彻底搞懂cookie、session和token

已于 2022-08-20 17:45:54 修改
阅读量2.2k 收藏 9
点赞数 2
分类专栏: 网络相关 文章标签: 网络
于 2022-08-19 18:53:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuqinhou/article/details/126418762
版权

一、Cookie

误解:cookie是缓存

1、什么是cookie?

        cookie的本质是一小段的文本信息,格式是字典key=value。cookie的名称不是固定的是由开发自定义的。

2、cookie的分类

        会话cookie:保存在内存,当浏览器的会话关闭之后自动消失;

        持久cookie:  保存在磁盘,只有当失效时间到期后才会自动消失;

3、cookie的格式

        {name:值,value:值, Domain:域名, Path:路径, expires:失效时间,size:大小,...}

4、查看cookie方式:

        1、查看当前网页的cookie: F12 -> application -> cookie;

        2、查看浏览器所以网页的cookie: 浏览器 -> 设置 -> 隐私设置与安全性 -> 查看所有cookie和网站数据

5、cookie鉴权(鉴定权限)的原理

        1、客户端第一次请求服务器B,服务器产生cookie,然后通过响应头的set-Cookie字段把cookie的信息返回给客户端;

         2、客户端从第二次开始访问服务器B,在请求头的cookie中都会自动带上该Cookie信息,从而实现鉴权。

6、Cookie存在的问题

        因为cookie保存在客户端,cookie的数据可以在客户端被截获。对于一些机密的数据,比如用户名和密码、银行卡号和支付密码、身份证号码登信息。

        所以演进了新的技术,使用Cookie保存不重要的数据信息,然后再使用Session来保存重要的数据。

二、Session

        session是通过cookie来传值的。

1、session鉴权原理

        当客户端第一次登录服务器的时候,服务器会创建一个session来保存用户的重要信息,并起名为sessionId(具体命名由开发决定,一般是一段比较长的经过加密的字符串)。然后通过cookie的鉴权方式实现session的鉴权。

2、session的问题

        造成服务器性能瓶颈

三、Token令牌

1、 token两种获取方式:

        1、登录之后,自动生成token

        2、通过一个特定的获取获取token的接口去获取token

后面的每一次请求都必须带上token实现鉴权。

2、token加码方式

        1、对称加密: EDS、AES

        2、双钥加密: RSA,一般用于金融项目里面做签名

        3、只加密不解密:MD5、SHA系列

        4、编码格式: Base64

3、token类型

        1、access_token:时效15分钟到2小时;

        2、refresh_token: 时效15天

面试题:cookie、session和token的相同点和差异?

相同点:都是用来实现身份验证(鉴权)的,都是由服务器产生的;

差异:

        1、cookie是保存在客户端,session是存储在服务器;

        2、session保存在服务器的内存中,默认是30分钟;token是保存在服务器的数据库中,持久的。

 

 

小刘学安卓
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
[Token获取教程]
最新发布
m0_62526496的博客
05-15 2469
Token获取教程
CookieSessiontoken —— 用户身份验证技术
mantou_riji的博客
07-08 622
我们在登陆一个网站后,如果退出页面再次进入的时候就是已登陆好的状态,这就是cookie的作用。 Cookie是一种进行网络会话状态跟踪的技术。1. Cookie诞生的原因 会话是由一组请求与响应组成,是围绕着一件相关事情所进行的请求与响应。所以这些请求与响应之间一定是需要有数据传递的,即是需要进行会话状态跟踪的。然而HTTP协议是一种无状态协议(即在不同的请求间是无法进行数据传递的)。在这种情况下就引入Cookie 用来跟踪请求间数据传递的会话。2.Cookie的作用 Cookie是由 服务器 生成,保存在
前后端接口鉴权全解 Cookie/Session/Token 的区别
前端达人
05-05 1016
作者:ssshooterhttps://ssshooter.com/2021-02-21-auth/不知不觉也写得比较长了,一次看不完建议收藏夹!本文主要解释与请求状态相关的术语(cook...
cookiesessiontoken的区别
零怀念的博客
08-10 438
当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。cookie 是不可跨域的: 每个 cookie 都会绑定单一的域名,无法在别的域名下获取使用,一级域名和二级域名之间是允许共享使用的(靠的是 domain)。..
认证与授权之CookieSessionToken、JWT
Herishwater的博客
12-06 578
在互联网应用开发中,主要通过下面几种方式实现授权:SessionCookieToken,本文将详细介绍三者间的区别,以及比较火热的JWT是怎么一回事。
Cookiesessiontoken的区别
weixin_43726471的博客
12-05 3013
都是为了解决http无状态得这个缺点而出现的,都是服务端返回的,用来鉴权的。cookie是保存在客户端的,不安全。有被非法用户截取的风险。 cookie是保存在浏览器的缓存中的,过期时间是服务器端来确定的,只要浏览器关了,就会失效。也可以本地持久化保存。 比如客户端发一个请求给服务器端,服务器端会在响应头的setcookie字段中返回cookie,个数由编程人员确定,没有限制,包括cookie的名字,value,域,路径,过期时间。 而session呢,是保存在服务器端的,通过cookie来传递的。比如客户
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
login for cookie or session or token
03-15
标题"login for cookie or session or token"涉及了三种常见的用户身份验证方法:CookieSessionToken。让我们深入探讨这些概念及其在Golang(一种流行的开源编程语言)中的实现。 1. **Cookie**: Cookie是一...
再一次,CookieSessionToken、JWT.xmind
02-05
再一次,CookieSessionToken、JWT.xmind
CookieSessionToken、JWT
07-21
CookieSessionToken、JWT 是常用于身份验证和状态管理的概念和技术。它们在Web应用程序中起到关键的作用。 CookieCookie 是服务器在客户端存储的小型数据文件。它通常用于在客户端存储用户的身份验证信息或...
浅谈token/token在数据包中的位置
weixin_73180072的博客
09-25 1821
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以压缩成的一定长度的十六进制字符串。为防止token泄露)。
【问题篇】浏览器get请求带token
热门推荐
weixin_56995925的博客
07-26 1万+
浏览器get请求带token
认识缓存,一文读懂CookieSession缓存机制。
m0_50308467的博客
12-14 1369
Cookie是在Web开发中用于存储和传递信息的一种机制。它是由服务器发送给浏览器的小型文本文件,保存在用户的计算机上。具体来说,当用户在浏览器中访问一个网站时,网站会生成一个包含各种信息的Cookie,并将其发送到用户的计算机上。下次用户再次访问该网站时,浏览器会将之前存储的Cookie附加在请求中一同发送给服务器。Cookie的主要作用是为了标识和跟踪用户。它可以记录用户的活动、存储用户的偏好设置、维持用户的登录状态等。通过Cookie,网站可以根据用户的特定需求和喜好来提供个性化的体验。
cannot import name 'token_required'
05-16
This error typically occurs when you are trying to use a function or decorator called `token_required` but it cannot be found in the current scope or module. If you are trying to use the `token_required` decorator from the Flask-RESTful library, you may need to make sure that you have imported it correctly. Here is an example of how to properly import and use `token_required` in a Flask-RESTful application: ``` from flask import Flask from flask_restful import Api, Resource, reqparse from flask_jwt_extended import jwt_required, get_jwt_identity from your_module import token_required app = Flask(__name__) api = Api(app) class SecretResource(Resource): @jwt_required @token_required def get(self): current_user = get_jwt_identity() return {'secret': 'Hello, {}! This is a secret message.'.format(current_user)} api.add_resource(SecretResource, '/secret') if __name__ == '__main__': app.run(debug=True) ``` In this example, we have imported `token_required` from `your_module` and used it as a decorator alongside `jwt_required` to protect a resource endpoint. Make sure that the `token_required` function is defined and imported correctly in your module.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值