Cookie、Session和Token的区别与联系

最新推荐文章于 2023-08-02 15:13:23 发布
最新推荐文章于 2023-08-02 15:13:23 发布
阅读量3.4k 收藏 16
点赞数 1
文章标签: http 服务器 cookie session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bestzy6/article/details/123191571
版权

以下是本人的一些笔记,助于理解概念,并不详细,详细内容可以参考文中提供的链接。

一、HTTP的无状态性

HTTP是无状态协议,它不对之前发生过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。

假设要求登录认证的Web页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。

不可否认,无状态协议当然有它的优点。由于不必保存状态,自然可减少服务器的CPU及内存资源的消耗。从另一个角度来讲,也正是因为HTTP协议本身是非常简单的,所以才会被应用在各种场景里。

二、Cookie

保留无状态协议这个特征的同时又要解决类似的矛盾问题,于是引入了Cookie技术。

Cookie技术通过在请求和响应报文中写入Cookie信息来控制客户端的状态。Cookie会根据从服务器端发送的响应报文内的一个叫做Set-Cookie的首部字段信息,通知客户端保存Cookie。当下次客户端再往该服务器发送请求时,客户端会自动在请求报文中加入Cookie值后发送出去。

服务器端发现客户端发送过来的Cookie后,会去检查究竟是从哪一个客户端发来的连接请求,然后对比服务器上的记录,最后得到之前的状态信息。

cookie的特点

  • cookie 存储在客户端。 cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。
  • cookie 是不可跨域的。 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的靠的是 domain)。

关于Cookie的更多内容可以查看:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies

三、Session

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器内存中(也可以保存在redis中,便于集群共享使用)。

严格来说,Session并非属于http协议中的内容,Session是web开发里一个重要的概念,但它们之间相互联系。

一般情况下,

  • 当浏览器第一次请求Session对象时,服务器会创建一个Session,并通过算法得出一个SessionID,用来标识该Session对象,然后将SessionID放置在Set-Cookie的首部字段中返回给客户端。
  • 浏览器下次发请求的时候,这个SessionID会被放置在请求头中,和Cookie一起发送回来,服务器再根据SessionID找到之前创建的Session对象,提供给请求使用,也就是服务器会通过Session保存一个状态记录。

四、Cookie与Session

一般而言,Cookie和Session是混合使用的。Session的实现常常依赖于Cookie机制,通过Cookie机制回传SessionID。

Cookie与Session的区别

  1. 安全性: Session 比 Cookie 安全,Session 是存储在服务器端的,Cookie 是存储在客户端的。
  2. 存取值的类型不同:Cookie 只支持存字符串数据,想要设置其他类型的数据,需要将其转换成字符串,Session 可以存任意数据类型。
  3. 有效期不同: Cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,Session 一般失效时间较短,客户端关闭(默认情况下)或者 Session 超时都会失效。
  4. 存储大小不同: 单个 Cookie 保存的数据不能超过 4K,Session 可存储数据远高于 Cookie,但是当访问量过多,会占用过多的服务器资源。

五、Token

Cookie与Session机制可以解决http协议的无状态问题,但是,如果客户较多,服务端保存的session数据就会很多,也就需要花费大量的内存来保存session。

为了解决这个问题,可以将相关信息保存在客户端,但对相关信息进行加密,而服务端只需要在获取到请求时解密就可以直接得到信息内容,而无需进行查询,这样就解决了内存消耗大的问题,这本质上是一种以时间换空间的策略,而这种策略就是Token机制。

Token机制有现成的解决方案,即Json Web Token。

5.1、Json Web Token

Json Web Token 的简称就是 JWT,通常可以称为 Json 令牌。它是RFC 7519 中定义的用于安全的将信息作为 Json 对象进行传输的一种形式。JWT 中存储的信息是经过数字签名的,因此可以被信任和理解。可以使用 HMAC 算法或使用 RSA/ECDSA 的公用/专用密钥对 JWT 进行签名。

关于jwt的内容,具体可参考https://jwt.io/introduction/

六、参考

小菜鸡本菜
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SessioncookieToken的关系
tianxingcheng的博客
05-15 146
客户端在第一次访问服务器的时候,服务端会响应一个sessionId,并且将它存入到客户端本地的cookie中,在之后的访问会将cookie中的sessionId放入到请求头中去访问服务器,如果服务器通过这个sessionId没有找到对应的数据,那么服务器会创建一个新的sessionId并且响应给客户端。Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。
cookiesessiontoken联系区别
蓝色海洋-探寻
07-02 1152
cookiesessiontoken联系区别
sessioncookietoken区别联系
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
01-05 773
session session的中文翻译是“会话”,当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。 cookie...
Cookiesessiontoken区别tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
sessioncookietoken区别
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
网络编程之tokensessioncookie详解
qq_30067153的博客
02-26 1260
理解cookiesessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
sessioncookietoken区别
热门推荐
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookietoken区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全,session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
Token,CookieSession三者的区别
winkexin的博客
05-12 3624
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession区别还是一知半解。
SessionCookie
一点思考
12-31 400
转载自: https://blog.csdn.net/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器,服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
CookieSessionToken概念、区别、如何实现
最新发布
diaobusi的博客
08-02 1464
Cookie 是在客户端存储数据的机制,由服务器通过 Set-Cookie 响应头发送给客户端浏览器,并存储在客户端上。主要用于在客户端保持用户状态和存储少量数据。存储在客户端,可能存在安全风险和受限制的存储容量。SessionSession 是在服务器端存储用户状态和数据的机制,通过为每个客户端创建唯一的会话标识来进行管理。主要用于在服务器上跟踪用户、存储大量数据和实现身份认证。存储在服务器端,安全性较高,但会增加服务器的负担和存储需求。Token
sessiontokencookie
二阶求导的博客
10-08 234
1. 多类选择器:一个class值可能包含一个词列表,词之间用空格分开,词的顺序无关紧要 .important{font-weight:bold;} //粗体 .warning{font-style:italic;} //斜体 .important.warning{backgroung:silver;} //粗体+斜体+银色背景 // 元素的class属性只有包含多类选择器的全部词才能与之匹配,但不需要“只包含”,以下两种均可匹配 <p class="im
TokenCookieSession详解
weixin_46418118的博客
10-22 968
TokenCookieSession详解
#软件测试面试之接口测试#
weixin_63089870的博客
04-19 145
http的连接很简单,是无状态的;同样是因为get请求的参数放在url里边,所以安全性是比较差的,post的请求参数放在body里边,所以安全性就相对于好一点。get请求参数因为被放到url里边,url的长度是受限的,它最大就是2048个字符,而Post的长度的是没有限制的。参数必填校验,参数长度校验,参数数据类型校验,参数数据有效值校验,参数数据默认值校验参数与参数组合数据校验。http和https使用的是完全不同的链接方式,用的端口也不一样,前者是80,后者是443。session服务器缓存技术;
cookiesessiontoken之间的关系
xn_nancy的博客
03-03 2973
Cookie机制 由于HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了CookieCookie实际上是一小段的文本信息。Cookies是由服务器产生的。接下来我们描述一下Cookie产生的过程。浏览器第一次访问服务端时,服务器此时肯定不知道他的身份,所以创建一个独特的身份标识数据,格式为key=value,放入到Set-Cookie字段里,随着响应报文发给浏览器。浏览器看到有Set-Cookie字段以后就知道这是服务器给的身份标识,于是就保存起来,.
cookiesessiontoken区别
04-07
CookieSessionToken都是用来在Web应用中跟踪用户身份的方式,但它们之间有一些区别: 1. Cookie是存储在客户端的一小段文本,存储在浏览器中,可以设置过期时间。Session是存储在服务器上的数据,用于存储用户的状态信息,可以存储比Cookie更多的信息。Token也是存储在客户端的一段文本,但与Cookie不同的是,Token不需要存储在浏览器中,可以存储在客户端的任何地方。 2. CookieSession都需要在用户登录后创建,而Token可以在任何时候创建。 3. CookieSession都有被劫持的风险,而Token可以通过加密和签名的方式来避免被劫持。 总的来说,CookieSessionToken都有各自的优缺点,可以根据具体情况选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值