cookie和token身份验证

最新推荐文章于 2024-04-23 10:39:01 发布
最新推荐文章于 2024-04-23 10:39:01 发布
阅读量5.8k 收藏 24
点赞数 4
分类专栏: javascript html 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haoaiqian/article/details/85061385
版权
javascript 同时被 3 个专栏收录
51 篇文章 0 订阅
订阅专栏
html
10 篇文章 0 订阅
订阅专栏
网络协议
9 篇文章 1 订阅
订阅专栏

HTTP Cookie(也叫Web Cookie或浏览器Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。

Cookie主要用于以下三个方面:

会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)
个性化设置(如用户自定义设置、主题等)
浏览器行为跟踪(如跟踪分析用户行为等)

Cookie曾一度用于客户端数据的存储,因当时并没有其它合适的存储办法而作为唯一的存储手段,但现在随着现代浏览器开始支持各种各样的存储方式,Cookie渐渐被淘汰。由于服务器指定Cookie后,浏览器的每次请求都会携带Cookie数据,会带来额外的性能开销(尤其是在移动环境下)。新的浏览器API已经允许开发者直接将数据存储到本地,如使用 Web storage API (本地存储和会话存储)IndexedDB 。

1. cookie身份验证

  1. 用户输入登陆凭据;
  2. 服务器验证凭据是否正确,并创建会话,然后把会话数据存储在数据库中;
  3. 具有会话id的cookie被放置在用户浏览器中;
  4. 服务器验证凭据是否正确,并创建会话;
  5. 在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理;
  6. 一旦用户登出,服务端和客户端同时销毁该会话在后续请求中,服务器会根据数据库验证会话id,如果验证通过,则继续处理;

在这里插入图片描述

2. token身份验证

  1. 用户输入登陆凭据;
  2. 服务器验证凭据是否正确,然后返回一个经过签名的token;
  3. 客户端负责存储token,可以存在localstorage,或者cookie中
  4. 对服务器的请求带上这个token;
  5. 服务器对JWT进行解码,如果token有效,则处理该请求;
  6. 一旦用户登出,客户端销毁token。

在这里插入图片描述

3. 二者特性对比

3.1 cookie

用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie

数据需要客户端和服务器同时存储

用户进行操作时,需要带上cookie,在服务器进行验证

cookie是有状态的

3.2 token

用户进行任何操作时,都需要带上一个token

token的存在形式有很多种,header/requestbody/url 都可以

这个token只需要存在客户端,服务器在收到数据后,进行解析

token是无状态的

3.3总结

Token 完全由应用管理,所以它可以避开同源策略。

Token 可以避免 CSRF 攻击。

Token 可以是无状态的,可以在多个服务间共享。

参考链接:
http://www.jianshu.com/p/ce9802589143
https://blog.csdn.net/xiaoxinshuaiga/article/details/80766378
JSON Web Token 入门教程-阮一峰

逸尘️
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Token + Cookie 登录验证
YUAN_YONG_的博客
07-21 1949
一、完整流程 1.登录:通过用户名和密码发送请求。 2.服务器端程序验证用户身份的合法性,若用户存在,服务器端程序则返回一个带签名的token。 3.客户端将token储存到cookie中,并且每次访问API都携带Token到服务端。 4.服务端验证token,校验成功则返回请求数据,校验失败则返回错误码。 二、具体实现 1、用户首次发起登录请求,携带用户名和密码 2、服务端首先进行用户身份校验,若存在该用户,则生成token。 Controller: @ApiOperation("登录") @R
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 3824
Cookie Session Token讲解及用法
cookie、session、token理解
e1172090224的博客
04-21 1162
Cookie是保存在浏览器上的一些数据,一般通过HTTP响应头set cookie来设置,当然也可以通过JS脚本来直接设置,Cookie是按照网站来进行组织和保存的,每一个网站都可以在浏览器中保存一些Cookie,保存好了之后,浏览器向这个网站发出的请求都会携带这些Cookie,server就可以分析这些Cookie。 session是一个抽象概念,指server端生成的能够将用户请求与后台存储的用户状态信息一一对应的会话机制。每一个session都会生成一个唯一的sessionId,并通过cookie传递
Cookie、Session、Token 的区别与用途
最新发布
ProgramNovice的博客
04-23 1156
Cookie、Session、Token 的区别与用途
cookietoken区别
u012963112的博客
04-29 5777
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
整合tokencookie实现登陆及验证,实现跨域前后端分离
四十岁后转行程序员的博客
06-22 1925
session管理支持cookie token两种方式
基于Token身份验证的方法
10-18
基于Token身份验证是一种现代的、安全的认证方式,尤其适用于Web应用和移动应用。这种方式避免了传统的Session存储用户登录状态的需求,减少了服务器的负担,并提高了系统的可扩展性。Token,中文通常被译为“令牌...
node实现基于token身份验证
01-02
最近研究了下基于token身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。 传统的session+cookie...
JAVA中的Token 基于Token身份验证实例
08-24
JAVA中的Token基于Token的...基于Token身份验证方法是一种安全、可靠的身份验证方法,它可以减少服务器的存储空间和计算资源,且可以实现跨域身份验证。JWT是一种常用的Token验证方法,具有很高的安全性和可靠性。
关于nancy中的身份验证
12-31
在nancy中,身份验证分为basic ,form ,token,stateless几种,basic和form这里不说了,其中如果是使用cookie来保存身份的, 需要注意的是:cookie有大小的限制,所以不能用来保存超过4k的信息,而且有一些js插件也...
Cookietoken的区别
m0_45309753的博客
03-25 3978
文章目录前言一、基于cookie身份验证二、基于token身份验证 前言 HTTP是一种“无状态”协议,它的每个请求都是完全独立的,每个请求中包含了处理这个请求所需的完整的数据,发送请求不会涉及到状态变更。 举个例子:你第一次去A店买了苹果,然后你第二次去买苹果时你和老板说我上次来过,能便宜点不,他说他不认识你,并且无论你去他那买多少次苹果他都不认识你。他只知道有人来买过苹果,具体是谁他不知道。 所以在浏览器向服务端请求数据的过程中就延伸出一种严重的问题–数据泄露,许多Web应用程序的安全和正常运行都
cookie中存入token,解决多用户登录问题
weixin_44099000的博客
01-30 2288
1.存入 1.1 所需形参 HttpSession session, HttpServletResponse response 1.2 将token存入cookie token = UUID.randomUUID().toString(); Cookie tokenCookie = new Cookie("token", token); tokenCookie.setMaxAge(60*60*24); tokenCookie.setPath("/"); response.addCookie(tokenCo
cookie、session与token之间的关系
热门推荐
开发猫
10-30 1万+
cookie、session与token之间的关系 token 令牌,是用户身份验证方式。 最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名)。对Token认证的五点认识 一个Token就是一些信息的集合; 在Token中包含足够多的信息,以便在后续请求中减少查询数据库的几率; 服务端需要对cookie和HTTP Authrorizat...
Cookie,session和token的机制详解及区别
gcs的博客
08-05 6400
额, 说实话, 这个问题不应该问一个前端/移动端的人. Cookie是网页浏览器用来保存用户信息的文件,可以保存比如用户是谁,购物车有哪些商品等。 Session是一次会话,会话是指我们访问网站的一个周期。 比如用户打开一个浏览器访问某个位的站点。 在这个站点点击多个超链接查看各个网页,然后关闭浏览器,整个过程称之为一个会话。 token是服务器返回的一个临时签名数据, 可以使用这个签名数据表面用户身份. 为什么会有这三个东西呢? 都是一个目的, 服务器需要知道和自己通话的人是谁, ...
Cookietoken介绍
longqiyuye925的博客
10-31 620
我是这样理解的: 没有Cookie的时候,人们对于每次都要登陆感到厌烦。 出了Cookie以后,人们还想跨域访问,还想多终端访问,因为cookie是保存在本机,所以又放弃了它。 后来,token诞生了,其实就是把request Headers 中的Cookie替换为了RequestURL中:…&token=… 自己玩用Session+cookie,允许第三方调用session+token...
Cookie,Session,Token来进行身份认证
IT_Holmes的博客
03-09 1803
1. Cookie,Session,Token 简单介绍 2. Cookie 3. Session 4. 为什么使用JWT? 5. JWT(JSON Web Token)的实现过程 6. 官方实现JWT的多种方式 7. JWT的实现第一种:java-jwt包的使用 8. JWT的实现第二种:jjwt包的使用 9. 封装JWT的包装类,方便以后使用 10. 后台发送到前端,前端如何进行存储? 11. 前端如何将受到的token返还服务器? 12. 设置服务器允许跨域 13. JWT三部分组成详解
彻底搞懂Cookie、Session、Token到底是什么
dency
04-04 2185
Cookie 洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛:马冬梅啊。 大爷:马什么没? 夏洛:行,大爷你先凉快着吧。 在了解这三个概念之前我们先要了解HTTP是无状态的Web服务器,什么是无状态呢?就像上面夏洛特烦恼中经典的一幕对话一样,一次对话完成后下一次对话完全不知道上一次对话发生了什么。如果在Web服务器中只是用来管理...
session、cookies与token
impressionw的博客
06-29 906
http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,既然HTTP协议是无状态的,使用session、cookie是为了解决这个问题的,token也是用来解决无状态的,只是他们解决无状态的方法是不同的。 1)session认证      因为根据http协议,我们并不能知道是哪个用户发出的请求,所
使用cookie做用户登录的过程详解
923723914
08-07 1万+
不管是游戏,还是网站,最基本的功能,就是用户注册登录。 或许,我们做过多次用户的登陆注册的功能,但我们是否想过,为什么要实现用户的登录。用户怎样做才算登录成功。 对用户而言,登录后,就有了他的一片“天地”,例如,登录CSDN后,就可以管理自己的博客,否则,你没有权利管理。关于是否登录成功的问题,在用户看来,如果用户名和密码输入成功,就算登入成功,否则,登录不成功。 但这一切,在程序中是怎样实...
session和cookietoken区别
03-07
Session、CookieToken是常用于Web应用中的身份验证和状态管理的机制,它们有以下区别: 1. Session(会话):Session是一种服务器端的状态管理机制。当用户第一次访问网站时,服务器会为该用户创建一个唯一的Session ID,并将该ID存储在Cookie中发送给客户端。客户端在后续的请求中通过Cookie中的Session ID来标识自己。服务器根据Session ID来查找对应的会话数据,从而实现用户状态的管理。 2. Cookie(HTTP Cookie):Cookie是一种客户端的状态管理机制。服务器在响应中通过Set-Cookie头部将一些数据存储在客户端,客户端在后续的请求中通过Cookie头部将这些数据发送给服务器。服务器根据Cookie中的数据来识别用户并进行相应的处理。 3. Token(令牌):Token是一种无的身份验证机制。当用户登录成功后,服务器会一个Token并返回给客户端。客户端在后续的请求中通过在请求头或参数中携带Token来进行身份验证。服务器通过验证Token的有效性来确定用户身份。 区别: - 存储位置:Session和Token存储在服务器端,而Cookie存储在客户端。 - 数据安全性:Token相对较安全,因为它可以使用加密算法进行签名和验证;而Cookie可以被窃取或篡改。 - 扩展性:Token可以用于多个应用程序,而Cookie只能在同一域名下共享。 - 状态管理:Session和Cookie可以用于管理用户的状态信息,而Token主要用于身份验证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逸尘️

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值