Session/Cookie/Token的区别

最新推荐文章于 2023-08-02 15:13:23 发布
最新推荐文章于 2023-08-02 15:13:23 发布
阅读量313 收藏 1
点赞数
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cherish0123/article/details/79339692
版权
 

一、cookie

cookie是Web服务器用来识别Web用户的小块数据。Cookie是保存在客户端的一组数据,主要用来保存用户名等个人信息。
cookie由服务器生成,发送给浏览器,该数据以一个称为 “Set-Cookie”  HTTP  报头格式从  Web  服务器发出。   浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时以称为 “Cookie”  HTTP  报头格式将  cookie  发送回服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。
     cookie 的组成有:名称(key)、值(value)、有效域(domain)、路径(域的路径,一般设置为全局:"\")、失效时间、安全标志(指定后,cookie只有在使用SSL连接时才发送到服务器(https))。基于以上属性,浏览器只会向服务器发送该服务器产生的那些cookie。
 


二、session

由于HTTP协议是无状态的协议,所以服务端需要记录用户的状态时,就需要用某种机制来识别具体的用户,这个机制就是Session。典型的场景比如购物车,当你点击下单按钮时,由于HTTP协议无状态,所以并不知道是哪个用户操作的,所以服务端要为特定的用户创建了特定的Session,用于标识这个用户,并且跟踪用户,这样才知道购物车里面有几本书。这个Session是保存在服务端的,有一个唯一标识SessionID。在服务端保存Session的方法很多,内存、数据库、文件都有,目前是存放在服务器的内存中。集群的时候也要考虑Session的转移,在大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个时候 Session 信息都是放在内存的,使用一些缓存服务比如Memcached之类的来放 Session。
服务端通过在Cookie中记录SessionID(每建立一次会话,SessionID随机生成)发送给客户端,客户端请求时将SessionID发送回服务器,服务器以SessionID识别具体的用户。Session机制一般通过Cookie实现。
session的中文翻译是 会话 ,当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。


三、 基于token的身份验证方法

  1. 验证流程如下:
  1. 客户端使用用户名和密码请求登录;
  2. 服务端收到请求后,验证用户名与密码;
  3. 验证成功后,服务端会签发一个token,发送给客户端;
  4. 客户端收到token后存储起来,比如放在cookie里或localstorage里;
  5. 客户端每次向服务端请求资源时,带着服务前签发的token;
  6. 服务端收到请求后,去验证客户端请求里带着的token,若验证成功,返回客户端返回请求的数据;
  1. JWT
实施token验证的标准方法之一,表示:Json Web Token。JWT标准的token有3部分:
  • Header
  • Payload
  • Signature
中间用 “.” 分隔,并且会用Base64编码,所以真正的token看起像是这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 .eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
  1. Header
Header部分包含:token类型,使用的算法,比如下面的就是JWT,使用算法是HS256:
{
  "typ" : "JWT" ,
  "alg" : "HS256"
}
上面的内容要用Base64编码一下,变成这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
  1. Payload
Payload里面是token具体的内容,这些内容有些是标准字段,你也可以添加其他需要的内容。以下是标准字段:
  • iss:issuer,发行者
  • sub:Subject,主题
  • aud:audience,观众
  • exp:expiration time,过期时间
  • nbf:not before
  • iat:issued at,发行时间
  • jti:JWT ID
比如,下面这个payload,用到了iss发行者和exp过期时间。另外还有两个自定义是字段:name、admin。
{
  "iss" : " ninghao.net " ,
  "exp" : "1438955445" ,
  "name" : "wanghao" ,
  "admin" : true
}
使用Base64编码后变成这样:
eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ
  1. Signature
Signature有三部分内容:header(Base64编码过)、payload(Base64编码过),secret(相当于一个密码,这个密码秘密地存储在服务端)。
过程:
  1. 将上述Base64编码过的header和payload加在一起—>header.payload;
  2. 将secret加入header.payload中,一同进行哈希加密;
var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);
HMACSHA256(encodedString, 'secret' );
处理完后是这样:
        SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
最后,这个服务端生成并发送给客户端的token是这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 .eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

四、cookie session的区别

1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗
   考虑到安全应当使用session。
3、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
4、session的确是存放在服务器的内存中(但不是4k上限,具体大小限制应该是服务器内存),而且同一个sessionid的多个 http请求会排队,也就是session对于同一个浏览器来说是同步的,用不好会极大影响性能。另外,session依赖于客户端cookie,因为 sessionid是存放在客户端浏览器进程cookie中的,因此不支持cookie的浏览器,session也会丢失(一般这种情况下,会使用一种叫做URL重写的技术来进行会话跟踪,即:每次HTTP交互,URL后面都会被附加上一个诸如 sid=xxxxx 这样的参数,服务端据此来识别用户)    。 考虑到减轻服务器性能方面,应当使用COOKIE。
5、所以个人建议:
   将登陆信息等重要信息存放为 SESSION
   其他信息如果需要保留,可以放在COOKIE中

五、token session 的区别

    session    token并不矛盾,作为身份认证   token安全性比session好,因为每个请求都有签名还能防止监听以及重放攻击,而session就必须靠链路层来保障通讯安全了。如上所说,如果你需要实现有状态的会话,仍然可以增加session来在服务器端保存一些状态
    App 通常用restful api跟server打交道。Rest是stateless的,也就是app不需要像browser那样用cookie来保存session,因此用session token来标示自己就够了,session/state由api server的逻辑处理。   如果你的后端不是stateless的 rest api,  那么你可能需要在app里保存session.可以在app里嵌入webkit,用一个隐藏的browser来管理cookie session.
 
   Session  是一种HTTP存储机制,目的是为无状态的HTTP提供的持久机制。所谓 Session  认证只是简单的把 User  信息存储到 Session  里,因为 SID  的不可预测性,暂且认为是安全的。这是一种认证手段。   Token  ,如果指的是OAuth Token  或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对 App  。其目的是让 某App有权利访问 某用户 的信息。这里的   Token是唯一的。不可以转移到其它   App上,也不可以转到其它 用户 上。   转过来说 Session  。Session只提供一种简单的认证,即有此   SID,即认为有此   User的全部权利。是需要严格保密的,这个数据应该只保存在站方,不应该共享给其它网站或者第三方App。   所以简单来说,如果你的用户数据可能需要和第三方共享,或者允许第三方调用  API  接口,用  Token  。如果永远只是自己的网站,自己的   App,用什么就无所谓了。
  token 就是令牌,比如你授权(登录)一个程序时,他就是个依据,判断你是否已经授权该软件;cookie就是写在客户端的一个txt文件,里面包括你登录信息之类的,这样你下次在登录某个网站,就会自动调用cookie自动登录用户名;session和cookie差不多,只是session是写在服务器端的文件,也需要在客户端写入cookie文件,但是文件里是你的浏览器编号.Session的状态是存储在服务器端,客户端只有session id;而Token的状态是存储在客户端。
cherish0123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Session, TokenCookie区别
翾的博客
01-24 1013
文章目录1. SessionCookie区别及关联关系1.1. Cookie原理1.2. Session原理1.3. 总结2. token 1. SessionCookie区别及关联关系 cookie数据存放在客户的浏览器上,session数据放在服务器上(不同容器, 不同框架存储的位置不同, 可能是内存, 可能是文件, 也可以持久化储存) 1.1. Cookie原理 Cookie...
cookiesessiontoken区别
wangyuancode的博客
02-22 6499
Cookie实际上是一小段的文本信息。Cookies是由服务器产生的。当浏览器第一次访问服务端时,服务器此时肯定不知道他的身份,所以创建一个独特的身份标识数据,格式为key=value,放入到Set-Cookie字段里,随着响应报文发给浏览器。浏览器看到有Set-Cookie字段以后就知道这是服务器给的身份标识,于是就保存起来,下次请求时会自动将此key=value值放入到Cookie字段中发给服务端。服务端收到请求报文后,发现Cookie字段中有值,就能根据此值识别用户的身份然后提供数据。 Se..
CookieSessionToken概念、区别、如何实现
最新发布
diaobusi的博客
08-02 2285
Cookie 是在客户端存储数据的机制,由服务器通过 Set-Cookie 响应头发送给客户端浏览器,并存储在客户端上。主要用于在客户端保持用户状态和存储少量数据。存储在客户端,可能存在安全风险和受限制的存储容量。SessionSession 是在服务器端存储用户状态和数据的机制,通过为每个客户端创建唯一的会话标识来进行管理。主要用于在服务器上跟踪用户、存储大量数据和实现身份认证。存储在服务器端,安全性较高,但会增加服务器的负担和存储需求。Token
sessioncookietoken区别
热门推荐
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookietoken区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全,session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
SessionCookie
一点思考
12-31 421
转载自: https://blog.csdn.net/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器,服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
cookiesessiontoken详解
qq_54850598的博客
11-03 3168
目前网络上进行用户验证的方法主要有三种:cookie,session,token,他们之间存在相似也有各自的优缺点,本文将着重强调。cookie是浏览器存储在本地的文件,主要用于存储服务器对用户进行的标记,大小有限一般只为4kb,用户在第一次进行服务器请求时,服务器会生成对应的id,然后发送给客户端,客户端就会存储在本地文件中。
网络编程之tokensessioncookie详解
qq_30067153的博客
02-26 1545
理解cookiesessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
从描述中可以知道,文档的目标是帮助应聘者在面试过程中对SessionCookieToken有一个全面的了解,确保他们能够自信地回答面试官的问题,避免面试中遇到相关问题时感到困惑或不自信。 在标签"面试 php session ...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookieToken是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
Cookiesessiontoken区别tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
sessioncookietoken区别
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2711
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSessionToken三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSessionToken鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
稳了!这才是cookiesessiontoken的真正区别
javaQQ561487941的博客
04-26 1万+
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪...
前端鉴权:cookiesessiontoken 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 1478
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
Cookie,Session,Token
weixin_47414034的博客
05-14 1484
当浏览器发送 HTTP 请求到服务器时,服务器会响应客户端的请求,但当同一个浏览器再次发送请求到该服务器时,服务器并不知道它就是刚才那个浏览器 通常情况下,用户通过浏览器访问 Web 应用时,服务器都需要保存和跟踪用户的状态。例如,用户在某购物网站结算商品时,Web 服务器必须根据请求用户的身份,找到该用户过往所购买的商品 由于 HTTP 协议是无协议的,无法保存和跟踪用户状态,所以需要其他的方案来解决问此题,它就是会话技术。 什么会话?从打开浏览器访问某个网站,到关闭浏览器的过程,称为一次会话。会话
OSI模型和TCPIP模型
cherish0123的博客
02-20 1730
OSI模型名称记忆口诀封装的单元设备或者部件功能描述应用层(Application)所有的(All)数据PC为应用程序提供网络服务,比如文件、打印、消息、数据库服务。HTTP、FTP、SMTP、POP3表示层(Presentation)人们(People)数据 信息的语法语义以及它们的关联,用于完成某些特定功能,如加解密、转换翻译、解压缩会话层(Session)看起(Seem)数据 负责在网络中的...
sessioncookie区别token
03-17
sessioncookie都是用来跟踪用户状态的工具,但是它们的实现方式不同。 session是保存在服务器端的,用来存储用户信息,并且通过session ID来识别用户。 cookie是保存在客户端的,用来存储用户信息,并且通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值