Cookie、Session、Token的区别

已于 2023-11-17 11:05:56 修改
阅读量532 收藏
点赞数
文章标签: 服务器 http servlet
于 2023-04-21 17:05:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kking_edc/article/details/130290586
版权

1 cookie

HTTP服务器是无状态的,这简化了服务器的设计。然而一个Web站点通常希望能够识别用户,可能是因为服务器希望限制用户的访问,或者因为它希望把内容与用户身份联系起来。为此,HTTP使用了cookie。

下图是cookie的工作流程:

在这里插入图片描述

从图中可以看出,cookie技术有4个组件:

  1. 在HTTP响应报文中的一个cookie首部行
  2. 在HTTP请求报文中的一个cookie首部行
  3. 在用户端系统保留有一个cookie文件,并由用户的浏览器进行关系
  4. 位于Web站点的一个后端数据库

上图中cookie工作方式是:

  • 假设Susan已经访问过ebay并生成了对应的cookie,现在她首次与Amazon.com联系。
  • 当请求报文到达该Amazon Web服务器时,该Web站点将产生一个唯一识别码,并以此作为索引在它的后端数据库中产生一个表项。接下来Amazon Web服务器用一个包含Set-cookie:1678首部的HTTP响应报文对Susan的浏览器进行响应,其中Set-cookie首部含有识别码1678
  • 当Susan的浏览器收到了该HTTP响应报文时,它会看到该Set-cookie首部。该浏览器在它管理的特定cookie文件中添加一行,该行包含服务器的主机名和Set-cookie首部的识别码。值得注意的是该cookie文件已经有了用于eBay的表项,因为Susan过去访问过该站点。
  • 当Susan继续浏览Amazon网站时,每请求一个Web页面,其浏览器就会从该cookie文件中获取她对这个网站的识别码,并放到HTTP请求报文中包括识别码的cookie首部行中。发往Amazon服务器的每个HTTP请求报文都包括以下首部行:Cookie: 1678 在这种方式下,Amazon服务器可以跟踪Susan在Amazon站点的活动。尽管Amazon Web站点不知道Susan的名字,但它确切地知道用户1678按照什么顺序、在什么时间、访问了哪些页面。这样Amazon就可以使用cookie来提供它的购物车服务,即Amazon能够维护Susan希望购买的物品列表,这样在Susan结束会话时可以一起为它们付费。
  • 如果Susan再次访问Amazon站点,比如一个星期后,她的浏览器会在其请求报文中继续放入首部行cookie:1678. Amazon将根据Susan过去在Amazon访问的网页向她推荐产品。如果Susan也在Amazon注册过,即提供了她的全名、电子邮件地址等,则Amazon能在其数据库中包括这些信息,将她的全名与识别码相关联。

以下是通常会保存在 Cookie 中的数据:

  • 身份信息:例如用户 ID、用户名等,用于区分不同的用户。
  • 会话状态:例如用户是否已登录、购物车中的商品等。
  • 个人偏好:例如网站的主题颜色、字体大小等。
  • 跟踪信息:例如用户的浏览行为、广告点击情况等。

创建一个 Cookie 并将它放在客户端的过程通常由服务器完成,当服务器返回 HTTP 响应时,可以在响应头 Set-Cookie 中包含一个或多个 Cookie。这些 Cookie 会被浏览器存储起来,并在以后的请求中自动附加到请求头 Cookie 中,发送给服务器。

按在客户端中的存储位置,可分为内存 Cookie 和硬盘 Cookie,内存 Cookie 由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的,硬盘 Cookie 保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘 Cookie 不会被删除,其存在时间是长期的。

在这里插入图片描述

服务端创建Cookie时,Cookie 的过期时间、域、路径、有效期、适用站点都可以根据需要来指定。

在这里插入图片描述

一个简单的 Cookie 可能像这样:

Set-Cookie: <cookie名>=<cookie值>

HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: tasty_cookie=strawberry

客户端对该服务器发起的每一次新请求,浏览器都会将之前保存的 Cookie 信息通过 Cookie 请求头部再发送给服务器。

GET /sample_page.html HTTP/1.1
Host: www.example.org
Cookie: yummy_cookie=choco; tasty_cookie=strawberry
1.1 存在的问题

Cookie 常用来标记用户或授权会话,被浏览器发出之后可能被劫持,被用于非法行为,可能导致授权用户的会话受到攻击,因此存在安全问题。

待补充

2 Session

2.1 Session 机制的概念

如果说 Cookie 是客户端行为,那么 Session 就是服务端行为。

在这里插入图片描述

Cookie 机制在最初和服务端完成交互后,保持状态所需的信息都将存储在客户端,后续直接读取发送给服务端进行交互。

Session 代表服务器与浏览器的一次会话过程,并且完全由服务端掌控,实现分配 ID、会话信息存储、会话检索等功能。

Session 机制将用户的所有活动信息、上下文信息、登录信息等都存储在服务端,只是生成一个唯一标识 ID 发送给客户端,后续的交互将没有重复的用户信息传输,取而代之的是唯一标识 ID,暂且称之为 Session-ID 吧。

2.2 简单的交互流程
  • 当客户端第一次请求 session 对象时候,服务器会为客户端创建一个 session,并将通过特殊算法算出一个 session 的 ID,用来标识该 session 对象。
  • 当浏览器下次请求别的资源的时候,浏览器会将 sessionID 放置到请求头中,服务器接收到请求后解析得到 sessionID,服务器找到该 id 的 session 来确定请求方的身份和一些上下文信息。
3.3 Session 的实现方式

首先明确一点,Session 和 Cookie 没有直接的关系,可以认为 Cookie 只是实现 Session 机制的一种方法途径而已,没有 Cookie 还可以用别的方法。

session 的实现主要两种方式:cookie 与 url 重写,而 cookie 是首选方式,因为各种现代浏览器都默认开通 cookie 功能,但是每种浏览器也都有允许 cookie 失效的设置,因此对于 Session 机制来说还需要一个备胎。

将会话标识号以参数形式附加在超链接的 URL 地址后面的技术称为 URL 重写。

原始的URL:
http://taobao.com/getitem?name=baymax&action=buy
重写后的URL:
http://taobao.com/getitem?sessionid=1wui87htentg&?name=baymax&action=buy
3.4 存在的问题

在这里插入图片描述
由于 Session 信息是存储在服务端的,因此如果用户量很大的场景,Session 信息占用的空间就不容忽视。

对于大型网站必然是集群化 & 分布式的服务器配置,如果 Session 信息是存储在本地的,那么由于负载均衡的作用,原来请求机器 A 并且存储了 Session 信息,下一次请求可能到了机器 B,此时机器 B 上并没有 Session 信息。

这种情况下要么在 B 机器重复创建造成浪费,要么引入高可用的 Session 集群方案,引入 Session 代理实现信息共享,要么实现定制化哈希到集群 A,这样做其实就有些复杂了。

在这里插入图片描述

4 Token 方案

Token 是令牌的意思,由服务端生成并发放给客户端,是一种具有时效性的验证身份的手段。

Token 避免了 Session 机制带来的海量信息存储问题,也避免了 Cookie 机制的一些安全性问题,在现代移动互联网场景、跨域访问等场景有广泛的用途。

4.1 简单的交互流程

在这里插入图片描述

  • 客户端将用户的账号和密码提交给服务器
  • 服务器对其进行校验,通过则生成一个 token 值返回给客户端,作为后续的请求交互身份令牌
  • 客户端拿到服务端返回的 token 值后,可将其保存在本地,以后每次请求服务器时都携带该 token,提交给服务器进行身份校验
  • 服务器接收到请求后,解析关键信息,再根据相同的加密算法、密钥、用户参数生成 sign 与客户端的 sign 进行对比,一致则通过,否则拒绝服务
  • 验证通过之后,服务端就可以根据该 Token 中的 uid 获取对应的用户信息,进行业务请求的响应
4.2 Token 的设计思想

以 JSON Web Token(JWT)为例,Token 主要由 3 部分组成:

  • Header 头部信息:记录了使用的加密算法信息
  • Payload 净荷信息:记录了用户信息和过期时间等
  • Signature 签名信息:根据 header 中的加密算法和 payload 中的用户信息以及密钥 key 来生成,是服务端验证客户端的重要依据

在这里插入图片描述
header 和 payload 的信息不做加密,只做一般的 base64 编码,服务端收到 token 后剥离出 header 和 payload 获取算法、用户、过期时间等信息,然后根据自己的加密密钥来生成 sign,并与客户端传来的 sign 进行一致性对比,来确定客户端的身份合法性。

这样就实现了用 CPU 加解密的时间换取存储空间,同时服务端密钥的重要性就显而易见,一旦泄露整个机制就崩塌了,这个时候就需要考虑 HTTPS 了。

4.3 Token 方案的特点
  • Token 可以跨站共享,实现单点登录
  • Token 机制无需太多存储空间,Token 包含了用户的信息,只需在客户端存储状态信息即可,对于服务端的扩展性很好
  • Token 机制的安全性依赖于服务端加密算法和密钥的安全性
  • Token 机制也不是万金油
你回到了你的家
关注
cookiesession的超详解(配图)
Faith的博客
08-23 1220
CookieSession详解 会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1 
CookieSession
qq_48269763的博客
01-01 1102
小明去校园食堂买粥,觉得牛奶燕麦粥不错,之后又去买粥了,对食堂阿姨说,还是上次的那种粥。阿姨没有记录小明是否来过,更没有记录小明上次点的是那种粥,只能小明重新说一遍粥的名字。小明来喝粥的时候,阿姨把小明喝的是那种粥记录在小本本上,下次小明再来的时候,阿姨直接查询 小本本,给小明要喝的粥(避免小明早八迟到 )。Cookie是一种客户端会话技术,Cookie是由服务端产生的,是存放在浏览器上的一小份数据,浏览器每次请求服务器的时,都会携带浏览器中的Cookie
一文弄懂cookiesessiontoken是什么、生命周期与缺点
韩超的博客 (hanchao5272)
06-21 3662
1.http是无状态的 很久之前,网站的作用是只是用来文档浏览,http请求不需要记录当前用户在网站的访问状态等信息。 http协议是无状态的,自然可以满足上述需求。 随着网络发展,尤其是交互式网络的兴起,如何用户的访问信息称为了必须解决的问题。 2.cookie 2.1.起源 1994年,网景通讯的员工Lou Montulli为了解决一个购物车功能,将"Magic Cookie...
CookieSessionToken区别与用途
ProgramNovice的博客
04-23 2132
CookieSessionToken区别与用途
cookiesessiontoken 区别
枫飘长安的博客
03-24 1163
cookiesessiontoken区别
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3788
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器服务器
sessioncookietoken区别
weixin_42672802的博客
08-26 1654
Cookiesessiontoken区别
一文助你快速理解Cookie,Session,Token区别
沫沫1890S的博客
12-17 2013
本文详细描述了Cookie,Session,Token的定义、鉴权原理和区别cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session服务器端对象,是浏览器和服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
SessionCookieToken三者之间的区别
LEO
05-10 1227
SessionCookieToken三者之间的区别 HTTP协议 CookieSession cookie是什么 1.创建 Cookie 2.Set-CookieCookie 标头 3.会话 Cookies 4.永久性 Cookies 5.Cookie 的 Secure 和 HttpOnly 标记 6.HttpOnly 的作用 7.Cookie 的作用域 Session 是什么 2.1Session 如何判断是否是同一会话 2.2Session 的缺点 什么是 Json Web Tokens
sessioncookietoken区别
热门推荐
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
cookie session token区别
06-28
两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对...
cookiesessiontoken详解和区别
Hiro18的博客
09-27 6259
帮你存储一些在交互过程临时产生的数据当你打开浏览器,访问一个网站,认为会话开始了,当你关闭浏览器的时候,会话结束了接下来先详细介绍cookiesessiontoken,当你充分了解他们之后,就会发现他们的区别
Linux将二进制软件包编译成rpm软件包教程详解
广阔天地,大有作为
11-12 461
通过以上步骤,你可以将二进制软件包编译成RPM软件包,并在Linux系统中进行安装和管理。这个过程虽然涉及一些复杂的配置,但通过.spec文件的详细定义,你可以精确控制软件包的构建和安装过程。希望这篇教程能帮助你更好地理解和使用RPM包管理工具。
服务器】本地安装X11 服务器-Windows
WW、forever的博客
11-12 847
服务器】本地安装X11 服务器-Windows
Linux的基本指令(一)
2302_80378107的博客
11-08 861
对于目录,该命令列出该目录下的所有子目录与文件。对于文件,将列出文件名以及信息。-a列出目录下的所有文件,包括以 . 开头的隐含文件。-l列出文件的详细信息。
服务器集群的作用有什么?
wanhengwangluo的博客
11-12 476
服务器集群通常是指多个服务器集中起来一起进行同一种服务,在客户端看来只有一个服务器服务器集群能够利用多个计算机做备份工作,同时进行并行计算来获得更高的计算速度,即使其中的某个机器出现问题,整个系统还是可以正常运行的。服务器集群可以将传入的用户请求分发到不同的服务器上进行处理,以此来达到负载均衡的效果,可以充分利用每台服务器的资源,提高了整个系统的性能和响应速度;同时当服务器出现故障时,扔人可以保证服务的正常运行,避免可单点故障,保证业务的持续运行。接下来就来了解一下服务器集群的作用是什么吧!
IDC机房服务器托管的费用组成
最新发布
yilinwangluo的博客
11-12 424
青蛙云IDC提示:在选择IDC机房时,建议详细了解其定价结构和各项费用明细,以便做出符合预算和业务需求的合适选择,同时,记得比较不同机房的报价和服务质量,以找到性价比高的解决方案。- 如果你需要额外的IP地址,IDC机房可能会为此收取额外的费用。- 根据你的服务器功率和预计的电力消耗,IDC机房可能会收取电力费用。- 在某些情况下,IDC机房可能会收取初始的设置和安装费用,包括服务器上架、网络配置、操作系统安装等。- 如果你选择由IDC机房提供全面的服务器管理和维护服务,这将产生额外的费用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值