详解Cookie、Session与Token

最新推荐文章于 2024-08-04 11:01:37 发布
最新推荐文章于 2024-08-04 11:01:37 发布
阅读量1.5k 收藏 10
点赞数 3
文章标签: java 后端 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lranqi/article/details/124233065
版权

 

目录

Cookie

什么是Cookie?

Cookie工作流程

Cookie的常见属性

有效期max-age(expires)

域名domain

路径path

应用

Session

Cookie和Session的区别

Token

什么是Token?

Token的工作流程

Token的组成

JWT组成

Token的特点

Cookie

什么是Cookie?

        由于服务器根据网络连接无法识别用户。那么就需要为用户分发一个通行证类似的东西,访问时用户需携带自己通行证,这样就可以识别用户的身份了。Cookie的工作原理也是如此。

        Cookie是服务器发送到用户浏览器并保存在本地的一小块数据,是客户端用保存用户信息的一种机制,也是实现Session的一种方式。

Cookie 存储在客户端,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。

Cookie工作流程

当用户第一次访问并登录一个网站的时候,Cookie的设置以及发送会经历以下4个步骤:

  1. 客户端发送一个请求到服务器;
  2. 服务器发送一个HttpResponse响应到客户端,其中包含Set-Cookie的头部;
  3. 客户端保存cookie,之后向服务器发送请求时,HttpRequest请求中会包含一个Cookie的头部;
  4. 服务器返回响应数据。

PS:Request Headers中Cookie值中的name和value是基于Response Headers中包含Set-Cookie头部设置的。

Cookie的常见属性

有效期max-age(expires)

PS:HTTP 1.1中定义了max-age表示cookie有效期,优先级高于expires字段。

Cookie中的max-age用来表示该属性,单位为秒。

  • max-age为正数,Cookie 在 max-age 秒后失效。浏览器会将maxAge为正数的Cookie写到对应的Cookie存储文件中(存储的位置看浏览器怎么设置)。
  • max-age为负数,则表示该Cookie为临时Cookie,不会被持久化,仅在本浏览器窗口或者本窗口打开的子窗口中有效,关闭浏览器后该Cookie立即失效。
  • max-age为0,表示删除该Cookie。
  • 默认为-1。

域名domain

        用于指定 cookie 所属域名,默认是当前域名。

        Cookie是不可以跨域名的,隐私安全机制禁止网站非法获取其他网站的Cookie。

路径path

        path属性决定允许访问Cookie的路径。默认是 '/'(表示允许所有路径都可以使用Cookie)。

应用

  • 判定注册用户是否已经登录网站,以及保留用户信息。
  • “购物车”(加购的商品的信息存储在Cookies用于最终结算)。

Session

        Session是记录服务器和客户端会话状态的机制。

        服务器会为每个用户的浏览器创建一个用户独享的Session(会话)对象。Session对象用于保存一些用户信息。然后将Dession的ID以Cookie的形式返回给客户端(也可以用其它方式实现,比如放url里,Cookie更为合适、方便)。

        当用户访问服务器中的Web资源时,服务端会根据Cookie里存储的Session的ID,从内存中找到与之对应的Session。根据Session为用户服务。

PS:默认情况下一个浏览器独享一个Session对象。

Cookie和Session的区别

  • 存储方式:Cookie 数据存放在客户端浏览器上;Session 数据存放在服务器上(只返回Session的ID值给客户端)。
  • 安全性:Cookie本地存储,可以根据存放在本地的Cookie进行欺骗,不安全。
  • 存储大小:很多浏览器会限制单个cookie的大小,一般不能超过4K,一个站点最多保存20个cookie;Session没有类似的限制。
  • 生存周期: Cookie 可设置为长时间保持;Session失效时间较短,一般客户端关闭Session就会失效。

Token

什么是Token?

        token也是验证用户身份的凭证。是“令牌”的意思。其本质就是服务端生成的一串字符串。

        在用户第一次登录时,服务器根据业务鉴权成功后生成一串字符串,并返回给客户端,这个字符串即为token。之后客户端每次请求时只需带上这个token即可让服务端辨别用户身份。

Token的工作流程

  1. 用户通过用户名和密码发送登录请求
  2. 服务端鉴权
  3. 返回一个token给客户端
  4. 客户端存储token,并且在每次发送请求时携带token
  5. 服务端验证token,并返回数据

Token的组成

        最简单的token组成: 用户唯一的身份标识、当前时间的时间戳、签名(以哈希算法压缩成一定长的十六进制字符串)。

        JWT(Json web token)是标准化的token,即一种token组成规范。

JWT组成

JWT分为三部分:

  • header:jwt的头部,包含两部分信息:
    • 声明类型("typ":"JWT",表示这是jwt)
    • 声明加密的算法("alg":"HS",通常直接使用 HMAC SHA256)
  • playload:jwt的载荷,存放有效信息。主要包含三个部分:(不放敏感信息)
    • 标准中注册的声明
    • 公共的声明
    • 私有的声明
  • signature:签名信息。

Token的特点

  1. 支持跨域访问。
  2. 无状态(Token是无状态,session有状态)。
  3. 去耦: 不需要绑定到一个特定的身份验证方案。Token可以在任何地方生成,只要在 你的API被调用的时候, 你可以进行Token生成调用即可。
  4. 更适用于移动应用。
  5. 正常情况下token要比 session_id 更长,需要消耗更多流量,挤占更多带宽。此外,由于Cookie大小有限制,如果token比较大则需要存储在LocalStorage、SessionStorage中。
  6. 无法在服务端注销,那么久很难解决劫持问题。
SS上善
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Token,CookieSession三者的区别
winkexin的博客
05-12 4489
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession的区别还是一知半解。
Cookie的过期时间设置
热门推荐
Celebrity_Senior的博客
10-07 3万+
Cookie的过期时间设置1.Cookie生存时间介绍 我们知道Cookie是一个键值对,但是Cookie不仅仅只有name和value属性,它还有以下几种属性: (1)注释:描述此 cookie 的用途; (2)路径:指的是浏览器将此 cookie 返回到服务器上的路径,并且该cookie 对于服务器上的所有子路径都是可见的。 (3)域限定符:创建 cookie时设置的域名,域名形式是根据
cookiesessiontoken详解
qq_54850598的博客
11-03 3055
目前网络上进行用户验证的方法主要有三种:cookie,session,token,他们之间存在相似也有各自的优缺点,本文将着重强调。cookie是浏览器存储在本地的文件,主要用于存储服务器对用户进行的标记,大小有限一般只为4kb,用户在第一次进行服务器请求时,服务器会生成对应的id,然后发送给客户端,客户端就会存储在本地文件中。
CookieSessionToken概念、区别、如何实现
diaobusi的博客
08-02 2220
Cookie 是在客户端存储数据的机制,由服务器通过 Set-Cookie 响应头发送给客户端浏览器,并存储在客户端上。主要用于在客户端保持用户状态和存储少量数据。存储在客户端,可能存在安全风险和受限制的存储容量。SessionSession 是在服务器端存储用户状态和数据的机制,通过为每个客户端创建唯一的会话标识来进行管理。主要用于在服务器上跟踪用户、存储大量数据和实现身份认证。存储在服务器端,安全性较高,但会增加服务器的负担和存储需求。Token
Cookie详解
FullStackDeveloper0的博客
06-13 544
一、Cookie机制 基本流程 Cookie技术是客户端的解决方案,Cookie就是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时候都会带上这些特殊的信息。 详解 当用户使用浏览器访问一个支持Cookie的网站的时候,用户会提供包括用户名在内的个人信息并且提交至服务器;接着,服务器在向客户端回传相应的超文本的同时也会发回这些个人信息...
cookie
zjh0101的博客
11-18 646
是一个客户端会话技术,是由服务器端创建,放在响应头发送到客户端保存,用于存储少量数据,因为存放在客户端中,容易被人编造伪造,不是很安全。的转移,在大型的网站,一般会有专门的Session服务器集群,用来保存用户会话,这个时候。库、文件中 Cookie是客户端保存用户信息的一种机制,用来记录用户的一些信息,也是实现。是保存在客户端的数据,所以如果不做设定,默认情况下是跟着客户端一起消失,如果设置。是在服务端保存的一个数据结构,用来跟踪用户的状态,这个数据可以保存在集群、数据。属性,其他属性是不可读的。
cookie属性详解
葡萄味橙子的博客
08-09 2063
在chrome控制台中的resources选项卡中可以看到cookie的信息。 一个域名下面可能存在着很多个cookie对象。 name  字段为一个cookie的名称。 value  字段为一个cookie的值。 domain  字段为可以访问此cookie的域名。 非顶级域名,如二级域名或者三级域名,设置的cookie的domain只能为顶级域名或者二级域名或者三级域名本身,不能设置其他二级域...
CookieSessionToken三者的区别及使用
11-13
#### 五、TokenSession的区别 - **存储位置**: - Token: 存储在客户端(如Cookie或LocalStorage)。 - Session: 存储在服务器端。 - **安全性**: - Token: 更加安全,因为它可以通过加密算法保护,而且是无状态...
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
Django框架会话技术实例分析【CookieSession
09-19
### Django框架会话技术详解CookieSession 在Web开发中,会话管理是一个非常重要的环节,它确保了用户在多次交互过程中能够被系统正确识别。对于使用Django框架进行开发的应用程序而言,掌握如何有效地利用...
详解struts2的token机制和cookie来防止表单重复提交
10-19
通过比较,Token机制依赖于服务器的Session存储,而Cookie方法将信息存储在客户端。Cookie方法更适用于跨服务器或者无状态的场景,因为它不需要服务器端的Session支持,但可能会受到客户端限制,例如浏览器禁用...
详解.net mvc session失效问题
10-21
在.NET MVC框架中,Session是用于存储用户会话数据的关键机制。...同时,注意在实际项目中,应尽量减少对Session的依赖,因为Session可能导致性能问题和跨域问题,更推荐使用视图模型、Cookie或者Token等替代方案。
前端网络基础 - Cookie
伏城之外的博客
03-07 6101
HTTP协议的无状态性 浏览器发送一个HTTP请求到服务器,需要
关于cookiesession的好文章
aogou1880的博客
07-03 204
cookiesession应用于互联网中的一项基本技术——会话(用户与客户端的交互)跟踪技术,用来跟踪用户的整个会话。简单来说,cookie是通过在客户端记录信息确定用户身份的,而session则通过在服务器端记录信息确定用户身份。 cookie定义 cookie是服务器传给客户端的体积很小的纯文本文件。客户端请求服务器,如果服务器需要记录该用户状态,就向客户端浏览器发一个coo...
详解cookiesession
我的博客
02-19 688
零碎知识点 obj的hasOwnProperty(arg)方法:查找对象中是否含有arg属性。这个方法会查找一个对象是否有某个属性,但是不会去查找它的原型链。 css3中的 calc()函数用于动态计算值 ① 运算符前后都需要保留一个空格,例如:width:calc(100% - 10px) ② 任何长度值都可以使用calc函数进行计算 ③ calc()函数支持+、-、*、/运算 ④ ...
cookie默认有效期多长_惊艳面试官的 Cookie 介绍
weixin_39890629的博客
11-28 2015
关注在看,以后更多干货分享在头条!Cookie 是什么Cookie 是用户浏览器保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。Cookie 主要用于以下三个方面:会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)个性化设置(如用户自定义设置、主题等)浏览器行为跟踪(如跟踪分析用户行为等)✔ DomainDomain 标识指定了哪些主机可以...
php cookie max age,使用spring-session时,动态修改cookiemax-age
weixin_42351363的博客
03-19 1154
使用spring-session时,动态修改cookiemax-age不论是使用spring提供的spring-session,还是使用servle容器实现的http session。原理都是把session-id以cookie的形式存储在客户端。每次请求都带上cookie。服务器通过session-id,找到session。spring-session的使用由“记住我”引发的一个问题用户登录的...
cookie的expires属性和max-age属性
zhangge3663的博客
08-18 2740
expires属性 指定了cookie的生存期,默认情况下cookie是暂时存在的,他们存储的值只在浏览器会话期间存在,当用户推出浏览器后这些值也会丢失,如果想让cookie存在一段时间,就要为expires属性设置为未来的一个过期日期。现在已经被max-age属性所取代,max-age用秒来设置cookie的生存期。 path属性 它指定与cookie关联在一起的网页。在默认的情况下cookie会与创建它的网页,该网页处于同一目录下的网页以及与这个网页所在目录下的子目录下的网页关联。 ...
枚举工具类
最新发布
qq_43049583的博客
08-04 310
java枚举工具类
cookiesessiontoken详解
06-28
CookieSessionToken是三种常见的Web应用程序认证和授权机制。 Cookie是客户端存储认证和授权信息的一种机制,用于在浏览器和服务器之间进行状态管理。当用户首次登录时,服务器会在响应中设置一个包含认证和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SS上善

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值