大白话理解cookie、session和token

已于 2023-02-20 15:56:53 修改
阅读量1.7k 收藏 5
点赞数 3
分类专栏: java 文章标签: java
于 2022-12-22 15:14:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NoviceZ/article/details/128408167
版权

名词介绍

cookie:浏览器访问服务器,服务器返回cookie给浏览器,浏览器在本地存储cookie,下次带着cookie访问服务器,服务器返回相应的数据。

session:浏览器访问服务器,服务器会存储浏览器的数据value,并把key返回给浏览器,浏览器下次带着key(session ID)来访问服务器,服务器能根据key来获取数据。如果有负载均衡,则是session的一个痛点 。

token:浏览器访问服务器,服务器保留一份密钥并返回一个加密之后的token给浏览器,浏览器拿着token访问服务器,服务器根据密钥验证token,然后返回数据。

三者区别

session和token的区别

1、数据存放位置不同:session数据是存放在服务器中的,cookie是存放在浏览器中的。

2、用户安全程度不同:cookie数据存放在浏览器本地不是很安全,session存放在服务器中相对安全。

3、性能使用程度不同:session数据放在服务器上,访问增多会占用服务器的性能,如果考虑到减轻服务器性能方面,应该使用cookie。

4、数据存储大小不同:单个cookie保存的数据不能超过4k,session存储在服务器,根据服务器大小来定。

token和session的区别

1、token是开发定义的,session是http协议规定的

2、token不一定存储在服务器中,session存储在服务器中

3、token可以跨域,session不可用跨域,它是与域名绑定的

如何解决cookie安全性问题

1、cookie有效期不要设置太长

2、设置HttpOnly属性为true,可以防止js脚本读取cookie信息,防止XSS攻击。

3、设置复杂的cookie,加密cookie。cookie的key使用uuid随机生成,value可以使用复杂组合,比如:用户名+当前时间+cookie有效期+随机数。这样可以尽可能使加密后的cookie更难解密,从而保护了cookie中的信息。

4、用户第一次登录时,服务器保存IP+cookie加密后的token。后面每次请求,都去将当前cookie和IP组合起来加密后的token与保存的token作对比,只有完全对应才能验证成功。

5、如果网站支持https,尽可能使用https。如果网站支持https,那么可以为cookie设置Secure属性为true,表示cookie只能使用https协议发送给服务器。

理解jwt

JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。

1.Header

JWT头是一个描述JWT元数据的JSON对象,alg属性表示签名使用的算法,默认为HMAC SHA256(写为HS256);typ属性表示令牌的类型,JWT令牌统一写为JWT。最后,使用Base64 URL算法将上述JSON对象转换为字符串保存

{
  "alg": "HS256",
  "typ": "JWT"
}

2.Payload

有效载荷部分,是JWT的主体内容部分,也是一个JSON对象,包含需要传递的数据。 JWT指定七个默认字段供选择

iss:发行人
exp:到期时间
sub:主题
aud:用户
nbf:在此之前不可用
iat:发布时间
jti:JWT ID用于标识该JWT

这些预定义的字段并不要求强制使用。除以上默认字段外,我们还可以自定义私有字段,一般会把包含用户信息的数据放到payload中,如下例:

{
  "sub": "1234567890",
  "name": "Helen",
  "admin": true
}

请注意,默认情况下JWT是未加密的,因为只是采用base64算法,拿到JWT字符串后可以转换回原本的JSON数据,任何人都可以解读其内容,因此不要构建隐私信息字段,比如用户的密码一定不能保存到JWT中,以防止信息泄露。JWT只是适合在网络中传输一些非敏感的信息

3.Signature

签名哈希部分是对上面两部分数据签名,需要使用base64编码后的header和payload数据,通过指定的算法生成哈希,以确保数据不会被篡改。首先,需要指定一个密钥(secret)。该密码仅仅为保存在服务器中,并且不能向用户公开。然后,使用header中指定的签名算法(默认情况下为HMAC SHA256)根据以下公式生成签名
         HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

在计算出签名哈希后,JWT头,有效载荷和签名哈希的三个部分组合成一个字符串,每个部分用.分隔,就构成整个JWT对象

注意JWT每部分的作用,在服务端接收到客户端发送过来的JWT token之后:

  • header和payload可以直接利用base64解码出原文,从header中获取哈希签名的算法,从payload中获取有效数据
  • signature由于使用了不可逆的加密算法,无法解码出原文,它的作用是校验token有没有被篡改。服务端获取header中的加密算法之后,利用该算法加上secretKey对header、payload进行加密,比对加密后的数据和客户端发送过来的是否一致。注意secretKey只能保存在服务端,而且对于不同的加密算法其含义有所不同,一般对于MD5类型的摘要加密算法,secretKey实际上代表的是盐值
不平衡的叉叉树
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
彻底理解 CookieSessionToken
PureUnicorn的博客
12-07 472
彻底理解 CookieSessionToken 文章目录彻底理解 CookieSessionToken发展史CookieSessionTokenToken的起源基于服务器的验证基于服务器验证方式暴露的一些问题基于Token的验证原理Tokens的优势无状态、可扩展安全性可扩展性多平台跨域 发展史 很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时...
CookieSessionToken 的区别与用途
最新发布
ProgramNovice的博客
04-23 1231
CookieSessionToken 的区别与用途
javaweb-cookie
GodPluto的博客
05-05 164
一、基本使用 1.1 响应cookie 服务端返回客户端cookie @RequestMapping(value = "testCookie") public String testCookie(HttpServletResponse resp) { Cookie cookie = new Cookie("k1", "v1"); resp.addCookie(cookie); Sys...
网络编程之tokensessioncookie详解
qq_30067153的博客
02-26 1503
理解cookiesessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
Token,CookieSession三者的区别
winkexin的博客
05-12 4352
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession的区别还是一知半解。
vue 前端登录获取token后添加到cookie,并使用token获取其他数据(添加到请求头中)
w199809w的博客
04-18 2356
【代码】vue 前端登录获取token后添加到cookie,并使用token获取其他数据(添加到请求头中)
token vs session
总柴的博客
02-19 90
token vs session 功能上都是用来保持会话 session是服务器端存储来访用户信息从而保持会话的对象。服务器重启session消失。基于cookie session状态保持原理 一段话概括:用户拿着数据访问服务器后,服务器会将数据写入session返回给浏览器sessionid;用户再次通过浏览器访问服务器时会携带sessionid,服务器通过sessionid在session中获取数据,返回给浏览器用户信息,以此实现状态保持。 弊端: 1、服务器压力增大 因为session是存储在内存中
大白话讲解JavaScript的Promise
10-20
主要介绍了大白话讲解JavaScript的Promise,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
大白话GBDT算法-通俗理解GBDT原理
06-21
第二个模块通过GBDT的三要素:GB(梯度提升),DT(回归树)和Shrinkage(缩减)理解GBDT的算法核心。 第三个模块通过剖析分类和回归损失函数来讲解GBDT在分类和回归方面的应用。 第四个模块通过手动方式一步步拆解讲解...
大白话条件随机场--从此彻底理解CRF
06-20
在"大白话条件随机场--从此彻底理解CRF"的资源中,你可能会学到以下核心知识点: 1. **概率图模型基础**:条件随机场属于概率图模型,它描述了随机变量之间的概率分布,通过图结构来表示变量间的关系。在CRF中,...
大白话领域驱动设计DDD视频教程
01-21
DDD和传统三层优劣势比较 DDD在国内现象是个什么情况? DDD从战略设计到战术设计概览 第2章 领域分析模型 核心域,支撑子域,通用子域 微服务和DDD是什么关系? 传统模式下如何合理的划分各种域 基于DDD的方式进行域...
领域驱动设计和实践
03-04
随着编程语言和技术的发展,各种语言特性层出不穷,面向对象是大部分语言的一个基本特性,像C++、Java、C#这样的静态语言,Ruby、Python这样的动态语言都是面向对象的语言。但是面向对象语言并不是银弹,如果开发...
sessioncookietoken的区别
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookietoken的区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全,session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
cookiesessiontoken联系与区别
蓝色海洋-探寻
07-02 1192
cookiesessiontoken联系与区别。
Cookietoken的区别
m0_45309753的博客
03-25 3979
文章目录前言一、基于cookie的身份验证二、基于token的身份验证 前言 HTTP是一种“无状态”协议,它的每个请求都是完全独立的,每个请求中包含了处理这个请求所需的完整的数据,发送请求不会涉及到状态变更。 举个例子:你第一次去A店买了苹果,然后你第二次去买苹果时你和老板说我上次来过,能便宜点不,他说他不认识你,并且无论你去他那买多少次苹果他都不认识你。他只知道有人来买过苹果,具体是谁他不知道。 所以在浏览器向服务端请求数据的过程中就延伸出一种严重的问题–数据泄露,许多Web应用程序的安全和正常运行都
SpringBoot框架使用(返回cookies信息的post接口开发)
简单随风的博客
05-31 1万+
关于get接口的各种请求方式已在之前文章中进行讲解: SpringBoot框架使用(返回cookies信息的get接口开发) SpringBoot框架使用(携带cookies信息访问的get接口开发) SpringBoot框架使用(两种携带参数的get接口开发) 接下来讲解post接口 新建一个类用以储存post接口 下面直接放代码 @RestController @Api(...
cookie的保存与获取
热门推荐
chenwei1113的博客
03-22 3万+
一、概念        cookie是客户端与服务器端进行会话使用的一个能够在浏览器本地化存储的技术。简言之,cookie是服务器端发给客户端的文本文件;目的是用于辨别用户身份。        比如:         1, 用户登录的记住密码功能(下次再访问网站时无需输入密码了);        2, 购物车,加入购物车的商品没有及时付款,使用cookie保存后, 可以在一定时间后再访问网站, 会...
使用CURL发送cookie以及获得返回cookie
偶尔一节
08-18 3万+
一个简单的curl函数: /** * 发送数据 * @param String $url 请求的地址 * @param Array $header 自定义的header数据 $header = array('x:y','language:zh','region:GZ'); * @param Array $content POST的数据 ...
并发cas大白话理解
09-08
这种机制在处理高并发访问时非常常见和常用,它可以有效地提高并发性能。 简单来说,并发CAS的工作原理是通过比较内存中的值与期望值是否相等来确定是否需要更新这个值。如果相等,则使用新的值来更新内存中的值;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值