一文读懂Cookie、Session、Token和JWT

最新推荐文章于 2023-07-05 10:15:33 发布
最新推荐文章于 2023-07-05 10:15:33 发布
阅读量159 收藏 1
点赞数
文章标签: cookie/session token/jwt

  • 什么是认证(Authentication)

  • 什么是授权(Authorization)

  • 什么是凭证(Credentials)

  • 什么是 Cookie

  • 什么是 Session

  • Cookie 和 Session 的区别

  • 什么是 Token(令牌)

  • Token 和 Session 的区别

  • 什么是 JWT

  • Token 和 JWT 的区别

  • 常见的前后端鉴权方式

  • 常见的加密算法

  • 常见问题

什么是认证(Authentication)

  • 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)

  • 互联网中的认证:

    • 用户名密码登录

    • 邮箱发送登录链接

    • 手机号接收验证码

    • 只要你能收到邮箱/验证码,就默认你是账号的主人

什么是授权(Authorization)

  • 用户授予第三方应用访问该用户某些资源的权限

    • 你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)

    • 你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)

  • 实现授权的方式有:cookie、session、token、OAuth

什么是凭证(Credentials)

  • 实现认证和授权的前提

    是需要一种

    媒介(证书)

    来标记访问者的身份

    • 在战国时期,商鞅变法,发明了照身帖。照身帖由官府发放,是一块打磨光滑细密的竹板,上面刻有持有人的头像和籍贯信息。国人必须持有,如若没有就被认为是黑户,或者间谍之类的。

    • 在现实生活中,每个人都会有一张专属的居民身份证,是用于证明持有人身份的一种法定证件。通过身份证,我们可以办理手机卡/银行卡/个人贷款/交通出行等等,这就是认证的凭证。

    • 在互联网应用中,一般网站(如掘金)会有两种模式,游客模式和登录模式。游客模式下,可以正常浏览网站上面的文章,一旦想要点赞/收藏/分享文章,就需要登录或者注册账号。当用户登录成功后,服务器会给该用户使用的浏览器颁发一个令牌(token),这个令牌用来表明你的身份,每次浏览器发送请求时会带上这个令牌,就可以使用游客模式下无法使用的功能。

什么是 Cookie

  • HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。而这个状态需要通过 cookie 或者 session 去实现。

  • cookie 存储在客户端:cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

  • cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。

cookie 重要的属性

属性 说明
name=value 键值对,设置 Cookie 的名称及相对应的值,都必须是字符串类型 - 如果值为 Unicode 字符,需要为字符编码。- 如果值为二进制数据,则需要使用 BASE64 编码。
domain 指定 cookie 所属域名,默认是当前域名
path 指定 cookie 在哪个路径(路由)下生效,默认是 '/'。如果设置为/abc,则只有 /abc 下的路由可以访问到该 cookie,如:/abc/read
maxAge cookie 失效的时间,单位秒。如果为整数,则该 cookie 在 maxAge 秒后失效。如果为负数,该 cookie 为临时 cookie ,关闭浏览器即失效,浏览器也不会以任何形式保存该 cookie 。如果为 0,表示删除该 cookie 。默认为 -1。- 比 expires 好用。
expires 过期时间,在设置的某个时间点后该 cookie 就会失效。一般浏览器的 cookie 都是默认储存的,当关闭浏览器结束这个会话的时候,这个 cookie 也就会被删除
secure 该 cookie 是否仅被使用安全协议传输。安全协议有 HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。当 secure 值为 true 时,cookie 在 HTTP 中是无效,在 HTTPS 中才有效。
httpOnly 如果给某个 cookie 设置了 httpOnly 属性,则无法通过 JS 脚本 读取到该 cookie 的信息,但还是能通过 Application 中手动修改 cookie,所以只是在一定程度上可以防止 XSS 攻击,不是绝对的安全
最低0.47元/天 解锁文章
十一T_T
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
区分CookieSessionTokenJWT
赫赫有安
10-28 335
如何区分CookieSessionTokenJWT 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明 “你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱 / 验证码,就默认你是账号的主人 什么是授权(A...
CookieSessionTokenJWT
kagurawill的博客
12-30 1375
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 5883
防止token伪造、篡改、窃取的解决方案
token在前端保存的安全性思考
JavaMa的博客
12-15 4413
CSRF和XSS CSRF:用户在A网站登录,未退出A网站的前提下访问B网站,B网站向A网站发起请求,此时浏览器会携带用户在A网站的cookie请求A网站,A网站并不知道是用户的操作还是B网站(危险)的操作。 XSS:是向网站 A 注入 JS代码或html脚本等,然后执行 JS 里的代码,篡改网站A的内容或者盗用cookie等。 前端可以把token存储在localstorage或者cookie。 方案:存cookie比较好。 localstorage有xss风险 ,cookie有csrf 和xss风险。
如何保证token的安全性?
这天有点热的博客
07-12 6331
引入如何保证token的安全性?原在连接中,这里只是防止丢失做的备份。 接口的安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。 时间戳超时机制: 用户每次请求都带上
java 框架 接口安全性_谈谈API接口安全性设计思路
weixin_36047554的博客
02-17 381
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。时间戳...
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
JWT相关知识及Cookie, Session,TokenJWT的区别总结.pdf
05-31
最通俗的关于Cookie, SessionTokenJWT的相关笔记和理解。在终章笔记中主要介绍一下JWT以及总结CookieJWT的区别与发展,包括JWT的定义,特点,重要属性,优缺点,作用和使用场景,CookieJWT场景,安全等的...
再一次,CookieSessionTokenJWT.xmind
02-05
再一次,CookieSessionTokenJWT.xmind
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个档跟大家详细介绍下三者的区别与使用
如何防止token泄露?
热门推荐
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
Token鉴权机制
kongtiao5的专栏
09-29 1万+
1、用户注册/添加用户,两个参数:userId、password  2、用户登录,登录校验userId和password 是否正确,正确根据userId、password 、时间戳,用MD5不可逆算法生成token。      将userId、token、超时时间存到数据库中,可以存在redis中,并将token返回给客户端。 3、前台在超时时间内再次请求带上userId和token即可进行...
Token详解及安全验证
qq_59125846的博客
05-18 5951
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。
如何安全地使用token
zou8944的博客
08-10 1845
通常在带有登录功能的业务中,我们会向用户(客户端)发放访问凭证,往后一段时间,用户持该凭证即可在应用内畅行。不同应用可能有不同的名字:access_tokentoken、xxxid,也可能有不同的形式:不透明字符串、JWT等。本讨论访问凭证的安全性。more考虑到一般发放JWT的系统都将其当做无状态token使用,不适用本讨论范,故忽略。...
关于前后端分离项目的 VueJS前端Token 存储问题,如何做更安全
QC班长的博客
10-15 5802
关于Vue前端token的存储问题: Vuex的store,localStorage,sessionStorage三者都可以存 记录登录状态一般都是token,例如:存在token说明已经登录,不存在就没登录->跳转登录页面 每一次请求都携带token在后台验证,如果token合法,没过期则返回请求的数据,否则返回token错误/过期等状态码。 至于浏览器开发调试手动改 你阻止不了其他...
声网 Token 鉴权机制,以及常见的问题
声网的博客
04-28 1635
可以看到,在用户加入频道前,客户端需要先向服务器申请Token,并在 服务器 生成 Token,且 Token 必须与 需要加入频道的用户所对应的 AppID、频道名、用户 ID(UID)信息、用户权限(是否能发流或收流) 一一对应,并且确保生成的 Token 在有效期内。Token 过期时,SDK 会触发 Token 过期回调。一般来说,我们建议在Token 过期前,及时更新 Token,即从服务器获取新的 Token 并调用 renewToken 将新生成的Token 传给 SDK。
Idris -- NumPy Cookbook -- 2012.pdf
最新发布
07-02
Idris -- NumPy Cookbook -- 2012
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型件,用于跟踪用户在网站上的活动和状态。...jwt:是一种基于token的身份验证和授权机制,使用JSON格式存储用户信息和有效期限等信息,具有安全性高、可扩展性强等优点。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值