cookie、session、Token

最新推荐文章于 2024-07-09 23:48:38 发布
最新推荐文章于 2024-07-09 23:48:38 发布
阅读量106 收藏
点赞数 1
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxw_1307/article/details/129498544
版权

无状态的HTTP协议

接口一般是通过 HTTP 协议来进行数据交换的,而 HTTP 协议的特点是,无状态,工作前通过三次握手建立连接,工作完成后立刻通过四次挥手断开连接, 每次请求都是一个新的HTTP协议,就是请求加响应。不用记录谁刚刚发了HTTP请求, 每次请求都是全新的。即耗费了性能,也给黑客的攻击留下隐患。

cookie

cookie由服务器生成,发送给浏览器,浏览器把cookie以KV形式存储到某个目录下的文本文件中,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间。所以每个域的cookie数量是有限制的

session

session是服务器给客户端分配的身份验证的表识。然后客户端每次向服务器发请求的时候,都带上这个”身份标识“,服务器就知道这个请求来自与谁了。 至于客户端怎么保存这个”身份标识“,可以有很多方式,对于浏览器客户端,大家都采用cookie的方式。

过程(服务端session + 客户端 sessionId)

  • 1.用户向服务器发送用户名和密码
  • 2.服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色, 登陆时间等;
  • 3.服务器向用户返回一个session_id, 写入用户的cookie
  • 4.用户随后的每一次请求, 都会通过cookie, 将session_id传回服务器
  • 5.服务端收到 session_id, 找到前期保存的数据, 由此得知用户的身份

存在的问题

扩展性不好

单机当然没问题, 如果是服务器集群, 或者是跨域的服务导向架构, 这就要求session数据共享,每台服务器都能够读取session。

举例来说, A网站和B网站是同一家公司的关联服务。现在要求,用户只要在其中一个网站登录,再访问另一个网站就会自动登录,请问怎么实现?这个问题就是如何实现单点登录的问题

  1. Nginx ip_hash 策略,服务端使用 Nginx 代理,每个请求按访问 IP 的 hash 分配,这样来自同一 IP 固定访问一个后台服务器,避免了在服务器 A 创建 Session,第二次分发到服务器 B 的现象。
  2. Session复制:任何一个服务器上的 Session 发生改变(增删改),该节点会把这个 Session 的所有内容序列化,然后广播给所有其它节点。
  3. 共享Session:将Session Id 集中存储到一个地方,所有的机器都来访问这个地方的数据。这种方案的优点是架构清晰,缺点是工程量比较大。另外,持久层万一挂了,就会单点失败;

另一种方案是服务器索性不保存session数据了,所有数据就保存在客户端,每次请求都发回服务器。这种方案就是接下来要介绍的基于Token的验证;

Token

特点

1、无状态、可扩展

2、支持移动设备

3、跨程序调用

4、安全

过程

 

  1. 用户通过用户名和密码发送请求
  2. 程序验证
  3. 程序返回一个签名的token给客户端
  4. 客户端储存token, 并且每次请求带上token
  5. 服务端验证Token并返回数据

这个方式的技术其实很早就已经有很多实现了,而且还有现成的标准可用,这个标准就是JWT;

JWT(JSON Web Token)

数据结构

实际的JWT大概就像下面这样:

 

JSON Web Tokens由dot(.)分隔的三个部分组成,它们是:

  • Header(头部)【Header 是一个 JSON 对象】
  • Payload(负载)【Payload 部分也是一个 JSON 对象,用来存放实际需要传递的数据,JWT 默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。】
  • Signature(签名)【Signature 是对前两部分的签名,防止数据被篡改。】

因此,JWT通常如下展示:

xxxxx.yyyyy.zzzz

如何保证安全?

  • 发送JWT要使用HTTPS;不使用HTTPS发送的时候,JWT里不要写入秘密数据
  • JWT的payload中要设置expire时间
  • wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw== 编辑

由于token是无状态的,服务器不需要存储session,使得服务器认证鉴权业务可以方便扩展。这也是JWT最大的缺点由于服务器不需要存储Session状态,因此使用过程中无法废弃某个Token,或者更改Token的权限。也就是说一旦JWT签发了,到期之前就会始终有效。 

【问题:当用户修改了密码,而token并未过期或失效咋办?

    解决:

  1. 保存JWT到数据库(或Redis),这样可以针对每个JWT单独校验
  2. 在重置密码等需要作废之前全部JWT时,把操作时间点记录到数据库(或Redis),校验JWT时同时判断此JWT创建之后有没有过重置密码等类似操作,如果有校验不通过

  3.  链接

    最新SpringBoot实现JWT+延续token过期时间+修改密码失效token -超简单_springboot设置token过期时间_SadPony的博客-CSDN博客

参考链接:

详解 Cookie,Session,Token - 掘金

CXW_1307
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CookieSessionToken 的区别与用途
ProgramNovice的博客
04-23 1059
CookieSessionToken 的区别与用途
Cookie Session Token
段王爷的博客
02-01 1056
Cookie Cookie是客户端保存数据的一种机制 会话cookie 保存在浏览器内存中,浏览器关闭后就消失了,CTRL+SHIFT+DEL可以删除 持久化cookie 保存在本地磁盘上,一般会有一定的过期时间 例如chrome浏览器:C:\Users\DLZ\AppData\Local\Google\Chrome\User Data\Default\Cache Session session是服务端保存数据的一种机制,用户的一些关键信息会保存在sessionsession保存在服务
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 3788
Cookie Session Token讲解及用法
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3612
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
浅析cookie session token
lbw_15189736971的博客
08-28 3347
概念 cookie:又称为“小甜饼”。类型为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密) session:(会话)是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制 token:令牌,代表执行某些操作的权利的对象 session token:交互会话中唯一身份标识符 网上...
熬夜彻底搞懂Cookie Session Token JWT
码农小胖哥
08-19 847
一切的根源就是因为 HTTP 是一个无状态的协议。HTTP 是一个无状态的协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。看过电影《夏洛特烦恼》的...
Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
主要发布一些日常学习代码及理解
10-12 857
详细介绍了Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
实现登录状态保持的方法:cookie session token jwt
路漫漫其修远兮,吾将上下而求索。
03-12 3641
实现登录状态保持的方法 方法一:cookiesession配合使用 首先,用户登录输入用户名和密码,浏览器发送post请求,服务器后台获取用户信息,查询数据库验证用户信息是否正确。如果验证通过,就会创建session来存储相关信息,并且生成一个cookie字符串,把sessionID放在cookie里面。然后返回给浏览器。 当用户下一次发起请求时,浏览器会自动携带cookie去请求服务器,服务器...
鉴权 cookie session token的区别
qq_43844012的博客
04-19 1415
背景 在B站看到一个up的详细解说cookiesession、tocken觉得讲的挺透彻的,于是就趁热记录一下。 一、鉴权是什么? 鉴权就是鉴定权限,最常见的就是鉴定该用户是否为登录状态。最开始做接口测试的时候,找了一个接口,把协议、ip、URL填好以后就以为万事大吉。一发起请求,查看响应就说登录信息错误。 为什么呢? 这就是因为没有鉴权,服务器根本就不认识你,所以就不理你,请求的数据就不会发送给你了。 说到这里,又不得不说一下http协议的工作原理。 简单来说,就是客户端(浏览器)发起请求,服务器端接
SessionCookieToken区别详解
weixin_46403305的博客
08-15 4854
SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2.Sessio
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
DOM XMLHttpRequest
lsx202406的博客
07-09 254
是一种 JavaScript 对象,它最初由 Microsoft 在 Internet Explorer 5 中引入,用于在后台与服务器交换数据。这个对象可以在不重新加载整个网页的情况下,更新网页的部分内容。这种技术通常被称为 AJAX(Asynchronous JavaScript and XML),尽管现在它不仅仅用于 XML 数据。
HTTP 范围Range请求
最新发布
wangkai6666的博客
07-09 471
HTTP 的 Range 请求使客户端能够要求服务器仅向其回传 HTTP 消息的一部分HTTP 的 Range 请求头是 HTTP/1.1 协议的一个特性。它允许客户端请求仅传输资源的某个特定部分,而不是整个资源。
什么是 HTTP POST 请求?初学者指南与示范
07-05 760
通过以上讨论,我们了解到 POST 方法不仅在提交大型数据和敏感信息时提供了安全性,同时也允许开发者通过不同的技术实现灵活的数据交互。从 HTML 表单到复杂的 API 交互,POST 方法为现代网络应用的开发提供了强大的支持。
Nginx-http_auth_basic_module使用
cui_win的专栏
07-06 366
nginx可以通过HTTP Basic Authutication协议进行用户名和密码的认证。basic认证在一些场景还是有用的,但是basic毕竟是http协议下的,可以通过抓包获取到密码。
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值