cookie和session以及令牌的区别

最新推荐文章于 2024-03-26 16:50:11 发布
最新推荐文章于 2024-03-26 16:50:11 发布
阅读量337 收藏
点赞数 4
文章标签: 服务器 servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hhx212/article/details/130180814
版权

文章目录

前言

http是无状态协议,与自己主机不同,http本身并不能判断你在访问了本页面之前还访问了哪个页面,说通俗一点,就是页面本身并不能记录你之前的浏览记录或者操作记录。

最直接的需求就是登录需求,当我们需要完成登录的操作时,就要记录我们的登录信息,从而达到一次登录,一直访问的效果,不然用户每次跳转页面都要重新登录,体验感极差。

要做到这一点,我们就要用到会话跟踪技术。

而cookie 、session、令牌,这些都是会话跟踪技术。

一、cookie

1.1、cookie是什么?

当客户端给服务器端发送请求后,服务器端在响应数据的时候:
=> 服务器端会自动生成一个cookie,并将其响应给浏览器。
=>客户端在接收到响应回来的数据之后,会自动将cookie存储在浏览器本地。
=> 在后续的请求中,客户端每次访问服务器,都会携带cookie到服务器端。

在这里插入图片描述

假如这个cookie命令写在登录页面上,当客户端访问了登录页面,并且访问成功,服务器就会提供一个cookie响应给客户端浏览器,后续客户端在访问的时候,只要携带了这个cookie就说明曾经登录过。

1.2、设置cookie:

设置cookie需要用到HttpServletResponse接口,但是不建议直接实现接口或者创建实现类对象,建议以参数的形式存在~
代码如下(示例):

 @GetMapping("/c1")
    public void cookieAddTest(HttpServletResponse httpServletResponse){
        //设置cookie

        httpServletResponse.addCookie(new Cookie("id","10086"));
        httpServletResponse.addCookie(new Cookie("name","zhangsan"));
        httpServletResponse.addCookie(new Cookie("password","123456"));
    }

在这里插入图片描述
addCookie( ) 需要一个cookie对象,直接new一个就好了,cookie对象又需要两个参数,分别是name和value,是不是很像map,没错就是键值对的形式,一个键对应一个值。直接启动! 我们看一下浏览器的响应,记得打开F12噢 ( 部分笔记本用户是fn+F12 )
在这里插入图片描述

在浏览器的响应头里面,就可以看到我们刚才设置的cookie了。

1.3、获取cookie

呐我们设置了cookie,后端程序能不能拿到呢?怎么拿呢?
直接上代码(示例):

@GetMapping("/c2")
    public void cookieGetTest(HttpServletRequest httpServletRequest){
        Cookie[] cookies = httpServletRequest.getCookies();
        for (Cookie cookie : cookies) {
            System.out.println(cookie.getName()+":"+cookie.getValue());
        }
    }

使用HttpServletRequest 的getCookies( ) 就可以获取所有的cookie对象了,访问c2后,结果直接打印在控制台的效果就是这样的
在这里插入图片描述

1.4、cookie 的优缺点

优点:
Http协议中支持的技术,浏览器自动进行。
缺点:
①移动端(安卓、iOS)不支持cookie
②不安全,用户可以手动禁用cookie,并且可以修改 (科学手段)
③cookie无法跨域。

二、session

2.1、session是什么?

session的底层还是cookie,但与之不同的是:cookie是保存到浏览器本地,本身并不安全,而session是保存在服务器端的,每次访问服务器端,服务器端就会生成一个session对象,保存到服务器端。然后响应给客户端一个JSESSIONID。下一次客户端来访问时,就会携带这个JSESSIONID,服务端就根据这个id去查找对应的session对象,如果匹配成功,说明曾经登录过,匹配失败就说明未曾登录。

第一次请求:
在这里插入图片描述
后续请求:
在这里插入图片描述

2.2、设置session

设置session需要用到HttpSession接口
代码如下(示例):

 @GetMapping("/s1")
    public void session1(HttpSession session) {
        session.setAttribute("loginUser", "tom"); //往session中存储数据
        session.setAttribute("loginUser", "Jerry"); //往session中存储数据
        session.setAttribute("loginUser1", "tom1"); //往session中存储数据
    }

session也是key - value键值对的形式~
话不读说,直接启动!看效果:
在这里插入图片描述
这个JSESSIONID就会响应到客户端,客户端下一次访问的时候就会携带这个JSESSIONID,来匹配刚才的session对象。

2.3、获取session

获取session需要用到HttpSession接口,但是一般情况下我们都先用HttpServletRequest去获取HttpSession对象,然后再获取session。因为上一个DispatcherServlet获取完可以直接传递。
代码如下(示例):

@GetMapping("/s2")
    public void session2(HttpServletRequest request) {
        //获取HttpSession对象
        HttpSession session = request.getSession();
        //从session中获取数据
        Object loginUser = session.getAttribute("loginUser1");
    }

注意看浏览器请求头中的信息,cookie里面就携带了刚才生成的JSESSIONID,并且直接输出loginUser就可以在控制台看到session封装的东西啦~

在这里插入图片描述

2.4、session的优缺点

优点:
底层是cookie,cookie有的session都有,并且还解决了cookie不安全的特点。
缺点:
①服务端集群状态下无法直接使用session
②移动端无法使用cookie
③用户可以自己禁用cookie
④cookie无法跨域

三、令牌

3.1、令牌是什么

令牌,听名字感觉高大上的,但是其本质就是一个字符串,通过一系列算法加密而成。当客户端首次访问某个特定的服务器端时,会生成一个令牌,后续每次访问都会带着这个令牌一同前来,服务器端会校验令牌的真实性、合法性。
在这里插入图片描述
以JWT令牌为例:

3.2、JWT令牌的组成:

jwt令牌由三部分组成 : A.B.C

其中
A是(Header):令牌的算法以及令牌的类型 比如 :HS256算法,JWT
B是(Payload):记录了令牌中真实的数据,比如:id、username、password等等
C是(Signature):HS256算法加密(Base64加密(A)+ Base64加密 (B) )

签名(Signature)的目的就是为了防止jwt令牌被篡改,一旦令牌中有任何一部分的任何一个字符被修改了,在校验令牌的时候都会失效,直接报错。

3.3、生成JWT令牌

想要生成JWT令牌,就需要先导入jwt的依赖~
依赖如下:(注意版本问题噢~)

	<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt</artifactId>
		<version>0.9.1</version>
	</dependency>

导入依赖之后,就可以直接生成令牌啦~

String name = Jwts.builder()
.setClaims(map)
.signWith(SignatureAlgorithm.HS256, "name")
.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 30))
.compact();

分别解释一下这几个点点点是什么意思~

Jwts.bulider( ) : 可以理解为生成器的意思

.setClaims(map) : 真实的数据,一般是键值对的形式

.signWith(SignatureAlgorithm.HS256, “name”) :设置算法、令牌名字(签名)

.setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 30)) : 设置令牌存活时间,1000毫秒= 1秒,以此类推

.compact() :结构、契约,可以理解为以上述条件生成令牌

3.4、解析令牌

能创建,自然能解析!

Claims claims = Jwts.parser()
.setSigningKey("令牌的名字(签名)")
.parseClaimsJws("jwt令牌")
.getBody();

分别解释一下这几个点点点是什么意思:

Jwts.parser() : 调用JWT的解析器

.setSigningKey(“令牌的名字”) : 设置签名,可以理解为获得jwt令牌的名字

.parseClaimsJws(“jwt令牌”) : 解析传入进来的令牌代码

.getBody(); : 获取jwt令牌体

3.5、JWT令牌的优缺点

优点:
①支持PC端、移动端
②解决了集群环境下的认证问题
③减轻了服务器的存储压力
缺点:
相比于cookie和session,JWT令牌需要手动实现(生成、传递、校验)等等

其实,使用JWT令牌更多时候都是以工具类的形式出现

总结

充电时刻

总的来说,cookie、session、令牌这三种会话跟踪技术,都是在访问了一个特殊页面后,给客户端浏览器打一个标签,在标签有效期内,都不用重复做这件事。

cookie的标签存储在客户端的电脑上,并且访问的时候在浏览器的控制台,所有信息一览无遗,非常的不安全。

而session的存在,就是来弥补cookie的不足的。因为session的底层就是cookie,只不过与之不同的是,cookie的标签存在客户端浏览器上,session的标签存在服务器端上。

但是cookie与session本身都有局限性,无法处理集群、跨域、移动端的标记,非常的不方便。因此就有了令牌。

以JWT令牌为例,它既实现了跨域,有实现了移动端的标记,而且信息还是层层加密,非常的安全,非常的可靠。

是黄帅帅~
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Koa框架——coderhub实战
zep
08-15 753
一、coderhub功能接口说明 Coderhub旨在创建一个程序员分享生活动态的平台。 完整的项目接口包括: 面向用户的业务接口; 面向企业或者内部的后台管理接口; 完成的功能如下: 1.用户管理系统 2.内容管理系统 3.内容评论管理 4.内容标签管理 5.文件管理系统 其他功能其实都是非常相似的 二、项目的搭建 功能一:目录结构的划分: 按照功能模块划分; 按照业务模块划分; 功能二:应用配置信息写到环境变量 编写.env文件 通过dotenv加载配置的变量 npm 官方文档的这样介绍
cookie session 令牌机制
Chen4852010的博客
01-13 706
cookie 1.特点 1.浏览器保存少量数据 2.都是存文本数据 3.每次访问都会携带 cookie(请求头中) 2.服务器cookie类和浏览器cookie字符串的区别 1.浏览器的cookie是 "key=value;key=value"的文本 而服务器cookie类是 一个 key,value的数据类型 所以,服务器获得浏览器的cookie要用cookie[]接收 服务器向浏览器发送cookie,也是浏览器cookie字符串拼接了一个“key=va
详细讲解CookieSession、JWT令牌技术
最新发布
2301_77358195的博客
03-26 1077
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
Cookie、token、session区别是什么?
qq_38889350的博客
11-25 408
1、优先级 Cookie<session<token 2、安全性 Cookie 1.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session 2.HTTP是一种无状态协议,服务器没有办法单单从网络连接上面知道访问者的身份,为了解决这个问题,就诞生了Cookie Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie 客户端浏览器会把Cookie保存起
session与token简单区别
huangkechen的博客
01-14 1367
Session机制 Session是存储在服务端的,每次请求客户端Cookie中携带sessionId,服务器进行验证,sessio是有状态的。 缺点:如果服务器做了负载均衡有多个,用户的请求到达某个服务器时,这个服务器没有用户的session信息,就会会话失败。所以Session默认机制下是不适合分布式部署的。 Token Token我们一般称为令牌,一般通过MD5、SHA算法将密钥、公钥、时间戳等元素加密产生的加密字符串。 浏览器访问服务器后认证成功会返回token给客户端,客户端后续请求会携带这个to
c#实现cookiesession的登陆实例
07-23
- 设置适当的CookieSession生命周期,防止长期有效的登录令牌被滥用。 6. **最佳实践**: - 考虑使用更现代的身份验证机制,如JWT(JSON Web Tokens),它们可以提供更安全、更灵活的用户认证方案。 通过以上...
SessionCookie、Token的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookie和Token是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全的Web应用程序至关重要。 首先,让我们来探讨...
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
总结来说,CookieSession和JWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异...
cookie+session实现的单点登录案例
04-13
总结,本案例旨在帮助你理解CookieSession如何协同工作来实现单点登录,以及如何与第三方社交平台集成,实现便捷的登录体验。通过学习和实践,你将能够构建自己的SSO系统,并具备处理复杂登录场景的能力。
利用CookieSession写的登录页面、成功页面、退出页面
10-31
在Web开发中,CookieSession是两种常见的用户身份验证和会话管理机制。它们用于跟踪用户的登录状态,确保用户在浏览网站时能够保持个性化设置和安全性。以下是对这两个概念的详细解释及其在登录、成功页面和退出...
Cookie,会话,令牌
weixin_26722031的博客
07-30 852
会话cookieAre you new to web-development, feeling confused with different Web Storage elements? 您是Web开发的新手,对不同的Web存储元素感到困惑吗? If yes, then you are at the right place This article will give you a brief e...
Session令牌防止表单重复提交
AlphaBINGOD
06-14 504
1.针对的表单重复提交一般场景 客户端浏览器F5刷新 重复点击提交按钮 2.Session令牌 session令牌(token) 只是一个一次性的通行证性质的字符串. 甚至可以使用一个字符去表示这个令牌,但是令牌在短时间内不允许出现重复. 生成 可以使用 系统时间+随机数—–&amp;amp;amp;gt;成摘—–&amp;amp;amp;gt;字符串(最终结果) 的形式 3.流程 流程已很明白,可以参考6帮助...
sessioncookie和token的区别
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookie、token的区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全,session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
sessioncookie、token的区别
热门推荐
天空之城
05-24 8万+
token就是令牌,比如你授权(登录)一个程序时,他就是个依据,判断你是否已经授权该软件;cookie就是写在客户端的一个txt文件,里面包括你登录信息之类的,这样你下次在登录某个网站,就会自动调用cookie自动登录用户名;sessioncookie差不多,只是session是写在服务器端的文件,也需要在客户端写入cookie文件,但是文件里是你的浏览器编号.Session的状态是存储在服务器
ASP Session对象及SessionCookie区别与联系
weixin_44543252的博客
07-16 477
ASP Session对象及SessionCookie区别与联系 开发工具与关键技术:Visual Studio 2015 作者:徐晶旗 撰写时间:2019年 7月 16 日 Session对象用于存储关于用户会话(session)的信息,或者更改用户会话(session)的设置,存储在session对象中的变量掌握着单一用户的信息,同时这些信息对于页面中的所有页面都是可用的。 Sessi...
cookie存储 安全机制
qq_16800423的博客
09-23 383
cookie存储 安全机制使用cookie存储token,安全机制举例 使用cookie存储token,安全机制 对于web服务项目,用户登录生成的令牌token,一般以cookie存储形式返回。其安全性主要与HTTP协议属性字段HttpOnly有关。 浏览器设置Cookie的头如下: Set-Cookie: =[; =][; expires=][; domain=][; path=][; secure][; HttpOnly] 主要阐述HttpOnly含义作用,Cookie 的 HttpOnly 属性是
cookie的使用机制
方新德的博客
09-03 1230
cookie使用场景: 当不同的用户访问同一家网站时(采用相同的请求地址),服务器如何区分不同用户的请求操作呢?需要浏览器对发出的每个请求进行标识。属于同一个会话的请求,都带有相同的标识,不同的会话带有不同的标识。 cookie的使用的底层原理: 客户端(浏览器)访问web服务器时(jsp文件),服务器通过Cookie构造器构造一个Cookie实类。然后由web服务器在HTTP响应消息头中附...
Cookie使用机制
u012872771的博客
09-19 129
我们就需要用一些技术来帮助服务器去识别用户 cookie 在客户端存储用户标识信息。识别用户,持久化最好的方式。 cookie原理: 1、首次访问Web站点时,web服务器对用户一无所知。web服务器希望这个用户再次回来还能认识它。所以想给这个用户一个标识。标签。set-cookie: user_id=aimee123的响应首部 2、服务器返回响应的时候会带有响应首部set-cookie字段。浏览...
Cookie机制
weixin_47251563的博客
10-28 198
Cookie机制 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用SessionCookie机制: 在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话
COOKIESESSION以及TOKEN
05-27
COOKIESESSION和TOKEN都是常见的用户身份验证和状态管理的技术。 COOKIE是在客户端保存的一小段文本,由服务器发送给浏览器,浏览器将其保存在本地。之后浏览器向服务器发送请求时,会自动将COOKIE发送给服务器。通过COOKIE服务器可以记录用户的登录状态、浏览历史等信息。 SESSION基于COOKIE实现,是指服务器在登录时创建一个会话,会话ID通过COOKIE发送到浏览器,浏览器保存这个ID,在后续的请求中发送给服务器服务器根据ID识别用户。SESSION的优点是安全,因为COOKIE中只包含ID,不包括用户信息,用户信息都保存在服务器端。 TOKEN是一种基于令牌的身份验证机制,它将用户身份验证信息存储在浏览器端或移动设备中,而不是在服务器端。当用户进行身份验证时,服务器会生成一个TOKEN并将其发送给客户端,客户端将TOKEN保存在本地,在后续的每次请求中都会将TOKEN发送给服务器服务器通过验证TOKEN来确定用户的身份。TOKEN的优点是可以跨域使用,适用于单点登录和分布式系统
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值