cookie,session,token

最新推荐文章于 2024-07-29 11:48:32 发布
最新推荐文章于 2024-07-29 11:48:32 发布
阅读量210 收藏
点赞数
文章标签: 服务器 memcached 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juzijunjun/article/details/127282660
版权

cookie,session,token

    1. 无token时期
    • 只浏览一些文本,每次请求都是一个新的HTTP协议(请求+响应),不需要记住谁发送了请求。
    1. cookie+session认证时期
    • 随着网站兴起,需要进行交互,像购物网站。 需要记住每个人的状态。把每个人区分开,所以办法就是给大家发一个会话标识(session id),就是一个随机的字符串,每个人收到的都不一样, 每次大家向我发起HTTP请求的时候,把这个字符串给一并捎过来, 这样我就能区分开谁是谁了
    1. cookie+session存在问题解决
    • 虽然每个人只需要保存自己的session id,但是对于服务器来说是一个数以万计的庞大数据量,这对服务器说是一个巨大的开销 , 严重的限制了服务器扩展能力,例如:我用两个机器组成了一个集群, 小F通过机器A登录了系统, 那session id会保存在机器A上, 假设小F的下一次请求被转发到机器B怎么办? 机器B可没有小F的 session id。
    • 有时候会采用一点小伎俩: session sticky , 就是让小F的请求一直粘连在机器A上, 但是这也不管用, 要是机器A挂掉了, 还得转到机器B去
    • 那只好做session 的复制了, 把session id 在两个机器之间搬来搬去, 快累死了
      在这里插入图片描述
    • 后来有个叫Memcached的支了招: 把session id 集中存储到一个地方, 所有的机器都来访问这个地方的数据, 这样一来,就不用复制了, 但是增加了单点失败的可能性, 要是那个负责session 的机器挂了, 所有人都得重新登录一遍, 估计得被人骂死。
    • 也尝试把这个单点的机器也搞出集群,增加可靠性, 但不管如何, 这小小的session 对我来说是一个沉重的负担
      在这里插入图片描述

  • Token认证

    • 为什么要保存session呢, 只让每个客户端去保存该多好?如果不保存这些session id , 无法验证客户端发给我的session id 是我自己生成,如果不去验证,我们都不知道他们是不是合法登录的用户, 有不怀好意的家伙们可以伪造session id , 之后就会为所欲为
    • 所以关键点就是验证
    • 比如a登录了系统,我给其发一个令牌(token),里面包含了a的user id,下一次a通过HTTP请求访问我时,把token通过Http header带过来就行。但是该方法本质与session id没有区别,也可以随意伪造,所以得想点其他办法。
    • 所以就可以对数据做一个签名, 比如说我用HMAC-SHA256 算法加上一个自己设置的密钥,对数据做一个签名, 把这个签名和数据一起作为token , 由于密钥别人不知道, 就无法伪造token了
      在这里插入图片描述

  • 此token不保存,当a把token给我发过来的时候,我在用同样的HMAC-SHA256算法+同样的密钥,对数据再进行一次在签名与之前的比较,校验是否相同,就知道a是否已经登录过。知道数据是否被人篡改过

  • 在这里插入图片描述

      1. Token 中的数据是明文保存的(虽然我会用Base64做下编码, 但那不是加密), 还是可以被别人看到的, 所以我不能在其中保存像密码这样的敏感信息
      1. 当然, 如果一个人的token 被别人偷走了, 那我也没办法, 我也会认为小偷就是合法用户, 这其实和一个人的session id 被别人偷走是一样的。
      1. 这样一来, 我就不保存session id了, 我只是生成token , 然后验证token , 我用我的CPU计算时间获取了我的session 存储空间
      1. 解除了session id这个负担,机器集群现在可以轻松地做水平扩展, 用户访问量增大, 直接加机器就行。 这种无状态的感觉实在是太好了!

Cookie,Session解释

  • cookie:(存在客户端浏览器的键值对)
    • cookie指的是浏览器例能永久存储的一种数据 ,仅仅时浏览器实现的一种数据存储的功能。
    • cookie由服务器生成,发送给浏览器,浏览器会把cookie一kv键值对形式保存到某个目录下的文本文件内,下一次请求同一网站时会把cookie发送给服务器。因为cookie时存在于客户端上的,所以浏览器为了确保cookie不会被恶意使用,所以会加入一些限制。同时也不会占用很大的磁盘空间,每个域的·cookie数量时有限的
  • Session: (存在于服务端的键值对)
    • session 从字面上讲,就是会话.
    • 服务器要知道当前发请求给自己的是谁。为了做这种区分,服务器就要给每个客户端分配不同的“身份标识”,然后客户端每次向服务器发请求的时候,都带上这个“身份标识”,服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”,可以有很多种方式,对于浏览器客户端,大家都默认采用 cookie 的方式。
    • 服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。
  • cookie和session的区别
    • session是存储服务器端,cookie是存储在客户端,所以session的安全性比cookie高
    • session的信息是通过sessionid获取的,而sessionid是存放在会话cookie中

Token

  • token数据是三段式,由服务端生成,存放在客户端(浏览器就放在cookie中,移动端:存在移动端中)

  • token数据三段式:

    • 第一段:Header: 公司的信息,加密方式等。{}
    • 第二段:荷载: 真正的数据 {name:?,id=?}
    • 第三段:签名: 通过第一段和第二段,通过某种加密方式加密得到的随机字符串

  • token的使用分两个阶段

    • 登录成功后的{签发token阶段}—>生成了三段
    • 登录成功访问某个接口的验证阶段—>验证token是否合法

  • 使用token的认证机制,服务端还需要存数据嘛?

    • token是服务的生成,客户端保存,服务端就不存储token

  • 文章部分摘自
    https://www.cnblogs.com/liuqingzheng/p/8990027.html

橘子菌菌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Cookie Session Token
SZ170110231的博客
07-22 668
Cookie Session Token
CookieSessionToken 的区别与用途
ProgramNovice的博客
04-23 1365
CookieSessionToken 的区别与用途
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 3873
Cookie Session Token讲解及用法
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3657
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
浅析cookie session token
lbw_15189736971的博客
08-28 3356
概念 cookie:又称为“小甜饼”。类型为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密) session:(会话)是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制 token:令牌,代表执行某些操作的权利的对象 session token:交互会话中唯一身份标识符 网上...
熬夜彻底搞懂Cookie Session Token JWT
码农小胖哥
08-19 860
一切的根源就是因为 HTTP 是一个无状态的协议。HTTP 是一个无状态的协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。看过电影《夏洛特烦恼》的...
Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
主要发布一些日常学习代码及理解
10-12 867
详细介绍了Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
实现登录状态保持的方法:cookie session token jwt
路漫漫其修远兮,吾将上下而求索。
03-12 3676
实现登录状态保持的方法 方法一:cookiesession配合使用 首先,用户登录输入用户名和密码,浏览器发送post请求,服务器后台获取用户信息,查询数据库验证用户信息是否正确。如果验证通过,就会创建session来存储相关信息,并且生成一个cookie字符串,把sessionID放在cookie里面。然后返回给浏览器。 当用户下一次发起请求时,浏览器会自动携带cookie去请求服务器,服务器...
鉴权 cookie session token的区别
qq_43844012的博客
04-19 1442
背景 在B站看到一个up的详细解说cookiesession、tocken觉得讲的挺透彻的,于是就趁热记录一下。 一、鉴权是什么? 鉴权就是鉴定权限,最常见的就是鉴定该用户是否为登录状态。最开始做接口测试的时候,找了一个接口,把协议、ip、URL填好以后就以为万事大吉。一发起请求,查看响应就说登录信息错误。 为什么呢? 这就是因为没有鉴权,服务器根本就不认识你,所以就不理你,请求的数据就不会发送给你了。 说到这里,又不得不说一下http协议的工作原理。 简单来说,就是客户端(浏览器)发起请求,服务器端接
SessionCookieToken区别详解
weixin_46403305的博客
08-15 4884
SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2.Sessio
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
Linux基础命令
weixin_68540670的博客
07-25 1557
Linux中一切从根开始Linux中一切皆文件。
打造Memcached的专属记忆宫殿:自定义内存分配器实现指南
2402_85758936的博客
07-27 365
性能优化:针对特定工作负载优化内存分配和回收的性能。内存碎片管理:减少内存碎片,提高内存利用率。特定数据模式:针对特定类型的数据访问模式进行优化。malloc:分配内存。free:释放内存。realloc:调整已分配内存的大小。使用固定大小的内存块。实现内存池以减少碎片。void* ptr;} MemBlock;if (!Memcached允许通过编译时配置使用自定义的内存分配器。你需要修改Memcached的源代码,使用你的分配器替换默认的内存分配函数。
缓存预热:Memcached性能提升的秘诀
2401_85812026的博客
07-27 403
缓存预热是提升Memcached性能的重要手段。通过本文的学习,你应该了解了缓存预热的工作原理和实现方法,以及如何通过自动化和监控来优化预热过程。
深入探索Memcached数据分区:策略、实践与优化
最新发布
liuxin33445566的博客
07-29 490
Memcached是一个广泛使用的高性能分布式内存缓存系统,它通过减少对数据库的直接访问,显著提高了应用程序的响应速度和扩展性。通过本文的介绍,读者应该对Memcached中的数据分区有了更深入的理解。数据分区(Partitioning)是一种将数据分散存储在多个服务器或存储单元的方法,以提高系统的可扩展性和容错能力。在Memcached中实现数据分区,可以有效地避免单点过载,平衡各个节点的负载。可以使用Memcached的。数据分区可能会影响缓存的一致性,需要根据应用程序的需求选择合适的一致性级别。
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端浏览器在其后面的HTTP请求中向同一个服务器发送请求时,它将在具有相同域名的请求中包含此CookieSession是由服务器认证用户身份并在其后续请求之间保存数据的机制。在建立Session时,服务器将赋予一个Session ID(通常是一个加密字符串),它将被存储在Cookie中并发送回客户端浏览器中。客户端浏览器将随后请求中包含该Cookie,并且服务器可以据此确定客户端浏览器的身份和客户端浏览器所需的数据。 Token是由服务器发出的一种文本字符串,用于验证客户端请求和服务器的响应。Token不是在客户端存储的,而是在服务端验证,一般包含加密的用户信息,客户端需要通过输入用户名和密码或其他凭据来认证身份以获取Token,然后在后面的请求中将其发送给服务器。 在web开发中,CookieSessionToken通常用于管理用户身份验证和状态维持。Cookie是最基本的机制,Session提供了更安全的身份验证和数据保存,而Token则对安全性进行了改进,可用于跨浏览器和跨设备使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值