cookie、session、token

最新推荐文章于 2024-04-23 10:39:01 发布
最新推荐文章于 2024-04-23 10:39:01 发布
阅读量445 收藏
点赞数
分类专栏: 技能树 # 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abuanden/article/details/115256956
版权

一、常见验证方式

  1. cookie:客户端使用 cookie直接认证,需要设置 cookie为 httpOnly,可以防止 xss攻击。但是无法防止 csrf攻击。需要设置伪随机数 X-XSRF-TOKEN。(推荐,不需要处理 xss,并且xsrf 随机数有完善的应用机制)
  2. 自定义请求头token:客户端使用 auth授权头认证,token存储在 cookie中。这样可以防止 csrf攻击,但是需要防止xss攻击。,因为 csrf只能在请求中携带 cookie,而这里必须从 cookie中拿出相应的值并放到 authorization 头中。实际上cookie不能跨站(同源政策)被取出,因此可以避免 csrf 攻击。(适用于 ajax请求或者 api请求,可以方便的设置 auth头)
  3. localstorage:可以将token存储在 localstorage里面,需要防止xss攻击。实现方式可以在一个统一的地方复写请求头,让每次请求都在header中带上这个token, 当token失效的时候,后端肯定会返回401,这个时候在你可以在前端代码中操作返回登陆页面,清除localstorage中的token。(适用于 ajax请求或者 api请求,可以方便的存入 localstorage)

二、如何不传递cookie

三、cookie、session、token区别

  • cookie 存储在客户端, 不可跨域

  • seesionID存入cookie中,同时cookie记录此sessionId属于那个域名

  • cookie只支持字符串数据,session支持任意数据类型

  • cookie可以设置为长时间保持

  • session时间短,客户端关闭或者session超时都会关闭

  • token: 服务端无状态化、支持移动设备、支持跨程序调用、

四、token相关

**简单token:**uid+time(时间戳)+sign(签名,token前几位以哈希算法压缩成一定长度的十六进制字符)

**token存储:**token一般存在cookie和localstorage中,每次请求资源需要携带token,放在HTTP的请求头里面。服务端不用存token数据,用解析时间换储存空间,完全由应用管理,可以避开同源策略

**Refresh token :**Refresh token 以及过期时间储存在服务器中,在申请新的access token 时才会验证。

怎么用token

  • session和token不矛盾。session使服务端有状态化。token是令牌,服务端无状态。可以结合起来,实现服务端有状态化,并且验证。

  • 如果用户数据可能和第三方共享,或者允许第三方调用API接口,用Token。因为拥有SessionId就拥有此资源的全部权利,所以不建议用sesssion验证。

五、JWT

JWT:JSON Web Token 最流行的一种跨域认证方案。使用RES公/私钥进行签名,因为数字签名的存在,传递的信息是可靠的

方法一:Authorization:Bearer 代码……

用户想访问受保护的路由或资源时,需要在请求头的Authorization的Bearer模式添加JWT:

JWT自己包含会话信息,可以减少查询数据库 需要

JWT不使用cookie,所以不用担心跨域问题。

方法二:放在POST请求的数据体里面。
方法三:通过URL后面作为参数传输
JWT和token的区别;

Token:服务端需要验证客户端发送过来token,还需要查询数据库获取用户信息,然后验证

JWT:将Token和Payload加密后储存在客户端,服务端只需要使用密钥解密即可校验,不需要额外的查询,因为JWT自包含用户信息和加密数据

六、常见前后端鉴权方式:

  1. Session-cookie
  2. Token验证(包括JWT,SSO)
  3. OAuth.2.0(开放授权)

使用时考虑的问题:

使用sessiond需要考虑的问题
  1. session在服务端会占用较多空间,要定时清理
  2. 当网站采用CDN时,session在多个服务器之间无法共享
  3. 多个应用要共享session,会遇到跨域问题
  4. sessionId储存在cookie中,如果浏览器禁止cookie或者不支持cookie怎么办?一般会把sessionId跟在URL参数后面即重写URL,所以session不一定需要靠cookie实现
使用cookie:
  1. 不要存敏感信息,如账号密码
  2. 使用httponly(预防XSS)
  3. 容易被客户端修改,需要验证合法性
  4. 移动端对cookie的支持不是很好
使用token时
  1. token完全由应用管理,可以避开同源策略
  2. 可以避免csrf攻击,因为不需要cookie了
使用JWT
  1. 支持跨域
  2. 默认不加密,可以生成原始Token后,通过密钥再加密一次
  3. JWT不加密时,不能储存密码之类的敏感数据
  4. JWT不仅可以用于认证,还可以用于交换信息。有效使用JWT可以降低服务器查询数据库的次数
  5. JWT一旦签发了,到期之前始终有效。
  6. JWT本身包含认证信息,一旦泄漏,任何人可以获取该令牌的所有权限。所以应该将JWT的有效期设置得比较短,对于一些重要的权限,还要再认证一次
  7. JWT适合一次性的命令认证,签发一个有效期极短的JWT。
  8. 为了减少盗用,JWT应该使用HTTPS协议传输
使用加密算法:
  1. 不要以明文储存密码
  2. 永远用 哈希算法 来处理密码,不要使用base64或者其他编码方法来储存。
  3. 不要用弱哈希或已经破解的哈希算法,像MD5或者SHA1。
  4. 不要明文显示密码。对密码的所有者,如果“忘记密码”功能,也要随机生成新的 “一次性”的密码,然后发给用户
哈希算法特点:
  1. 正向快速
  2. 逆向困难
  3. 输入敏感(原始数据有一点变化,得到的哈希值变化就会很大)
  4. 冲突避免(算出的哈希值基本不会冲突)
  5. token不能保证数据不被恶意篡改,可以使用REA公钥+哈希值进行保证。
abuanden
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN时的坑
weixin_56039103的博客
08-07 1619
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
通过Postman进行post请求时传递X-XSRF-TOKEN
热门推荐
如是说的博客
08-28 2万+
前言介绍 这段时间一个项目后端用的是laravel.在写api接口时通过Postman6进行测试.但是在测试post形式的接口时laravel自带了CSRF验证机制.这就很尴尬了... 所以我们的目的在使用Postman通過XSRF的验证,以測試POST的請求。还是以laravel为例子,Laravel会返回到浏览器的GET请求时将XSRF-TOKEN写在Cookie中.因此我们需要从Cook...
CookieSessionToken 的区别与用途
最新发布
ProgramNovice的博客
04-23 1171
CookieSessionToken 的区别与用途
第二次爬虫实战--知乎
Chris Lee
04-27 1279
对于知乎的爬取已经进行了一段时间了,这也是真正意义上的爬虫实战,在这段时间学到了很多。在这片文章中想进行较详细的总结。 思路:对于社交网络的爬取,我们一般利用用户的关注人和粉丝人去进行遍历,而遍历到下一层的用户时再去遍历这个用户的关注和粉丝列表,这样利用递归我们就能够爬取到大部分用户的信息。在我的代码中,我的主要思路是先把所有用户的ID放入一个列表,然后遍历这个列表再分别去收集每个用户的信息。那
为什么XSRF-TOKEN可以用于防止跨站请求伪造(CSRF或XSRF)攻击
m0_57236802的博客
08-13 1902
在发送到服务器的每个非简单请求(例如 POST 请求)中,客户端应用程序还必须以某种方式(如请求头或表单字段)将该 token 包括进去。因此,即使攻击者能够诱使用户的浏览器对目标站点发起请求,由于他们不能在请求中包括有效的 token,所以该请求将被服务器拒绝。用于防止跨站请求伪造(CSRF 或 XSRF)攻击的原理在于,它为每个会话提供了一个唯一的、难以预测的 token。:对于每个涉及潜在副作用的请求(例如修改、添加或删除数据的请求),服务器都会检查附带的。
Web开发中的 XSS、CSRF/XSRF、CORS
weixin_45678031的博客
06-09 580
XSS 跨站脚本攻击 向正常网站的表单中注入恶意脚本代码,窃取网站私有内容,比如窃取cookies、localstorage、sessionstorage的内容。 防御策略 设置cookies为HttpOnly 使cookie不可被js读取操作。 CSRF/XSRF 跨站请求伪造 诱导用户在恶意网站内点击链接,链接请求正常网站的功能业务,会自动携带正常网站的cookies,在用户不知情的情况下完成一些操作。 防御策略 健强服务端逻辑,严格restful风格,可以防御一些低端的攻击。 利用请求头中的refe
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
cookie,token,session
05-13
"CookieTokenSession 的对比和应用" CookieTokenSession 是三个常用的身份验证机制,在 Web 应用程序中广泛应用于身份验证和会话管理。以下是对这三者的详细解释和比较。 Cookie Cookie 是一种小型文本...
再一次,CookieSessionToken、JWT.xmind
02-05
再一次,CookieSessionToken、JWT.xmind
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookieToken是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
login for cookie or session or token
03-15
标题"login for cookie or session or token"涉及了三种常见的用户身份验证方法:CookieSessionToken。让我们深入探讨这些概念及其在Golang(一种流行的开源编程语言)中的实现。 1. **Cookie**: Cookie是一...
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3452
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
终于有人把cookietokensession讲明白了。
分享测试知识
01-04 1215
1、HTTP的无状态协议 HTTP无状态协议是指该协议对事件的处理过程没有记忆能力,当后续的步骤需要上一步的信息时,则需要重传,即需要携带上一次的信息。 因此,对于存在依赖性的访问请求,则下一次的传递需要携带上一次传递的信息,依次不断的叠加,会导致传输的信息量会越来越大,服务器响应较慢。 HTTP无状态访问 在90年代,浏览器刚出现的时候,它的作用也仅仅是浏览一些文本而已,彼此之间不存在依赖关系(在后面的学习中,我们把这种依赖关系理解为会话)。因此,服务器不需要做任何的记录,浏览器请求什么,服务
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端浏览器在其后面的HTTP请求中向同一个服务器发送请求时,它将在具有相同域名的请求中包含此CookieSession是由服务器认证用户身份并在其后续请求之间保存数据的机制。在建立Session时,服务器将赋予一个Session ID(通常是一个加密字符串),它将被存储在Cookie中并发送回客户端浏览器中。客户端浏览器将随后请求中包含该Cookie,并且服务器可以据此确定客户端浏览器的身份和客户端浏览器所需的数据。 Token是由服务器发出的一种文本字符串,用于验证客户端请求和服务器的响应。Token不是在客户端存储的,而是在服务端验证,一般包含加密的用户信息,客户端需要通过输入用户名和密码或其他凭据来认证身份以获取Token,然后在后面的请求中将其发送给服务器。 在web开发中,CookieSessionToken通常用于管理用户身份验证和状态维持。Cookie是最基本的机制,Session提供了更安全的身份验证和数据保存,而Token则对安全性进行了改进,可用于跨浏览器和跨设备使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值