JWT和Session和Cookie

最新推荐文章于 2024-07-22 09:04:10 发布
最新推荐文章于 2024-07-22 09:04:10 发布
阅读量674 收藏 4
点赞数
文章标签: cookie session jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/N_a_n/article/details/105483096
版权
本文详细介绍了HTTP会话管理中的Cookie、Session和JWT(Json Web Token)的工作原理、优缺点以及应用场景。Cookie将信息保存在客户端,安全性较低;Session将信息保存在服务端,但会增加服务器压力;JWT将信息存储在JSON字符串中,无状态且支持跨域,但存在一次性问题、续签问题和安全问题。同时,文中还探讨了Token如何防止CSRF攻击及其工作原理。
摘要由CSDN通过智能技术生成

文章目录

会话管理

由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。
这几个技术都是对HTTP协议的一个补充。

cookie

使用cookie进行会话管理的时候,我们会将用户信息或其他我们需要放在每个请求的一小段信息放入到cookie中进行保存,cookie是放在请求头中的,然后每次请求的时候会将cookie中的信息放入请求头中,在服务端进行验证,以此来进行状态的保证。

Session

使用session进行会话管理的时候,只需要在客户端保存一个sessionid即可,而用户信息是存放在服务端中的,当用户登陆时,会将用户信息存放在服务端,然后对应生成一个sessionid保存在客户端中

一般可将sessionid存放在cookie中

session和cookie的优缺点

  • cookie的安全性不好,攻击者可以获得本地cookies进行欺骗或者使用cookies进行进行CSRF攻击。
  • cookies不支持跨域(原因:因为当一个浏览器存在多个域名的cookie时,比如baidu.com和google.com两个cookies时,因为域名不同(一棒子打死的感觉,只要域名不同就不会携带),所以访问baidu时是不会携带google的cookies的,这样的话,当访问www.google.com和image.google.com时)虽然同属于google,但是因为域名不同,所以也是不能访问的,这显然是不符合我们预计的效果的,所以一般需要对跨域进行一个处理(domain)。
  • session因为是将会话信息保存在服务端,所以当存在大量用户的时候,对服务器的压力也是一方面的考验。
  • 同时当存在多个机器的时候,session的会话共享也是一个问题。比如用户登陆通过服务器A,然后发送请求时,用的是服务器B,那么如何知道这个用户。(Redis)

最低0.47元/天 解锁文章
N_a_n
关注
sessioncookie以及jwt
zflhw的博客
04-05 454
https://img2020.cnblogs.com/blog/1515111/202004/1515111-20200405090920745-1422513552.png CookieSession HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP...
sessioncookiejwt
qq_32037561的博客
08-04 238
session,cookie,jwt
JWT 没那么神秘,用它换掉 Session + Cookie 认证
最新发布
前端原创分享,常年坚持记录和分享,全网阅读量超百万
07-22 2574
本项目代码已开源,具体见。数据库初始化脚本:关注公众号,回复关键词“博客数据库脚本”,即可获取。
CookieSessionJWT
weixin_61933613的博客
02-29 806
JSON Web Tokens(缩写 JWT)是目前最流行的跨域认证解决方案[1],解决了Session验证资源消耗和扩展性差的缺点。其官网是:首先,JWT的组成包括三个部分 :Header部分:主要包括alg属性和typ属性。alg表示签名算法(algorithm),默认是HMAC SHA256(写成HS56);typ表示令牌(token)类型(type),JWT令牌统一写为JWT。),此处为:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9。
Cookie,Session,JWT
程序员阿甘的博客
10-19 527
HTTP协议 HTTP协议是一种无状态的协议。 早期WEB为了推广,需要一种可以快速共享资源的网络传输协议,这种协议旨在从服务器快速推送资源给任意一个客户端,而不在乎访问者是谁,后面就发明了HTTP协议。HTTP协议的无状态性是指HTTP协议无法记录传输过程中访问者是谁。 但是,随着WEB的发展,各种致力于为私人用户提供特定服务的服务器开始出现,比如电商服务器,用户需要经过电商服务器的身份认证才能继续使用服务器的其他功能。而HTTP协议本身是无状态的,即HTTP协议本身无法记录访问者信息。 身份
cookiejwt解析
web$-小白
07-26 695
session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookiesession;),并且是以key:value的形式进行表示的。cookie 数据存放在客户端浏览器上,session 数据放在服务器上。cookie 不是很安全,是明文传递的,所以存在安全性的问题;
CookieSessionJWT的详解
miaozy
04-10 1493
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
Nodejs中的JWTSession的使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWTSession 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
JWTcookie和token的区别
微微一笑满城空
08-10 8946
一. cookie A) cookie如何认证 1. 用户输入用户名与密码,发送给服务器。 2. 服务器验证用户名和密码,正确的就创建一个会话(session),同时会把这个会话的ID保存到客户端浏览器中,因为保存的地方是浏览器的cookie,所以这种认证方式叫做基于cookie的认证方式。 3. 后续的请求中,浏览器会发送会话ID到服务器,服务器上如果能找到对应的ID的会话,那么服务...
Cookie/JWT的区别和联系
weixin_43393670的博客
11-24 3372
Cookie/JWT的区别和联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名和密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
Cookie,SessionJWT
林北
10-19 1092
Cookie,SessionJWT ​ HTTP是无状态的协议,每次客户端和服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,因此也无法知道上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。 Cookie Cookie是存储在客户端的一小块数据,也就
详细讲解CookieSessionJWT令牌技术
2301_77358195的博客
03-26 1269
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
全网最细总结-Seesion,Cookie以及JWT的区别
qq_42898642的博客
06-14 978
全网最详细,关于sessioncookie,token的用户认证的原理与区别
cookiesessionjwt
slag_of_study的博客
07-14 275
状态保持    因为http 是一种无状态协议,浏览器请求服务器是无状态的。无状态:    指一次用户请求时,浏览器、服务器无法知道之前这个用户做过什么,每次请求都是一次新的请求。无状态原因:    浏览器与服务器是使用 socket 套接字进行通信的,服务器将请求结果返回给浏览器之后,会关闭当前的 socket 连接,而且服务器也会在处理页面完毕之后销毁页面对象实现状态保持主要有两种方式:在客户...
CookieSessionJWT
God_Hearing的博客
10-05 326
cookie cookie是保存在本地浏览器的一个明文的用户信息 session session是保存在服务器端的一个键值对类似字典的数据 他的主要作用就是加密和保存登录状态和会话 登陆时验证用户名密码,如果正确,就会返回session的key,以后,浏览器端直接携带key访问,无需验证用户名和密码 session缺点: 1.这种模式最大的问题是,没有分布式架构,无法支持横向扩展。 2.如果使用一个服务器,该模式完全没有问题。 3.但是,如果它是服务器群集或面向服务的跨域体系结构的话,则
网络安全-CookieJWT
Saki_Python的博客
02-19 988
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
JWTCookieSession
m0_61504888的博客
09-23 156
Cookie 定义:是由服务器端生成,发送给浏览器,浏览器会将cookie中key/value保存到某个目录下的文本文件内,下次请求同一网站时将自动发送该cookie给浏览器 特点: 1、是以键值队的格式存储数据的 2、不同域名之间的cookie是不能互相访问的 3、当浏览器请求某网站时,会将所关联的cookie发送给浏览器 Session 应用:对于一些相对于很敏感的信息,一般是由session保存在服务器端进行状态保持 Django项目默认...
cookie, sessionjwt的区别(非原创)
weixin_44655002的博客
08-09 589
什么是JWT(主要介绍JWT) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标 ((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该t...
cookiesessionjwt
09-01
CookieSessionJWT都是用于在Web应用程序中存储和验证用户身份的机制。 Cookie是在服务器生成后发送给浏览器存储的一小段文本信息。它可以包含用户身份验证信息或其他需要在不同请求之间保持状态的数据。Cookie有一个有效期,一般会设置为较长的时间,比如一周或两周左右。这样可以在用户下次访问网站时继续使用该CookieSession是服务器上的一种机制,用于跟踪和存储用户的会话状态。它在服务器端存储用户的身份验证信息和其他会话数据。与Cookie不同,Session数据存储在服务器上,而不是浏览器中。Session的有效期一般设置较短,比如24分钟或0.5小时,用于提高安全性。 JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种基于JSON的数据格式,包含了用户的身份验证信息和其他元数据,并使用数字签名进行验证。JWT通常用于通过令牌的方式来验证用户身份。它的优点是无需在服务器上存储会话信息,只需通过数字签名即可验证令牌的真实性。因此,JWT适用于分布式系统和无状态应用程序。 总结起来,Cookie是将信息存储在浏览器端,Session是将信息存储在服务器端,而JWT则是通过令牌的方式进行身份验证和授权。每种机制都有其适用的场景和优缺点,需要根据具体的应用需求选择合适的方案。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Cookie,Session,JWT](https://blog.csdn.net/m0_70273331/article/details/124551071)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [CookieSessionJWT的详解](https://blog.csdn.net/weixin_35695511/article/details/105040183)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值