Cookie,Session,JWT

于 2024-02-05 20:14:11 发布
阅读量1.2k 收藏 29
点赞数 37
文章标签: java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Uncommen/article/details/136047295
版权

Cookie,Session,JWT

前言

由于早期的网页被设计出来只是为了满足人们浏览网络资源的需求,几乎没有交互,所以HTTP在设计之初就是无状态的,无法携带信息。随着互联网的发展,为了满足人们对于网络交互的需求,需要一种技术来保存用户信息,用于登录认证等。

目前常见的技术便是 Cookie,Session,JWT

Cookie

Cookie存储于客户端(浏览器),当用户访问一个页面时,客户端将用户填好的账号,密码,验证码等信息发送给服务器,服务器验证无误后会将用户信息保存在Cookie中,返回给客户端。

客户端(浏览器)在每次向服务器发起请求时都携带这个Cookie,服务器根据Cookie中的用户信息便可以识别出当前用户。

优点

  • Cookie存储在客户端,服务器没有内存压力
  • 服务器可拓展性强,Cookie存储在客户端,当请求到不同的服务器时依旧可以识别身份
  • 由于Cookie存储于客户端(浏览器)中,用户可以自由清除
  • 网站往往会在Cookie中缓存用户基本信息,可以在某些时候自动帮助用户填写一些基本信息
  • 在Cookie存储一些用户信息有利于网站个性化用户体验(例如个性化广告)

缺点

  • 必须要客户端开启Cookie
  • 当用户信息过多时,客户端效率会降低,因为内存占用过多
  • 存储在Cookie中,会完全暴露于网络环境中,安全性太低,任何人都可以读写
  • CSRF(Cross Site Request Forgery),易受跨站点请求伪造攻击。由于Cookie存储了你的用户信息,如果别人仿造了你的Cookie,那么就可以用你的身份来向服务器发起请求,服务器成功识别Cookie保存的你的用户信息,便可以向他人提供对你不利的服务。(例如在银行网站中拿到你的Cookie后向服务器发起转账请求)

Session

Session存储于服务器端,当用户访问一个页面时,客户端将用户填好的账号,密码,验证码等信息发送给服务器,服务器验证无误后会生成一个用于标识用户身份的sessionID,同时创建一个Session来维护用户信息,并且创建一个Cookie,将sessionID存在Cookie中,返回给客户端。

此后每次客户端向服务器发起请求时都在Cookie中带上这个sessionID,服务器根据sessionID便可识别出需要处理哪个用户的信息。

优点

  • 客户端(浏览器)Cookie中只需要存储sessionID,快捷高效
  • 较为灵活,服务器可以定义session的过期时间等等,客户端无法控制

缺点

  • Session通常与Cookie混合使用,如果用户关闭了Cookie就无法实现。解决方案:
    • 将sessionID存在url中,但这样安全性更低,前后端代码复杂度也会上升
    • 将sessionID放在请求体中,前后端代码复杂度提高,不利于维护
  • 同样无法避免CSRF。如果他人在Cookie中拿到了你的sessionID便可以伪造成你。
  • 如果部署了多台服务器,当负载均衡机制将请求分配到其它服务器时,会因为sessionID无法匹配而识别用户失败。有如下常见处理方案:
    • 当产生一个Session时便在每台服务器上同步,会产生大量的服务器资源浪费
    • 通过特定算法将请求固定分配到一台服务器上,但是当这台服务器出问题时就无法处理用户请求
    • 最常用的是将所有的Session信息统一存储在一个地方,例如Redis,当请求到服务器时,服务器向Redis发起请求获取用户Session。注意部署Redis集群来提高抗灾能力。
    • 整合Spring Session实现会话(Session)共享合同步。

JWT

JWT(JSON Web Token)不依赖与Session,一般也不使用Cookie存储,而是存储在localStorage中,可以有效避免CSRF。

JWT由三部分组成:

  • Header : 描述 JWT 的元数据,定义了生成签名的算法以及 Token 的类型。
  • Payload : 用来存放实际需要传递的数据,默认不加密,不宜存储私密信息
  • Signature(签名):服务器通过 Payload、Header 和一个密钥(Secret)使用 Header 里面指定的签名算法生成

当用户访问一个页面时,客户端将用户填好的账号,密码,验证码等信息发送给服务器,服务器验证无误后会生成一个用于标识用户身份的JWT,返回给客户端,客户端一般将JWT存在localStorage中。

此后每次客户端向服务器发起请求时都在请求头中带上这个JWT,服务器根据JWT便可识别出需要处理哪个用户的信息。

优点

  • 安全性较高
  • 服务器只需存储密钥,可扩展性强
  • JWT一般存于localStorage(也可存于Cookie),没有CSRF风险

缺点

  • 前后端代码复杂度较高
  • 密钥泄露,全部完蛋
  • PayLoad默认不加密,不宜存储私密信息
  • 移动端友好(移动端没有Cookie)
  • 由于JWT存在客户端,服务器没有其它逻辑,无法简单让JWT失效(退出登录,注销等)。有以下处理方法:
    • 在数据库或Redis中维护JWT状态,每次请求先从数据库中查看JWT是否有效。会提高代码复杂度
    • 服务器给JWT设置有效期。但是有效期为多少以及什么时候更新有效期,难以把握
    • 设置备用JWT,当现JWT快过期时就启用备用JWT,同时再生成一个备用JWT。同样难以把握,备用JWT如果提前泄露,不利于用户安全
    • 将JWT过期时间设置在用户休眠期间。对于大型网站不友好
Uncommon.
关注
  • 37
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CookieSession、Token、JWT.xmind
01-30
CookieSession、Token、JWT.xmind
再一次,CookieSession、Token、JWT.xmind
02-05
再一次,CookieSession、Token、JWT.xmind
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
最通俗的关于Cookie, Session,Token和JWT的相关笔记和理解。在终章笔记中主要介绍一下JWT以及总结CookieJWT的区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,CookieJWT场景,安全等的...
CookieSession、Token、JWT
最新发布
07-21
CookieSession、Token、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
前端知识Cookie, Session,Token和JWT的发展及区别(一) 上章:主要介绍一下背景和Cookie
05-26
最通俗的关于Cookie, Session,Token和JWT的相关笔记和理解。在上章笔记中主要介绍一下背景和Cookie。包括Cookie的定义,特点,重要属性,优缺点,作用和使用场景,以及如何解决禁用问题,以及Cookie在客户端和...
Nodejs中的JWTSession的使用
01-20
最近的项目需要在node服务端做一个用户登录的校验以及权限拦截,专业一点叫用户认证与授权,经过一番收集资料,目前常用的有两种——JWTSession 使用JWT JWT是JsonWebTokens的简写形式,具体是啥我就不详细写了,...
jwt简单的介绍和了解
10-27
用户登录成功,服务端会保证一个session,当然会给客户端一个sessionId,客户端会把sessionId保存在cookie中,每次请求都会携带这个sessionId。 cookie+session这种模式通常是保存在内存中,而且服务从单服务到多...
JWT项目中用法
08-08
JWT原理:对登录和注册方法放行,用户名和密码验证正确后,服务端保存到redis缓存并设置有效期,返回给客户端userid和sessionid, 客户端自行保存(Cookie或者 h5的localStorage)。 其他接口统一拦截(header里的...
详解Go-JWT-RESTful身份认证教程
01-03
1.什么是JWT JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部、Claims载荷、Signature签名, JWT原理类似我们加盖公章或...
Session相关知识点PDF版本
05-30
最通俗的关于Cookie, Session,Token和JWT的相关笔记和理解。在中章笔记中主要介绍一下Session。 上章:主要介绍背景和Cookie 中章:主要介绍一下Session并总结一下CookieSession。 下章:主要介绍Token的相关定义...
API_Secure:Web服务-nodeJS-JWT-Redis
05-12
配置文件:./env npm install npm start 本地主机:8080 / signup curl --location --request POST ' localhost:8080/signup ' \ --header ' Content-Type: application/json ' \ --data-raw ' { ...
Angular之jwt令牌身份验证的实现
11-21
Angular之jwt令牌身份验证 demo https://gitee.com/powersky/jwt 介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(...在讲 JWT 之前一定要讲讲基于 token 和 session 的区
node-admin-backend:node全栈,后端通用模板,用到的技术栈 nodejs、express、mysql、redis、jwtsession、crypto-js
05-23
一个nodejs、express、mysql、redis、jwtsession、crypto-js写的后台模板,提供初学者学习,详细的模块划分 src/ authentication 鉴权模块操作 common 公共资源模块操作处理 connect 数据库链接模块 public 静态...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
akka-http-sessionWeb和移动客户端akka-http会话,具有可选的JWT支持
02-05
akka-http-session使用cookie或自定义标头+本地存储提供Web和移动应用程序中客户端会话管理的指令,并具有可选的格式支持。 提供了以及代码示例(使用Java,但易于转换为Scala),该示例回答了有关会话如何工作,...
在Angular中使用JWT认证方法示例
12-09
session认证中,服务端会存储一份用户登录信息,这份登录信息会在响应时传递给浏览器并保存为Cookie,在下次请求时,会带上这份登录信息,这样就能识别请求来自哪个用户。 在基于session的认证中,每个用户都要...
php实现JWT(json web token)鉴权实例详解
01-03
基于token的身份验证可以替代传统的cookie+session身份验证方法。 JWT由三个部分组成:header.payload.signature 以下示例以JWT官网为例 header部分: { alg: HS256, typ: JWT } 对应base64UrlEncode编码为:...
golang之JWT实现的示例代码
01-19
什么是JSON Web Token? JSON Web Token(JWT)是一个开放标准(RFC ...众所周知,在jwt出现之前,我们已经有sessioncookie来解决用户登录等认证问题,为什么还要jwt呢? 这里我们先了解一下sessioncookie。 sessi
example-auth:ReactQL的用户身份验证,会话和JWT示例
02-06
远程删除数据库条目会终止会话通过密码哈希代表用户,会话, ,字段错误的GraphQL类型组件和样式JWT令牌-存储在localStorage和cookie中,用于后续SSR请求以在服务器端呈现经过身份验证的内容,以及用于无状态环境...
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。 session:是一种在服务器端存储用户信息的机制,用于跟踪用户在网站上的活动和状态。 token:是一种用于身份验证和授权的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值