢我登场的群雄割据时代,缺少一个绝对主流、统一的开发工具或规范。本文也仅仅基于个人有限的移动端开发经验及网上各路技术经验分享内容对Web App开发进行部分经验总结,供大家参考。 一、不要刻意模仿移动端系统原生的默认样式和交互 毕竟 WebApp 缺乏原生支持,肯定有模仿不
cookie session token区别
最新发布
06-28
### 回答1: CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对数据,在用户的不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名和密码等。 Session Token 是在用户登录时在服务器端创建,并在用户与服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结,Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性和隐私性。在理解三者的区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie 是服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份和记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性和隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份和权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户的浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者的区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性和使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端与服务端的交互;Session更注重用户身份的鉴别与用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域和分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证和信息存储方式,它们之间最大的不同在于其存储的位置和方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie在用户登录后会保存用户名、密码和一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie,服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同于CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token,服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息和身份的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值