Cookie,Session,Token,Jwt的使用

最新推荐文章于 2023-07-02 15:32:51 发布
最新推荐文章于 2023-07-02 15:32:51 发布
阅读量1k 收藏 3
点赞数
文章标签: java idea spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cc1373709409/article/details/124116725
版权

Cookie,Session,Token,Jwt的使用


都可以用来获取用户登录状态。

一.Cookie

cookie是在服务端创建的但是保存在客户端浏览器上直到本次会话结束过期(可以设置过期时间),每一次发起请求都会带着浏览器的所有cookie访问服务端。
测试使用代码:

@Controller
@RequestMapping("cookie")
public class CookieDemo {

    //测试cookie使用
    @RequestMapping("c")
    @ResponseBody
    public void test(HttpServletRequest request, HttpServletResponse response) throws IOException {
        request.setCharacterEncoding("GBK");          //设置请求编码格式
        response.setCharacterEncoding("GBK");        //设置响应编码格式
        response.setContentType("text/html;charset=utf-8");     //设置响应格式(不然要返回一个文档什么的显示不了)
        PrintWriter out = response.getWriter();
        Cookie[] cookies = request.getCookies();     //获取客户端请求中的cookie
        if(cookies!=null){                          //判断是否有cookie
            out.write("你上一次访问时间是:");
            for (int i = 0; i < cookies.length; i++) {                           //遍历所有cookie
                Cookie cookie = cookies[i];
                if (cookie.getName().equals("lastLoginTime3")){                 //获取cookie名字
                    long lastLoginTime = Long.parseLong(cookie.getValue());     //将cookie的value值转成长整形
                    Date date = new Date(lastLoginTime);                        //将长整形转化为日期格式
                    out.write(date.toLocaleString());
                }
            }
        }else {
                    out.write("这是您第一次访问本站");
        }
        Cookie cookie = new Cookie("lastLoginTime3", System.currentTimeMillis() + "");
        //cookie.setMaxAge(60*60*24);     //设置cookie存活时间为一天(如果不设置就是关闭浏览器自动删除cookie,设为0也能理解为删除)
        response.addCookie(cookie);       //给客户端响应一个cookie
    }

}

视频

二.Session

session是在服务端创建的,session对象创建完后会保存在服务器上直到本此会话结束,并且将session对象的ID以cookie的形式返回给浏览器,这样浏览器每次请求都会带着session的ID过去,服务端会先查看请求当中是否有sessionId,如果没有sessionId,则创建一个session对象;如果有sessionId,则依据该sessionId去查找对应的session对象,如果找到了,则返回该session对象,如果没有找到,则创建一个新的session对象。(不同的浏览器请求发过来都会先创建一个session对象)
测试使用代码:

@Controller
@RequestMapping("session")
public class SessionDemo {

    //测试session使用
    @RequestMapping("c")
    @ResponseBody
    public void test(HttpServletRequest request, HttpServletResponse response) throws IOException {
        request.setCharacterEncoding("GBK");          //设置请求编码格式
        response.setCharacterEncoding("GBK");        //设置响应编码格式
        response.setContentType("text/html;charset=utf-8");     //设置响应格式(不然要返回一个文档什么的显示不了)

        HttpSession session = request.getSession();     //先查看请求当中是否有sessionId,如果没有sessionId,则创建一个session对象;如果有sessionId,则依据该sessionId去查找对应的session对象,如果找到了,则返回该session对象,如果没有找到,则创建一个新的session对象。(相当不同的浏览器请求发过来都会先创建一个session对象)
        // Session创建的时候微了什么事情;   Cookie cookie = new Cookie( "JSESSIONID",sessionId);response.addCookie(cookie);
        long o = System.currentTimeMillis();
        session.setAttribute("date", o);		//设置这个session的key和value
        String sessionId = session.getId();     //获取session的id
        if (session.isNew()){                   //判断session是不是新创建的
            response.getWriter().write("session创建成功,ID:"+sessionId);
        }else {
            response.getWriter().write("session已经在服务器中存在,ID:"+sessionId);
        }
        //session.invalidate();  注销session相当于关闭浏览器的操作
    }
}

总结:session只在一次会话中有效(也可以设置session过期时间),当浏览器关闭之后重新访问,服务器就会创建新的session对象保存到内存中,当用户访问量很大的时候,考虑服务器性能的方面使用cookie比较合适(因为cookie是保存在客户端的),但是Session有一个致命的缺点就是服务器集群无法共享,通过负载均衡后请求可能打到不同的服务器上,所以需要配合Redis来使用。

视频

三.Token

会话机制(Session)是用于识别用户身份的方法之一,但是由于需要服务器保存所有人的session id,如果访问服务器多了,就得有成千上万或者几十万个。这对服务器是一个巨大的开销,严重的限制了服务器的拓展能力。因此诞生了token(令牌)。

Token认证流程:

  1. 用户输入用户名和密码,发送给服务器。

  2. 服务器验证用户名和密码,正确的话就返回一个签名过的token并存入redis数据库(token 可以认为就是个长长的字符串,也可以用uuid作为token),浏览器客户端拿到这个token。

  3. 后续每次请求中,浏览器会把token作为http header发送给服务器,服务器获取请求头中的token并到redis数据库中查询token是否存在。

  4. 如果存在就返回客户端需要的数据。 特点: 这种方式的特点就是客户端的token中自己保留有大量信息,服务器没有存储这些信息。

  5. 更改过滤器信息,获取请求头中的token值,跟redis里面的值进行对比,相同的话放行都会更新redis中token过期时间。

  6. 前端保存token值(存到localStorage中),并让请求头携带token值
    ajax中设置属性–> beforeSend: function (XMLHttpRequest) {
    XMLHttpRequest.setRequestHeader(“token”, “token的value”);
    }
    7.注销功能(退出登录):删除localStorage(前端)和redis(后端)中的token值。

(登录)示例代码:

//使用token前先把redis配置好并启动
@Controller
@RequestMapping("token")
public class TokenDemo {

    @Autowired
    @Qualifier("redisTemplate")      //使用自己的redisTemplate
    private RedisTemplate redisTemplate;

    @Autowired
    private RedisUtil redisUtil;    //使用封装好的redis工具类

    //测试Token使用(需要用到Redis)
    @RequestMapping("c")
    @ResponseBody
    public String test(@RequestParam String userName,@RequestParam String passWord){
        String MysqlUserName = "cjy";       //模拟数据库账号
        String MysqlPassWord = "123456";    //模拟数据库密码
        if (userName.equals(MysqlUserName)&&passWord.equals(MysqlPassWord)){   //登录成功
            String token = UUID.randomUUID()+"";         //生成令牌
            redisUtil.set(token,userName,60*30);  //存入redis中,key为token,value为用户名(也可以是一个对象),过期时间设为30分钟
            return token;
        }
        return "登录失败!";
    }
}

使用Token的缺点:每次都需要根据token去后端redis中查询真实内容,对服务器端的压力就会很大。

视频

四.JWT(Json Web Token)

Jwt是由以下三部分组成的一个字符串:(Header和Payload的数据是通过Base64编码形成的,Verify signature是通过MD5进行加密的)
请添加图片描述

  1. Header(头部):存放加密算法的类型
    例:
    {
    Typ=“jwt” --------> 类型为jwt
    Alg=“HS256” --------> 加密算法为hs256
    }
  2. Payload (有效载荷–>装载的数据):就是jwt存放的数据内容,就是token存在在redis数据库中的value值(不建议存一些敏感数据比如passWord,phoneNumber等等,因为数据是直接存放在客户端的,不安全)
    例:
    {
    “userName”:“cjy”
    “birthday”:“1999-11-20”
    “过期时间”:“2023年4月13日星期四 下午3:25:17”
    }

常用属性名如下:

iss: jwt签发者
sub: jwt所面向的用户
aud:接收jwt的一方
exp; jwt的过期时间,这个过期时间必须要大于签发时间
nbf:定义在什么时间之前,该jwt都是不可用的
iat: jwt的签发时间
jti:jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。

  1. Verify signature(验证签名):防止别人篡改Payload中的数据
    这部分数据是是将payload中的数据拼接上签名(加盐)后通过MD5加密后返回的,通过MD5加密后的数据是不可逆的,所以返回给前端后如果数据被改动了传给后端的这个Jwt就会解析不成功。

Jwt认证流程

  1. 用户输入用户名和密码,发送给服务器。

  2. 校验用户名和密码是否正确,如果正确通过Jwt加密算法并把用户信息放入Jwt中并返回给客户端(浏览器)存放起来(可以存在cookie或者localStorage中)。

  3. 后续每次请求中,浏览器会把Jwt作为http header发送给服务器,服务器直接将Jwt解析。

  4. 如果成功解析则代表此令牌有效,否则无效(如果Jwt被篡改,会解析失败),解析成功之后可直接使用Jwt中存储的信息

根据原理手写jwt(了解即可)

@Controller
@RequestMapping("jwt")
public class JwtDemo {

    //手写Jwt案例
    @Test
    public void Jwt() throws UnsupportedEncodingException {

        //header
        JSONObject heafer = new JSONObject();
        heafer.put("Alg","HS256");
        //payload
        JSONObject payload = new JSONObject();
        payload.put("userName","cjy");
        payload.put("userAge","23");
        payload.put("userId","1564");
        //payload.put("sjs", System.currentTimeMillis());      //设置随机数让每次生成的payload不一样
        //对数据进行base64编码
        String jwtHeader = Base64.getEncoder().encodeToString(heafer.toJSONString().getBytes());
        String jwtPayLoad = Base64.getEncoder().encodeToString(payload.toJSONString().getBytes());
        //设置盐值(一般情况下都是设置随机的盐值)
        String signingKey = "cjy";
        //签名 后面加盐(秘钥) (是存放在服务器端) (不加盐的话有可能会被暴力破解)
        String sign = MD5Utils.md5(payload.toJSONString() + signingKey);
        String jwt = jwtHeader + "."+ jwtPayLoad + "." + sign;      //拼接生成jwt
        System.out.println(jwt);

        //解密(判断前端中jwt的payload是否被更改)
        String jwtPayloadStr = jwt.split("\\.")[1];       //获取jwt中的payload的值
        String jwtSignStr = jwt.split("\\.")[2];          //获取jwt中签名的值
        //payload进行base64解码
        String deJwtPayloadStr = new String(Base64.getDecoder().decode(jwtPayloadStr), "UTF-8");
        System.out.println(MD5Utils.md5(deJwtPayloadStr + signingKey).equals(jwtSignStr));

    }
}

真实使用步骤

  1. 引入pom依赖
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.6.0</version>
</dependency>
  1. 验证登录成功后创建jwt
@Controller
@RequestMapping("jwt")
public class JwtUseDemo {

    private long time = 1000 * 60 * 60 * 24; //定义jwt存活时间为一天
    private String signature = "admin";     //定义签名信息(盐值)

    //Jwt使用案例
    @Test
    public void createJwt(){
        JwtBuilder jwtbuilder = Jwts.builder(); //创建一个jwt
        String jwtToken = jwtbuilder
                //header
                .setHeaderParam("typ","JWT")
                .setHeaderParam("alg","HS256")
                //payload
                .claim("userName","cjy")
                .claim("role","admin")
                .setSubject("admin-test")
                .setExpiration(new Date(System.currentTimeMillis()+time))
                .setId(UUID.randomUUID().toString())
                //signature(签名)
                .signWith(SignatureAlgorithm.HS256,signature)
                //凭借字符串
                .compact();
        System.out.println("生成的jwt值为:"+ jwtToken);
    }
}
  1. 解密jwt并获取payload里的值
@Controller
@RequestMapping("dejwt")
public class JwtUseDemo {
    private String signature = "admin";     //定义签名信息(盐值)
    //jwt解密
    @Test
    public void DecodeJwt(){
        String jwtStr = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJ1c2VyTmFtZSI6ImNqeSIsInJvbGUiOiJhZG1pbiIsInN1YiI6ImFkbWluLXRlc3QiLCJleHAiOjE2NDk5OTQ4MjIsImp0aSI6IjE4YzdkZDI0LTAzMTUtNDI1Yi04NGMxLTQzNzg5MTk2NGExMyJ9.Ku1xIM6SG7utEFxvQF_eURSY1-tkG7om_zT4DDomyN0";
        JwtParser jwtParser = Jwts.parser();    //通过这个对象进行解密
        //传入签名(盐值)对jwt进行解密并返回payload集合
        Jws<Claims> claimsJws = jwtParser.setSigningKey(signature).parseClaimsJws(jwtStr);
        //取得集合里的数据
        Claims claims = claimsJws.getBody();
        System.out.println(claims.get("userName"));
        System.out.println(claims.get("role"));
        System.out.println(claims.getId());
        System.out.println(claims.getSubject());
        System.out.println(claims.getExpiration());
    }
}

Jwt本身就是Token的优化版本,认证流程几乎相同,只是在生成token时进行加密,解析成功后大部分情况可直接拿Jwt中的信息进行使用

Jwt与 token最大的区别:
token依赖于Redis查询数据信息,token存放 value数据比较安全的(因为数据存放在redis中其他的服务器连接不到而且key是一个不重复的token值很难获取其值)。
而Jwt不需要依赖于服务器端,是将数据信息直接存放在客户端(浏览器)。

Jwt优点:

  • 无需在服务器存放用户的数据,减轻服务器端压力
  • 轻量级、json风格比较简单,跨语言

Jwt缺点:

  • Token一旦生成后期无法修改,也无法更新token有效期
  • 无法销毁一个jwt(所以建议将jwt存活时间设置短一点)

视频1(了解原理) 视频2(真实使用)

孤岛土著人
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cookiesession以及token的定义、区别、使用环境
这是一个机械转编程的博客
06-04 386
cookiesession以及token的定义、区别、使用环境,综合了蛮多写的好的高手文章,同时结合了自己的分析与想法
包教包会——CookieSessionTokenJWT
小王的技术库
12-24 693
session 是另一种记录服务器和客户端会话状态的机制session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中访问资源接口(API)时所需要的资源凭证uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token 的前几位以哈希算法压缩成的一定长度的十六进制字符串)JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。
认证与授权之CookieSessionTokenJWT
BASK2312的博客
12-08 930
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的操作就是认证(此处说法可能不太严谨,登录操作除了认证可能也会涉及到授权,如果所有资源都对外开放,那么就没有授权一说)
sessioncookietoken以及JWT
liuyinlong
04-20 362
sessioncookie 现在一般都是sessioncookie一起用,一起提。但是他们俩其实不是一定要在一起。 首先牢记一点,http协议是无状态的。就是说,一个请求过来,服务器不知道这个请求的用户是不是已经登录过了,不知道他的状态。只能再把这个请求重定向到登陆页面。 这样用户就疯了,怎么一直让我登录。 所以,前人想了一个办法,在第一次登录后,在服务器端记录一个会话id(sessi...
cookie,session,token的流程使用方式
zheng_jia_jun的博客
07-23 281
**cookie 是由服务器生成的,** 执行的流程: 1. 客户端向服务器端先发送一次请求给服务端 2. 服务器返回一个http响应给客户端,这个客户端里面包含了,set-Cookie 头部 3. 客户端根据这个头部设置 cookie 4. 之后的每次请求就会携带上 cookie 发送给客户端...
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
再一次,CookieSessionTokenJWT.xmind
02-05
再一次,CookieSessionTokenJWT.xmind
CookieSessionTokenJWT
最新发布
07-21
CookieSessionTokenJWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
JWT相关知识及Cookie, Session,TokenJWT的区别总结.pdf
05-31
Cookie通常用于存储用户会话信息,依赖服务器的Session存储,而JWT则将这些信息包含在Token中,减少了服务器的负担。与Cookie相比,JWT是无状态的,更适合于微服务架构,但不适用于需要服务器维持状态的情况。JWT与...
thinkphp框架使用JWTtoken的方法详解
01-03
一:JWT介绍:全称JSON Web Token,基于JSON的开放标准((RFC 7519) ,以token的方式代替传统的Cookie-Session模式,用于各服务器、客户端传递信息签名验证。 二:JWT优点: 1:服务端不需要保存传统会话信息,没有...
CookieSessionTokenJWT详细介绍
AN_NI_112的博客
07-02 709
CookieSessionToken详细介绍
cookiesessionJWT
weixin_57836635的博客
04-21 145
用户安全验证
一文彻底搞懂cookiesessiontokenjwt
酷奇的博客
03-02 1141
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 TokenJWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证TokenJWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session服务器存储数据方案 角度三:创建者 Cookie、Sessin、TokenJWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
cookiesession、tooken
伟庭的博客
07-01 2732
cookiesession、tooken
CookieSessionTokenJwt详解
weixin_53952534的博客
01-25 844
cookiesessiontokenjwt的区别和联系
如何安全储存JWTCookie与Web Storage
WLsweety的博客
02-12 589
黑客的代码和你的代码一样被用户信任!支持Cookie的开发人员会强烈建议不要将敏感信息(例如JWT)储存在Local Storage中,因为它对于XSS毫无抵抗力,并且批判培训班或者大部分开发人员总是一股脑的选择Local Storage,而忽视了安全这个最大的问题。这种观点是不全面的,Local storage 有着与 Cookie一样的安全机制,只有加了httpOnly 和 secure 的Cookie才更加安全,对于普通的Cookie,它的安全等级与Local Storage并无差别。
分布式session解决方案 — — JWT(生成token
weixin_45565886的博客
08-27 1210
分布式session解决方案 — — JWT(生成token
java使用 CookieJWT 身份验证
03-11 411
HTTP是无状态协议,用于传输数据。它启用了客户端和服务器端>之间的通信。它最初是为了在Web浏览器和Web服务器之间建立连接而建立的。比如在网上购物,我们添加一些商品,例如。耳机到我们的购物车,然后,我们继续寻找其他项目,在此期间,我们希望在执行任何其他任务是存储购物车项目的状态且不丢失它们。这意味着我们希望在整个购物过程中记住我们的状态。由于HTTP是无状态协议,因此要克服问题,我们可以使用会话或者令牌 1、基于会话的身份验证 在JSON Web令牌出现之前,我们主要使用这种身份验证。在这种身
jwt+cookie 实现sso
wangjianwangzhefeng的博客
04-22 1104
看图理解JWT如何用于单点登录 阅读目录 前言 方案介绍 方案总结 本文小结 单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT跟单点登录结合起来一起使用,尽量能把两种技术的...
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。...jwt:是一种基于token的身份验证和授权机制,使用JSON格式存储用户信息和有效期限等信息,具有安全性高、可扩展性强等优点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值