session、token与cookie

已于 2022-03-13 22:29:37 修改
阅读量233 收藏 3
点赞数
分类专栏: 源码 文章标签: css html5 html
于 2021-10-08 00:50:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huaf_liu/article/details/108489800
版权

目录

一、session

1. 介绍

2. 工作原理

3. 作用

二、token

1. 介绍

2. 工作过程

三、session\cookie\token

1. session与cookie区别

2. session与token区别

3. session与JWT的区别

4. cookie、session、token的区别,优劣

四、登录功能

1. cookie + session方式

2. token登录(JWT)

3. SSO单点登录

建议在本博文之前,先浏览一遍  Cookie与前端安全_二阶求导的博客-CSDN博客

一、session

1. 介绍

        session代表服务器和浏览器的一次会话过程,这个过程可以是连续的、也可以是断断续续的。session对象用来在服务端存储用户会话的一些信息,保存在服务器的内存、缓存、硬盘等。

2. 工作原理

        大多系统也是根据此原理来验证用户登录状态(session和cookie结合)。cookie的验证流程也如下,因为大多系统都根据此原理来验证的。

1. 当用户访问到一个服务器,登录验证成功后,如果服务器启用了session,那么服务器就要为该用户创建一个session。

2. 在创建这个session的时候,服务器首先会检查这个用户发来的请求里是否包含了一个session id。如果包含,则说明之前该用户已经登陆过并为此用户创建过session,那服务器就按照这个session id把对应的session在服务器的内存中查找出来(如果查找不到,就有可能为他新创建一个),如果请求里不包含,则说明之前用户没有登录或登录失效,那就为该用户创建一个session并生成相关的session id。(session id是唯一的、不重复的字符串)

3. 这个session id将被在本次响应中返回到客户端保存(Set-Cookie字段中保存),而保存这个session id的正是cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发送给服务器。  

4. 后续登录时,请求就会携带session id的cookie给服务端,由此得知用户的身份。

3. 作用

        session的作用就是在服务端存储用户和服务器会话的一些信息。典型的应用有:

  • 判断用户是否登录
  • 购物车功能

二、token

1. 介绍

        token是验证用户身份所需的一份凭证。基于token的用户认证是一种服务端无状态的认证方式,服务端不用存放token数据。用解析token的时间换取session的存储空间。

2. 工作过程

1. 用户请求登录,服务器验证用户名和密码。

2. 验证成功后,服务器生成一个token(一般是JWT形式)给客户端,存储在本地(cookie或localStorage)中 。

3. 客户端后续的请求中,都会在请求头中添加token一起发送给服务器。

4. 服务器进行解析校验,成功则返回响应。

三、session\cookie\token

1. session与cookie区别

        cookie只是实现session的一种方案,大多采用cookie+session的方式。

cookiesession
存储位置客户端服务端
有效期可以永久保存与当前标签页生命周期相同
安全性cookie存储在客户端,可能会被窥探。像密码最好加密。更安全。
性能并发用户很多时,适合用cookie。当并发访问的用户很多,服务器需要为每个用户生成session,耗费大量内存。

2. session与token区别

tokensession
服务端无状态使服务端无状态化,不会存储会话信息。使服务端有状态,记录会话信息。
安全性token更安全,每个请求都要签名,能防止csrf攻击。只提供了session id这种简单的认证。
作用一般用于身份验证(加密身份证,只要出示就知道是自己人)一般用于标识会话(身份证,每次都要根据id去查一下)
存储位置客户端服务器

3. session与JWT的区别

4. cookie、session、token的区别,优劣

cookiesessiontoken
存储位置客户端服务端客户端
安全性最差中间最好
服务端有状态

(1)cookie

优点:

缺点:会被附加到每个http请求,增加了流量;大小为4KB,对于负责的存储需求来说是不够用的;在http请求中的cookie是明文传输的,不够安全,不要存储敏感信息(除非用https)。

(2)session

优点:

缺点:如果服务器做了负载均衡,那么到另一台服务器上后,session会丢失。

(3)token

优点:可以避开同源策略,可以避免csrf攻击,无状态所以多个服务器可共享。

缺点:后端控制不了token,不能设置将它作废。

四、登录功能

1. cookie + session方式

        这种模式适用于单机,当服务器集群时,就会要求session共享。因此采用JWT方案,让服务器不保存session了,所有数据都保存在客户端,每次请求都发回服务器。

2. token登录(JWT)

        服务器认证后,生成一个Json对象,发回给用户,以后用户与服务器通信时,都要发回这个Json对象。为了防止用户篡改数据,服务器生成该对象时会加上签名。

Header.Payload.Signature

JWT的3个部分如上。

(1)头部Header

{
    "alg": "HS256",   // 签名的算法,默认HS256
    "typ": "JWT"      // token的类型
}
//最后再用过Base64URL算法转成字符串

(2)负载Payload

1.也是一个JSON对象
2.里面有过期时间、生效时间等
3.也要使用BaseURL算法转成字符串

(3)签名Signature

对前两部分进行签名,防止数据篡改。

首先需要指定一个密钥,这个密钥只有服务器才知道、不能泄漏给用户。然后,使用Header中指定的签名算法,对【base64URL(header)+base64URL(payload)+密钥】产生签名。

然后,把这三部分拼成一个字符串,用点号分隔,返回给用户。

3. SSO单点登录

二阶求导
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
sessioncookietoken的区别?
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
网络编程之tokensessioncookie详解
qq_30067153的博客
02-26 1257
理解cookiesessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
TokenCookieSession详解
weixin_46418118的博客
10-22 413
TokenCookieSession详解
Cookiesessiontoken的区别(tokensession对比选型)
热门推荐
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2347
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSessionToken三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSessionToken鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
cookiesessiontoken详解
qq_54850598的博客
11-03 2539
目前网络上进行用户验证的方法主要有三种:cookie,session,token,他们之间存在相似也有各自的优缺点,本文将着重强调。cookie是浏览器存储在本地的文件,主要用于存储服务器对用户进行的标记,大小有限一般只为4kb,用户在第一次进行服务器请求时,服务器会生成对应的id,然后发送给客户端,客户端就会存储在本地文件中。
tokensessioncookie详解以及应用原理
m0_61355190的博客
07-26 5958
理解cookiesessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。httpshttpshttpshttps。...
SessionCookie
一点思考
12-31 401
转载自: https://blog.csdn.net/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器,服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
CookieSessionToken概念、区别、如何实现
最新发布
diaobusi的博客
08-02 1426
Cookie 是在客户端存储数据的机制,由服务器通过 Set-Cookie 响应头发送给客户端浏览器,并存储在客户端上。主要用于在客户端保持用户状态和存储少量数据。存储在客户端,可能存在安全风险和受限制的存储容量。SessionSession 是在服务器端存储用户状态和数据的机制,通过为每个客户端创建唯一的会话标识来进行管理。主要用于在服务器上跟踪用户、存储大量数据和实现身份认证。存储在服务器端,安全性较高,但会增加服务器的负担和存储需求。Token
Token,CookieSession三者的区别
winkexin的博客
05-12 3555
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession的区别还是一知半解。
Cookie,Session,Token详解
q123q9的博客
03-16 2523
1.Cookie方案 Cookie保存在客户端中,分为内存Cookie和硬盘Cookie,内存Cookie由浏览器维护,保存在内存中,浏览器关闭后消失,硬盘Cookie保存在硬盘中,有一个过期时间,存在时间是长期的。 同时HTTP Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器在下一次请求被携带并发送到服务器上。 Cookie用于这三个方面上: 绘画状态管理 个性化设置 浏览器行为跟踪 服务器创建Cookie 服务器收到HTTP请求,会在响应头添加一个set-Cookie
SessionTokenCookie的区别及实际使用
不愧是暮言的博客
05-16 1188
在现代Web开发中,身份验证和会话管理涉及一些基本概念,如SessionTokenCookie。尽管它们都用于管理不同方面的Web会话,但它们之间的差异是很重要的。在本文中,我们将一一介绍SessionTokenCookie的定义、实际意义和使用,并分析它们的优点和缺点。
CookieSessionToken三者的区别
qq_61991235的博客
02-11 4164
CookieSessionToken三者的区别
【Java基础】CookieSessionToken分别是什么
qq_45291280的博客
02-02 466
cookiesessiontoken
session token cookie 详细介绍
04-26
Session token cookie是一种认证机制,它通常用于在客户端和服务器之间建立会话。当用户成功登录网站时,服务器会创建一个唯一的session id,并将其存储在session token cookie中。每当用户发送请求时,cookie会在请求头中随请求一起发送到服务器。服务器使用session id验证该用户是否有权限获取请求的资源。如果验证成功,服务器会提供响应并更新session的状态。 Session token cookie通常由服务器生成,并包含以下信息: 1. Session id:服务器生成的唯一标识符 2. 过期时间:指定cookie何时应该被删除 3. Domain:指定cookie可以被发送到哪个域名 4. Path:指定cookie应该是哪个路径下的URL可见 Session token cookie是一种有效的认证机制,因为它可以避免在每个请求中都要求用户重新进行身份验证。它还可以提供良好的用户体验,因为用户只需要登录一次,无需在每个请求中重新输入登录凭据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值