session与token机制区别

最新推荐文章于 2024-03-21 22:47:00 发布
最新推荐文章于 2024-03-21 22:47:00 发布
阅读量743 收藏 2
点赞数
文章标签: token session 区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiang19941211/article/details/102915916
版权

关于session

用户登录网页时会给服务器发送请求,带着用户信息,此时服务器会进行判断并返回session给用户

  1. 服务器获取用户信息
  2. 判断验证用户
  3. 判断成功,将用户信息写入redis并得到sessionid
  4. 将session写入cookie返回给前端发送给用户

用户拿着session去请求服务器,服务器解析session后判断用户信息并成功访问

session的缺点:

  • 因为用户信息是保存在redis中的,redis是保存在服务器内存,随着用户量增大,所需要的内存资源也随之增大,不可避免的造成内存溢出
  • 因为session是基于cookie来进行用户识别的,所以如果cookie会被黑客截获进行CSRF攻击,这样一来就容易被跨站攻击,用户信息被泄露,造成经济损失
  • 虽然可以关闭浏览器每次访问都携带cookie和session信息的功能,但是有些网站是基于session登录,这样一来就无法使用该网页
  • 随着用户量信息量增多,不可避免进行扩容,建立服务器集群。而随之而来问题就是当用户登录服务器1的时候进行下一个操作可能会被分配到服务器2,此时服务器2没有保存用户的登录信息,所以需要进行再次登录。此时造成了逻辑缺失。

关于token

token机制与session机制的差距不大,最主要的是服务器处理的第三步

  • session: 判断成功,将用户信息写入redis并得到sessionid
  • token:判断成功,将用户信息进行加密生成一个加密字符串保存在token变量中

此时服务器返回给用户的就不是session值而是一个token值
前端接受加密字符串通过js代码保存在storage中,用户使用该token值访问网页,网页使用get方法通过js代码获取storage中的token值,并且进行解密,当解密成功获取用户信息

token值就像一串随机字符串,就算被黑客截获也无法使用token来跨域攻击网站致使用户信息泄露,因为浏览器的同源策略致使无法使用不同浏览器登录用户;其次token值不是存在cookie中,而是随着js代码保存在storage中

同源策略:

  • 不同源的客户端脚本js文件在没有明确授权的情况下不能读写对方资源。只有同一个圆的脚本赋予dom、读写cookie、session、ajax等操作的权限

token是一个变量,其值是一个加密后的字符串,因此在多个服务器中,用户在服务器1中操作后下一个操作被分配到服务器2也不会重新登录。因为服务器只需要get到用户js代码中的token值并进行解密后即可获取用户信息。
token就想一个凭证,如果对了浏览器就被服务器允许访问

token相对于session的优势:

  • 进行加密,保护用户的信息不被泄露
  • 因为token是存在变量中的,变量是在程序完成后悔自动销毁所以不会占用大量内存
  • 通过token多个服务器之间不需要用户重复登录,只需要通过token进行解密后即可获得用户的信息
执笔画惊鸿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie、SessionToken、JWT
07-21
Cookie、SessionToken、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 Cookie:Cookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
Tokensession区别
m0_53856016的博客
09-14 1万+
在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Toke n便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。二、什么是session?服务器为了保存用户状态而创建的一个特殊的对象。当浏览器第一次访问服务器时,服务器创建一个session对象(该对象有一个唯一的id,一般称之为。
sessionToken区别
tht_shen的博客
05-20 1351
SessionToken区别
Session+Cookie+Token
最新发布
luoyuhhh的博客
03-21 976
快速掌握Session , Cookie 以及 Token
Cookie、sessiontoken区别tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
SessionToken区别
热门推荐
love_onefly的博客
06-19 2万+
1. 为什么要有session的出现?答:是由于网络中http协议造成的,因为http本身是无状态协议,这样,无法确定你的本次请求和上次请求是不是你发送的。如果要进行类似论坛登陆相关的操作,就实现不了了。2. session生成方式?答:浏览器第一次访问服务器,服务器会创建一个session,然后同时为该session生成一个唯一的会话的key,也就是sessionid,然后,将sessionid...
sessiontoken区别
服务端开发进阶之路
08-13 520
来自:https://blog.csdn.net/mydistance/article/details/84545768 我们先来看session 当用户第一次通过浏览器使用用户名和密码访问服务器时, 服务器会验证用户数据,验证成功后在服务器端写入session数据, 向客户端浏览器返回sessionid,浏览器将sessionid保存在cookie中, 当用户再次访问服务器时,会携带sessionid, 服务器会拿着sessionid从服务器获取session数据, 然后进行用户信息查询,查询到,就会将
node实现基于token的身份验证
01-02
最近研究了下基于token的身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。 传统的session+cookie...
vue的token刷新处理的方法
01-21
token身份验证机制 客户端登录请求成功后,服务器将用户信息(如用户id)使用特殊算法加密后作为验证的标志发送给用户(即token),当用户下次发起请求时,会将这个token捎带过来,服务器再将这个token通过解密后...
基于token的登陆验证机制.docx
06-28
用户通过用户名和密码登陆成功之后,服务器端...下次用户再来访问的话会带着这个cookie中的session_id,服务器拿着这个id去寻找对应的session,如果session中已经有了这个用户的 登陆信息,则说明用户已经登陆过了。
对laravel的csrf 防御机制详解,及form中csrf_token()的存在介绍
01-03
Laravel 会自动在用户 session (根据session_id 关联确认属于谁) 生成存放一个随机令牌(token)放在session中,并且如果使用 Laravel 的 {{form::open}} 会自动隐藏存在 csrf_token(),如果需要写html form 则需要在...
cookie,sessiontoken区别和作用
VegetableKCCCC的博客
11-03 488
1.cookie,sessiontoken的出现的背景 很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品, 也就是说我必须把每个人区分开
WEB常识 五 什么是 Session
W_H_M_2018的博客
09-22 548
什么是 Session session 是另一种记录服务器和客户端会话状态的机制 session 是基于 cookie 实现的,session 存储在服务器端,sessionId 会被存储到客户端的cookie 中 session 认证流程: 用户第一次请求服务器的时候,服务器根据用户提交的相关信息,创建对应的 Session 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器 浏览器接收到服务器返回的 SessionID 信息后,会将此信息存入到 Cookie
cookie、sessiontoken区别
零怀念的博客
08-10 424
当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。..
sessiontoken简单区别
huangkechen的博客
01-14 1280
Session机制 Session是存储在服务端的,每次请求客户端Cookie中携带sessionId,服务器进行验证,sessio是有状态的。 缺点:如果服务器做了负载均衡有多个,用户的请求到达某个服务器时,这个服务器没有用户的session信息,就会会话失败。所以Session默认机制下是不适合分布式部署的。 Token Token我们一般称为令牌,一般通过MD5、SHA算法将密钥、公钥、时间戳等元素加密产生的加密字符串。 浏览器访问服务器后认证成功会返回token给客户端,客户端后续请求会携带这个to
sessiontoken区别
ITWANGBOIT的博客
11-15 1163
通过讲述保持会话状态方式的演变过程,来讲述sessiontoken区别: 1、很久很久以前,Web 基本上就是文档的浏览而已,服务器不用记住是哪个浏览器刚刚发送了HTTP请求, 每个请求对服务器来说都是全新的。 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等;服务器就要记录哪些人登录了系统,让已经登录了系统的用户再次发送请求时,不必再次登录;这就要管理会话,但这是一个...
sessiontoken区别
林先生学习博客
01-17 161
目录 一、session的状态保持及弊端 二、token认证机制 一、session的状态保持及弊端 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用...
java--Springboot 拦截器、异常类处理和定时器相关基础
weixin_45686583的博客
03-30 529
Springboot 拦截器、异常类和定时器相关基础 拦截器用于拦截controller中被访问的路径,false表示拦截 true代表放行。 拦截器的配置: package cn.zbw.interceptor; import org.springframework.lang.Nullable; import org.springframework.stereotype.Component; import org.springframework.web.servlet.HandlerInterce
cookie与sessiontoken区别
03-05
Cookie、SessionToken都是用于Web应用程序中的身份验证和状态管理的机制。 Cookie是一种存储在客户端浏览器中的小文件,它包含了一些关于用户的信息,例如用户ID、用户名等。当用户访问同一网站时,浏览器会将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值