软件测试必会：cookie、session和token的区别_软考cookie session token

egregw

于 2024-05-13 05:03:48 发布

阅读量750

点赞数 8

分类专栏：程序员文章标签：单元测试功能测试学习

本文链接：https://blog.csdn.net/egregw/article/details/138779601

版权

程序员专栏收录该内容

190 篇文章 0 订阅

订阅专栏

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以戳这里获取

它们就好比让每个客户端或者说登录用户有了自己的身份证，我们可以通过这个身份证确定发请求的是谁！从而知道用户登录的信息

02、什么是 cookie

cookie 是保存在客户端或者说浏览器中的一小块数据，大小限制大致在 4KB 左右，在以前很多开发人员通常用 cookie 来存储各种数据，后来随着更多浏览器存储方案的出现，cookie 存储数据这种方式逐渐被取代

主要原因有如下：

cookie 有存储大小限制，4KB 左右
浏览器每次请求会携带 cookie 在请求头中
字符编码为 Unicode，不支持直接存储中文
数据可以被轻易查看

cookie 主要有以下属性：

那么我们是如何通过 cookie 来实现用户确定或者权限的确定呢？

我们就以一个普通网站的用户登录操作以及后续操作为例，主要过程可以简单用下图表示：

从上图中可以看到使用 cookie 进行用户确认流程是比较简单的，大致分为以下几步：

1.客户端发送请求到服务端（比如登录请求）。

2.服务端收到请求后生成一个 session 会话。

3.服务端响应客户端，并在响应头中设置 Set-Cookie。Set-Cookie 里面包含了 sessionId，它的格式如下：

Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]

其中 sessionId 就是用来标识客户端的，类似于去饭店里面，服务员给你一个号牌，后续上菜通过这个号牌来判断上菜到哪里。

4.客户端收到该请求后，如果服务器给了 Set-Cookie，那么下次浏览器就会在请求头中自动携带 cookie。

5.客户端发送其它请求，自动携带了 cookie，cookie 中携带有用户信息等。

6.服务端接收到请求，验证 cookie 信息，比如通过 sessionId 来判断是否存在会话，存在则正常响应。

cookie 主要有以下特点：

cookie 存储在客户端
cookie 不可跨域，但是在如果设置了 domain，那么它们是可以在一级域名和二级域名之间共享的

03、什么是session

在上一节中，我们通过 Cookie 来实现了用户权限的确认，在其中我们提到了一个词：session。顾名思义它就是会话的意思，session 主要由服务端创建，主要作用就是保存 sessionId，用户与服务端之间的权限确认主要就是通过这个 sessionId。

简单描述下 session：

session 由服务端创建，当一个请求发送到服务端时，服务器会检索该请求里面有没有包含 sessionId 标识，如果包含了sessionId，则代表服务端已经和客户端创建过 session，然后就通过这个sessionId 去查找真正的session，如果没找到，则为客户端创建一个新的 session，并生成一个新的 sessionId 与 session对应，然后在响应的时候将 sessionId 给客户端，通常是存储在cookie 中。如果在请求中找到了真正的session，验证通过，正常处理该请求

总之每一个客户端与服务端连接，服务端都会为该客户端创建一个 session，并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端，客户端将 sessionId 存到 cookie 中

通常情况下，我们 cookie 和 session 都是结合着来用，我们可以在修改一下整个请求过程图，如下所示：

04、cookie和session区别

前面两节我们介绍了 cookie 和 session，它们两者之间主要是通过 sessionId 关联起来的，所以我们总结出：sessionId 是 cookie 和 session 之间的桥梁。我们日常的系统中如果在鉴权方面如果使用的是 cookie 方式，那么大部分的原理就和我们前面说的一样。

或者我们可以换个说法，session 是基于 cookie 实现的，它们两个主要有以下特点：

session 比 cookie 更加安全，因为它是存在服务端的，cookie 是存在客户端的
cookie 只支持存储字符串数据，session 可以存储任意数据
cookie 的有效期可以设置较长时间，session 有效期都比较短
session 存储空间很大，cookie 有限制
系统想要实现鉴权，可以单独使用 cookie，也可以单独使用 session，但是建议结合两者使用

05、token 是什么

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以戳这里获取

出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新**

需要这份系统化的资料的朋友，可以戳这里获取

egregw

关注

8
点赞
踩
17

收藏

觉得还不错? 一键收藏
0
评论
软件测试必会：cookie、session和token的区别_软考cookie session token

总之每一个客户端与服务端连接，服务端都会为该客户端创建一个 session，并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端，客户端将 sessionId 存到 cookie 中。，则为客户端创建一个新的 session，并生成一个新的 sessionId 与 session对应，然后在响应的时候将 sessionId 给客户端，通常是存储在cookie 中。5.客户端发送其它请求，自动携带了 cookie，cookie 中携带有用户信息等。
复制链接

扫一扫

专栏目录