cookie session token总结

最新推荐文章于 2024-07-08 16:27:35 发布
最新推荐文章于 2024-07-08 16:27:35 发布
阅读量186 收藏
点赞数
分类专栏: Http 文章标签: 后端 session cookie tokenization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dabaoting/article/details/114130793
版权

cookie session token总结

发展史

  • 背景
    HTTP协议是无状态的协议。这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。

    为了使某个域名下的所有网页能够共享某些数据,session和cookie出现了。

一、cookie

1.cookie简介

cookie是存在客户端的一小段信息,用来记录用户状态。

  1. 客户端请求服务器,
  2. 服务器响应,需要记录该用户状态,就使用response发送一个响应到客户端,这个响应头,其中就包含Set-Cookie头部。如下
  3. 浏览器保存cookie,发起的第二次请求时,浏览器会自动在请求头中添加cookie
  4. 服务器检查该Cookie,以此来辨认用户状态

响应头:

	Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]

2.cookie特点

2.1 由浏览器来管理

如果浏览器不支持Cookie(如大部分手机中的浏览器)或者把Cookie禁用了,Cookie功能就会失效。

不同的浏览器采用不同的方式保存Cookie。

IE浏览器会在“C:\Documents and Settings\你的用户名\Cookies”文件夹下以文本文件形式保存,一个文本文件保存一个Cookie。

2.2 不可跨域名

根据Cookie规范,浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie,从而保证用户的隐私安全

2.3 中文需要编码

中文属于Unicode字符,英文属于ASCII字符
Cookie中保存中文只能编码。一般使用UTF-8编码即可。不推荐使用GBK等中文编码,因为浏览器不一定支持,而且JavaScript也不支持GBK编码

2.4 可保存二进制图片

需要使用BASE64编码

并不实用。由于浏览器每次请求服务器都会携带Cookie,因此Cookie内容不宜过多,否则影响速度。Cookie的内容应该少而精。

2.5 读取cookie

浏览器提交Cookie时只会提交name与value属性。其他属性如maxAge属性只被浏览器用来判断Cookie是否过期

3. cookie常用属性

Java中把Cookie封装成了javax.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器通过操作Cookie类对象对客户端Cookie进行操作。

通过request.getCookie()获取客户端提交的所有Cookie(以Cookie[]数组形式返回),通过response.addCookie(Cookiecookie)向客户端设置Cookie
在这里插入图片描述

3.1 maxAge 有效期

-1(默认值):

  • 临时性Cookie,不会被持久化,不会被写到Cookie文件中
  • 仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效

0: 删除该Cookie
Cookie机制没有提供删除Cookie的方法,因此通过设置该Cookie即时失效实现删除Cookie的效果

正数:

  • Cookie会在maxAge秒之后自动失效
  • 浏览器会持久化,即写到对应的Cookie文件中
3.2 secure 安全属性

secure属性并不能对Cookie内容加密,因而不能保证绝对的安全性。如果需要高安全性,需要在程序中对Cookie内容加密、解密,以防泄密。

二、session

1.session简介

Session是服务器端使用的一种记录客户端状态的机制

2.session生命周期

2.1 在用户第一次访问服务器的时候自动创建,一般把Session放在内存里
2.2 只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session
2.3 服务器会把长时间内没有活跃的Session从内存删除

3.常用属性

Session对应的类为javax.servlet.http.HttpSession类

3.1 maxInactiveInterval 超时时间
  • setMaxInactiveInterval(int seconds)修改超时时间
  • Tomcat中Session的默认超时时间为20分钟
修改web.xml改变Session的默认超时时间。例如修改为60分钟:

<session-config>

   <session-timeout>60</session-timeout>      <!-- 单位:分钟 -->

</session-config>

4.需要浏览器客户端的支持

4.1 cookie中存储JSESSIONID

HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。

4.2 默认maxAge属性一般为–1

该Cookie为服务器自动生成的,它的maxAge属性一般为–1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效

5. 浏览器不支持时,URL地址重写

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。

5.1 实现

HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写,该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将用户Session的id重写到URL中如:

response.encodeURL("index.jsp?c=1&wd=Java") 

如果是重定向的
 response.sendRedirect(response.encodeRedirectURL(“administrator.jsp”));

重新后

<ahref="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E?c=
    1&wd=Java">

对于WAP程序,

5.2 注意

  • WAP程序
    由于大部分的手机浏览器都不支持Cookie,WAP程序都会采用URL地址重写来跟踪用户会话。

  • tomcat

TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。尽管客户端可能会支持Cookie,但是由于第一次请求时不会携带任何Cookie(因为并无任何Cookie可以携带),URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了,因此URL地址重写后的地址中就不会带有jsessionid了。

5.3 Session中禁止使用Cookie

既然WAP上大部分的客户浏览器都不支持Cookie,索性禁止Session使用Cookie,统一使用URL地址重写会更好一些。Java Web规范支持通过配置的方式禁用Cookie

方式一:修改web项目中的配置

META-INF文件夹(跟WEB-INF文件夹同级,如果没有则创建)
打开context.xml(如果没有则创建),编辑内容如下:

<?xml version='1.0' encoding='UTF-8'?>

<Context path="/sessionWeb"cookies="false">

</Context>
方式二: 修改tomcat中的配置

conf/context.xml

<!-- The contents of this file will be loaded for eachweb application -->

<Context cookies="false">

    <!-- ... 中间代码略 -->

</Context>

注意:该配置只是禁止Session使用Cookie作为识别标志,并不能阻止其他的Cookie读写。也就是说服务器不会自动维护名为JSESSIONID的Cookie了,但是程序中仍然可以读写其他的Cookie。

三、token

3.1 token简介

token 也称作令牌,由uid+time+sign[+固定参数]

  • uid: 用户唯一身份标识
  • time: 当前时间的时间戳
  • sign: 签名, 使用 hash/encrypt 压缩成定长的十六进制字符串,以防止第三方恶意拼接
  • 固定参数(可选): 将一些常用的固定参数加入到 token 中是为了避免重复查库

四、cookie session token问题及解决方案

4.1 cookie

  • 浏览器对单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie
  • 有的客户端不支持cookie,需要手动设置,比如小程序
  • 浏览器对cookie有限制,不能手动设置cookie,对于混合嵌套的开发有问题,比如小程序跳转H5页面,不能携带cookie
  • CSRF(跨站请求伪造)攻击,这个也好解决,很多框架都屏蔽这个问题

4.2 session

  • 过多的session存在服务器中,对服务器造成压力
  • 不能完全达到负载均衡效果

负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享seesion。这个问题也可以将session存在一个服务器中来解决,但是就不能完全达到负载均衡的效果。

4.3 token

可以放在header、url中,在每次网络访问都携带,一般是写请求头header中。

token相比于cookie就是有cookie的功能,没有cookie的限制。比如其他客户端不会限制header的cookie。token是cookie很好替代品。

总结

1、Cookie:保存在客户端,不是很安全;
2、Session:保存在服务器端,并生成一个Session id保存在客户端。访问过多时会占用服务器的内存和性能;
3、Token:首次登陆后,服务器生成Token值,保存在数据库中,再将这个Token值返回给客户端,存储在cookie中。增加数据库的存储和查询压力;
4、JWT(Json Web Token):前后端分离项目中使用。服务端根据算法生成,将返回的结果保存在客户端的localStorage或sessionStorage,客户端每次请求时将JWT放入HTTP Header中的Authorization位(解决XSS和XSRF问题)。消耗服务器的计算压力。

参考链接

  • https://blog.csdn.net/fangaoxin/article/details/6952954
  • https://www.cnblogs.com/linyuhong/p/9968056.html
乌龙茶听
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SessionCookieToken总结(面试)
fubicheng208的博客
06-11 1506
1. 引入: HTTP是无状态协议,无法记得上一次连接的信息,比如记不得用户是否已经登陆等信息。 而SessionCookieToken便是对HTTP无状态的一种补充; 2.Cookie: Cookie是浏览器对于一些信息的键值对形式保存,当浏览器关闭,Cookie也就删除了; 3. Session: Session是服务器中保存的对象(Tomcat保存在ConcurrentHashMap<Session>中),生成之后在返回Http response时,会发送sesionId给
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
CookieSessionToken 总结
m0_38144883的博客
08-04 119
Cookie session token
Session·Cookie·Token总结
片羽时光的博客
08-20 194
Session: session是在服务器端,用于认证客户端身份: 1.客户端第一次发起一个http请求 2.服务器生成一条session信息,保存在服务器端; 3.服务器将生成的session id 一起通过http响应发送到客户端; 4.客户端将id存储在客户端cookie中(cookie对应本地主机的一个文件); 5.客户端下一次再次访问这个服务器资源时...
web思想的发展历程:CookieSessionToken、Redis
weixin_45805060的博客
12-15 107
1.了解各模块的概念 理解 CookieSessionToken 并结合 Redis 的使用 引用前辈的整理: 前辈:Mr.曹 链接:https://www.cnblogs.com/cckui/p/10967266.html 2.未完,待续。。。 ...
SessionCookietoken 的前世今生
qq_25096741的博客
03-26 208
引入:我们都知道 http 协议本身是一种无状态的协议,一个普通的http请求简单分为三步: 客户端发送请求request 服务端收到请求并进行处理 服务端将结果respond给客户端 对于服务端来说 服务端如何知道当前请求的客户端是哪个用户 如何保证每次请求,服务器都知道是哪个用户 一、cookie 什么是cookie cookie 就是存储在客户端的一段数据,采用的是在客户端保持 HTTP 状态信息。 cookie 的产生背景 随着互联网的发展,已经不仅仅是浏览网页了,越来越多的交互式网站兴起,如在线购
CookieSessionToken 的区别与用途
ProgramNovice的博客
04-23 1052
CookieSessionToken 的区别与用途
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3611
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
sessioncookietoken 详解
热门推荐
徐本锡的专栏
06-19 137万+
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,...
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 3785
Cookie Session Token讲解及用法
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
cookie,token,session
05-13
"CookieTokenSession 的对比和应用" CookieTokenSession 是三个常用的身份验证机制,在 Web 应用程序中广泛应用于身份验证和会话管理。以下是对这三者的详细解释和比较。 Cookie Cookie 是一种小型文本...
后端工作之一:CrapApi —— API接口管理系统部署
m0_65696193的博客
07-04 312
在这篇文章中,我们将探讨API接口的原理、实现及应用,并通过部分代码示例来加深对API接口的理解。项目管理、项目成员管理、用户管理、模块管理、接口管理、接口版本管理、接口拷贝、DOC、PDF、TEXT、EXCEL等资源管理、支持版本号控制、接口文档pdf下载、接口mock、模块加密访问、接口在线调试、数据字典管理、数据字典加密访问多管理员、多权限、多角色管理、文档内容检索、操作日志记录、根据日志恢复数据、接口监控、文档留言、错误码管理、接口排序、自定义菜单、自定义网站样式、一、API接口的原理。
bmob Harmony鸿蒙快速开发搜索功能
m0_74037076的博客
07-02 418
搜索功能是很多应用都需要的功能。在很多平台上,要开发一个兼容性较好的搜索功能都还是需要添加比较多的视图代码的。为了解决这个问题,鸿蒙ArkUI提供了一个快速添加搜索功能的视图组件给我们,结合Bmob Harmony鸿蒙SDK的搜索能力,我们可以在非常短的时间内,给应用添加搜索功能。这就是本文给大家带来的案例,界面效果如下:如果一切顺利,你会在当前项目下的oh_modules目录下看到@bmob/bmob。
vue3中antd表格展示后端返回的嵌套集合数据
月影神社
07-08 101
后端返回数据格式:实现方法:走了很多坑,记录下。
Nginx负载配置
最新发布
kfashfasf的博客
07-08 658
Nginx 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。Nginx 以其高性能、稳定性、丰富的功能集、简单的配置文件以及低系统资源消耗而闻名。负载均衡是一种将工作负载分摊到多个服务器上的技术,以提高网站、应用或数据库的性能和可靠性。负载均衡器可以在不同的网络层级实现,最常见的是第 4 层(传输层)和第 7 层(应用层)负载均衡。
back-end developer 后端开发的一些常识
wuxiaoyu0806的博客
07-03 673
当订单量增加时,你可以增加更多送货员(扩展容器),当某个送货员生病时,你可以立即派其他人顶替(自动恢复)。你有一本笔记本(Redis),记录了每种食物的库存情况(数据存储)。: 假设你在网上购物。浏览器会将你的订单信息(如商品名称、价格、数量)转换成JSON格式(打包成一个轻便的小包裹),然后发送给服务器。服务员(生产者)将订单(消息)放在一个传送带上(消息队列),你(消费者)从传送带上取下订单并制作食物。无论你搬到哪儿(不同的计算环境),只要打开箱子,里面的物品都能立刻使用,不需要重新整理(配置环境)。
cookie session token区别
06-28
### 回答1: CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对数据,在用户的不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名和密码等。 Session Token 是在用户登录时在服务器端创建,并在用户与服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性和隐私性。在理解三者的区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie 是服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份和记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性和隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份和权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户的浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者的区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性和使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端与服务端的交互;Session更注重用户身份的鉴别与用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域和分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证和信息存储方式,它们之间最大的不同在于其存储的位置和方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie在用户登录后会保存用户名、密码和一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie,服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同于CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token,服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息和身份的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值