Cookie、Session、Token

已于 2022-09-10 00:39:10 修改
阅读量306 收藏 1
点赞数
分类专栏: 秒杀项目相关 文章标签: 服务器 前端 java
于 2022-07-09 16:05:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XZB119211/article/details/125676435
版权

为什么会需要cookie、session、token?

  • Http协议是无状态的协议,因此,需要各种通行证来证明身份,每次客户端和服务端会话完成时,服务端不会保存任何会话信息:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次的发送者是不是同一个人。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。所以就需要cookie和session去实现。

Cookie

cookie存储在客户端的浏览器中,cookie是服务器产生并发送到用户浏览器并保存在本地的一小块数据,在浏览器下一次访问同一服务器时候被携带放在请求头中发送到服务器上。相当于钥匙,服务端用于验证钥匙是不是正确的,cookie不可以跨域,不同的域名绑定不同的cookie。
cookie格式:key:value;key:value;key:value;

Session

session是另一种记录服务器和客户端会话状态的机制
首先、session是基于cookie来实现的,session同样也存储在服务端,sessionid会被存储到客户端的cookie中,也就是说服务端产生sessionid然后通过传送cookie的方式传送到客户端。

  • 用户首次请求服务器时,服务器根据用户提交的相关信息(用户信息+浏览器信息+网址信息等)创建对应的session,生成sessionid,请求响应返回时将此sessionid返回给浏览器。
    浏览器接收到服务器返回的SessionID之后,会将sessionid存储在浏览器的cookie中,同时记录了这个session属于哪个域名(服务端)
  • 用户第二次访问服务器时,请求会自动判断此域名下是否存在cookie,如果存在,在发送请求时会自动在请求头中加入cookie一起发送到服务器,服务端从cookie中获取sessionid,根据sessionid查找session信息,没找到则说明没有登录或已经失效,如果找到则证明已经登录,可以执行后续操作。

Cookie和Session的区别

安全性:

Session相对更加安全,Session是存储在服务端的,Cookie是存储在客户端的。

存储值不同:

Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session有一定的存储空间,可以存储当前登录的用户信息, 可以存任意数据类型。

有效期不同:

Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效,session默认过期时间为30分钟。修改的话可以在yml文件中设置:server.servlet.session.timeout = 3600

存储大小不同:

单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。

Token令牌

Token值介绍
token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 MD5 加密之后的长字符串.
用户登录成功之后,在后端(服务器端)会根据用户信息生成一个唯一的值.这个值就是 token 值.
基本使用:
在服务器端(数据库)会保存这个 token 值,以后利用这个 token 值来检索对应的用户信息,并且判断用户的登录状态.
用户登录成功之后,服务器会将生成的 token 值返回给 客户端,在客户端也会保存这个 token 值.(一般可以保存在 cookie 中,也可以自己手动确定保存位置(比如偏好设置.)).
以后客户端在发送新的网络请求的时候,会默认自动附带这个 token 值(作为一个参数传递给服务器.).服务器拿到客户端传递的 token 值跟保存在 数据库中的 token 值做对比,以此来判断用户身份和登录状态.
判断登录状态:
如果客户端没有这个 token 值,意味着没有登录成功过,提示用户登录.
如果客户端有 token 值,一般会认为登录成功.不需要用户再次登录(输入账号和密码信息).
token 值扩展:
token 值有失效时间:
一般的 app ,token值得失效时间都在 1 年以上.
特殊的 app :银行类 app /支付类 app :token值失效时间 15 分钟左右.
一旦用户信息改变(密码改变),会在服务器生成新的 token 值,原来的 token值就会失效.需要再次输入账号和密码,以得到生成的新的 token 值.

唯一性判断: 每次登录,都会生成一个新的token值.原来的 token 值就会失效.利用时间来判断登录的差异性.

Token和Session的区别

Session 是一种记录服务器和客户端会话状态的机制,使服务端有状态化,可以记录会话信息。而 Token 是令牌,访问资源接口(API)时所需要的资源凭证。Token 使服务端无状态化,不会存储会话信息。
Session 和 Token 并不矛盾,作为身份认证 Token 安全性比 Session 好,因为每一个请求都有签名还能防止监听以及重放攻击,而 Session 就必须依赖链路层来保障通讯安全了。如果你需要实现有状态的会话,仍然可以增加 Session 来在服务器端保存一些状态。

总结

在实际应用场景中各类系统的登录功能中用到以上三种的都有,并不会有一定之规,虽然这三种在实现上有所不同,但是原理上比较相近,在选择用那种技术来实现自己的登录系统时需要根据实际场景来选择。但是最起码要明白这三种方式的原理。

智博的自留地
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
cookie session 令牌机制
Chen4852010的博客
01-13 689
cookie 1.特点 1.浏览器保存少量数据 2.都是存文本数据 3.每次访问都会携带 cookie(请求头中) 2.服务器cookie类和浏览器cookie字符串的区别 1.浏览器的cookie是 "key=value;key=value"的文本 而服务器的cookie类是 一个 key,value的数据类型 所以,服务器获得浏览器的cookie要用cookie[]接收 服务器向浏览器发送cookie,也是浏览器cookie字符串拼接了一个“key=va
sessioncookie:解决http无状态登录问题
程序哈哈的博客
04-04 908
服务器创建sessioncookie,并把session_id给cookie,当请求来了把cookie返回客户端保存,当请求又来了带着cookiesession_id和服务器session_id比较
cookiesession
weixin_43765747的博客
06-20 126
会话跟踪技术 cookie:客户端 作用 将网页中的 session:服务端
cookie默认有效期多长_惊艳面试官的 Cookie 介绍
weixin_39890629的博客
11-28 1703
关注在看,以后更多干货分享在头条!Cookie 是什么Cookie 是用户浏览器保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。Cookie 主要用于以下三个方面:会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)个性化设置(如用户自定义设置、主题等)浏览器行为跟踪(如跟踪分析用户行为等)✔ DomainDomain 标识指定了哪些主机可以...
java cookie 默认时间,java基础学习:JavaWeb之CookieSession
weixin_36125719的博客
03-19 304
其他更多java基础文章:java基础学习(目录)一、会话概述1.1、什么是会话?会话可简单理解为:用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话其中不管浏览器发送多少请求,都视为一次会话,直到浏览器关闭,本次会话结束。其中注意,一个浏览器就相当于一部电话,如果使用火狐浏览器,访问服务器,就是一次会话了,然后打开google浏览器,访问服务器,这...
cookie默认过期时间_Cookie简介
weixin_39837041的博客
11-28 7997
女主宣言笔者最近看了部分关于Cookie的内容,写了如下文字,给大家分享下。PS:丰富的一线技术、多元化的表现形式,尽在“360云计算”,点关注哦!1Cookie是什么CookieCookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。360百科 Cookie插曲SessionSession由于HTT...
cookie】设置cookie过期时间 超时时间,Cookie 设置 expires
sky___Show的博客
12-16 4778
Cookie是什么: 简单地说,cookie 就是浏览器储存在用户电脑上的一小段文本文件。cookie 是纯文本格式,不包含任何可执行的代码。一个 Web 页面或服务器告知浏览器按照一定规范来储存这些信息,并在随后的请求中将这些信息发送至服务器,Web 服务器就可以使用这些信息来识别不同的用户。大多数需要登录的网站在用户验证成功之后都会设置一个 cookie,只要这个 cookie 存在并可以,用户就可以自由浏览这个网站的任意页面。再次说明,cookie 只包含数据,就其本身而言并不有害。 设置Cookie
cookie过期时间设置
热门推荐
xiaokanfuchen86的博客
01-15 1万+
在设置之前,首先了解一下什么是cookiecookies是一种WEB服务器通过浏览器在访问者的硬盘上存储信息的手段。IE浏览器把Cookie信息保存在类似于C://windows//cookies的目录下。 当用户再次访问某个站点时,服务端将要求浏览器查找并返回先前发送的Cookie信息,来识别这个用户。 cookies给网站和用户带来的好处非常多: 1、Cookie能使站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径 2、Cookie能告诉在线广告商广告被点击的次数,从而...
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
用于与 HTTP 服务器通信的函数
最新发布
安徽锐锋科技-沐雨潇竹
05-21 624
将对在不更改结构的情况下不允许用于 URL 的所有字母进行掩蔽。将指定数据从 Base64 编码解码为原始状态,对传递的 Base64 编码文本中的二进制数据进行转换。decodeQuotedPrintableString 函数取消掩蔽由引用的可打印编码掩蔽的所有字母,将其转换为原始形式的传递文本。对引用的可打印编码中传递的字符串进行编码,其中将掩蔽不允许在 URL 中使用的所有字母,而不更改其结构。字符串数据类型的 FileName 参数用于指定要将解码后的数据保存到其中的文件的名称。
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智博的自留地

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值