2021-09-10 cookie、session、token

最新推荐文章于 2024-06-10 22:18:41 发布
最新推荐文章于 2024-06-10 22:18:41 发布
阅读量96 收藏
点赞数
分类专栏: cookie session token 文章标签: javascript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyx9611/article/details/120224922
版权
cookie 同时被 3 个专栏收录
1 篇文章 0 订阅
订阅专栏
session
1 篇文章 0 订阅
订阅专栏
token
1 篇文章 0 订阅
订阅专栏

11.11

http无状态的

cookie

在浏览器保存一下数据,每次请求的时候都会带过来;
大小限制4K,有session的ID;
保存到客户端不安全
在这里插入图片描述

session

因为cookie的不安全,session应运而生;
保存数据的,保存在服务端
大小无限
基于cookie,不是单独存在的;
cookie中会有一个sessionid,服务器利用 sessionid 找到session文件、读写、写入 ;

隐患:
session_id劫持

下载安装

 npm i express express-static cookie-parser cookie-session

以下的代码自动加上

const express = require('express')
var server = express()
server.listen(8989)

cookie使用【不建议使用这个,不建议去加密cookie】

空间小—节省
安全性差
1、精打细算
2、校验是否被篡改

cookie-parser 签名
cookie-encrypter对cookie加密加密

发送cookie
//cookie
server.use('/',function (req,res) {
    //path是在什么路径下有效
    //maxAge有效期
    res.cookie('user','xxxx',{path:'/aaa',maxAge:30*24*3600*1000})//设置cookie
    res.send('ok')
})
读取cookie

cookie-parser

var secretStr='whhhhsnsmjsjsd'
//读取cookie
server.use(cookieParser(secretStr))

server.use('/',function (req,res) {
    //给cookie加密
    req.secret=secretStr;//签名密钥,不能加密,但是防篡改
    res.cookie('user','xxxx',{signed:true});//signed需要签名
    // s%3Axxxx.V8iQe9VjTgKlfaXJio3pl5D3knxVWuN1%2F06gosSPXBE
    console.log(req.cookies);//无签名的
    //可以用decodeURIComponent解析,可以看到,如果修改后可以知道
    // console.log(decodeURIComponent('s%3Axxxx.V8iQe9VjTgKlfaXJio3pl5D3knxVWuN1%2F06gosSPXBE'));//s:xxxx.V8iQe9VjTgKlfaXJio3pl5D3knxVWuN1/06gosSPXBE

    console.log(req.signedCookies)//所有签过名的

    res.send('ok')
})
删除cookie
res.clearCookie(名字)

session使用

cookie-session

//注意这里的代码是会报错的
const express = require('express')
const cookieParser = require('cookie-parser')
const cookieSession = require('cookie-session')

var server = express()
server.listen(8989)


//session
server.use(cookieParser())
server.use(cookieSession())
server.use('/',function (req,res) {
    console.log(req.session);

    res.send('ok')
})

报错如下
Error: .keys required.

//session
server.use(cookieParser())
server.use(cookieSession({
    keys:['aaa','vvv','desssss']
}))

server.use('/',function (req,res) {
    console.log(req.session);//{}

    res.send('ok')
})

改良后如下:

//session
server.use(cookieParser())
server.use(cookieSession({
    keys:['aaa','vvv','desssss']
}))

server.use('/',function (req,res) {
    if(req.session['count']==null){
        req.session['count']=1
    }else{
        req.session['count']++
    }
    console.log(req.session['count']);

    res.send('ok')
})

express:sess.sig每次刷新页面都会改变
express:sess每次刷新页面都会改变
在这里插入图片描述

//session
server.use(cookieParser())
server.use(cookieSession({
    name:'ssess',
    keys:['aaa','vvv','desssss'],
    maxAge:2*3600*1000,//长时间未操作,时间越短月安全,占用时间越长,服务的压力越大
}))
//...
})

keys可以优化为

var arr = [];
for(var i=0;10000000,i++){
	arr.push('sig_'+mMath.random());
}

//--------省略部分代码块
keys:arr
删除session
delete req.session

token

总结:

cookie—存在浏览器【客户端】,4K,不安全,可签名【防篡改】、可加密

const express = require('express')
const cookieParser = require('cookie-parser')

var server = express()
server.listen(8989)

//cookie
var secretStr='whhhhsnsmjsjsd'
//读取cookie
server.use(cookieParser(secretStr))

server.use('/',function (req,res) {
    //给cookie加密
    req.secret=secretStr;//签名密钥,不能加密,但是防篡改,*这句可不用*
    res.cookie('名字','值',{path:'/',maxAge:2,signed:true});//signed需要签名
    // s%3Axxxx.V8iQe9VjTgKlfaXJio3pl5D3knxVWuN1%2F06gosSPXBE
    console.log(req.cookies);//无签名的
    //可以用decodeURIComponent解析,可以看到,如果修改后可以知道
    // console.log(decodeURIComponent('s%3Axxxx.V8iQe9VjTgKlfaXJio3pl5D3knxVWuN1%2F06gosSPXBE'));//s:xxxx.V8iQe9VjTgKlfaXJio3pl5D3knxVWuN1/06gosSPXBE

    console.log(req.signedCookies)//所有签过名的
//删除cookie
res.clearCookie('名字')
    res.send('ok')
})

session—存在服务器,安全,无限大,不能独立存在【基于cookie】

参考
详解cookie、session、token关于前后端的那些事(强烈推荐)

shangrila-xiu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
会话技术------CookieSessionToken(JWT)详解
m0_74229735的博客
11-24 1606
Cookie是一种在客户端(通常是Web浏览器)和服务器之间传输的小型文本文件。它由服务器通过HTTP响应的头部设置,并存储在客户端的浏览器中。当客户端发送后续请求时,会将该Cookie信息包含在HTTP请求头中发送给服务器。Session是一种在Web应用程序中跨请求保持用户状态的机制。Session是一段服务器上的存储区域,用于存储用户信息和状态。当用户第一次访问Web应用程序时,服务器会创建一个Session,并给它分配一个唯一的标识符(session ID),然后将该标识符发送给客户端。
Spring Session - Cookie VS Session VS Token 以及 Session不一致问题的N种解决方案
小工匠
02-15 1万+
文章目录Cookie VS Session VS TokenSpring Session 概述 Cookie VS Session VS Token 众所周知 HTTP请求是无状态的, 随着交互式Web应用的兴起,要管理会话,必须记住哪些人登录了系统, 就想着颁发一个会话标识(session id), 实际上呢就是一个随机字符串,每个人收到的都不一样 。 这样每次向系统发起HTTP请求的时候,把这个字符串给一并捎过来, 这样服务端就可以很好地区分了。 随着用户数据量的激增 , 每个人只需要保存自己
sessioncookietoken 详解
热门推荐
徐本锡的专栏
06-19 137万+
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,...
CSRF、CookieSessiontoken之间不得不说得那些事儿
besmarterbestronger的博客
10-14 5062
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3571
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
一文助你快速理解Cookie,Session,Token的区别
沫沫1890S的博客
12-17 1169
本文详细描述了Cookie,Session,Token的定义、鉴权原理和区别。cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session是服务器端对象,是浏览器和服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
SessionCookieToken三者之间的区别
LEO
05-10 1101
SessionCookieToken三者之间的区别 HTTP协议 CookieSession cookie是什么 1.创建 Cookie 2.Set-CookieCookie 标头 3.会话 Cookies 4.永久性 Cookies 5.Cookie 的 Secure 和 HttpOnly 标记 6.HttpOnly 的作用 7.Cookie 的作用域 Session 是什么 2.1Session 如何判断是否是同一会话 2.2Session 的缺点 什么是 Json Web Tokens
Sa-Token浅谈
imVainiycos的博客
12-14 4969
官网介绍的非常详细,主要突出这是一个轻量级鉴权框架的特点,详情可自行访问:https://sa-token.dev33.cn/doc.html#/
cookie-session-token
lys1962128978的博客
11-19 4627
node中使用cookie cookie 以下示例说明了安装和加载 cookie 解析中间件功能cookie-parser。 $ npm install cookie-parser var express = require('express') var app = express() var cookieParser = require('cookie-parser') // load the cookie-parsing middleware app.use(cookieParser([signed
CookieSessionToken来进行身份认证
IT_Holmes的博客
03-09 1781
1. CookieSessionToken 简单介绍 2. Cookie 3. Session 4. 为什么使用JWT? 5. JWT(JSON Web Token)的实现过程 6. 官方实现JWT的多种方式 7. JWT的实现第一种:java-jwt包的使用 8. JWT的实现第二种:jjwt包的使用 9. 封装JWT的包装类,方便以后使用 10. 后台发送到前端,前端如何进行存储? 11. 前端如何将受到的token返还服务器? 12. 设置服务器允许跨域 13. JWT三部分组成详解
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
[Vue-常见错误]浏览器显示Uncaught runtime errors
一个喜欢什么都研究一下的小小后端程序员
06-09 359
在vue.config.js中配置关闭Uncaught runtime errors显示。
JS中一个dom元素能绑定多少事件
ggq53219的博客
06-10 520
JavaScript中,一个DOM元素可以绑定的事件数量并没有明确的限制,这主要取决于浏览器的实现和内存限制。然而,在实际应用中,为同一个DOM元素绑定过多的事件监听器可能会导致性能问题,尤其是在事件处理函数执行复杂操作的情况下。总之,虽然JavaScript中DOM元素可以绑定的事件数量没有明确的限制,但在实际应用中应注意避免过度绑定和优化事件处理函数,以确保良好的性能和用户体验。
基于JavaScript 如何实现爬山算法以及优化方案
最新发布
乐闻世界
06-10 1321
爬山算法(Hill Climbing Algorithm)是一种常见的启发式搜索算法,常用于解决优化问题。其核心思想是从一个初始状态出发,通过逐步选择使目标函数值增大的邻近状态来寻找最优解。接下来,我们将通过 JavaScript 实现一个简单的爬山算法,帮助大家理解其原理和应用。从一个初始状态开始。评估当前状态的目标函数值。在当前状态的邻居中选择一个目标函数值更大的状态。如果找到了更优的邻居,则移动到该邻居并重复步骤2和步骤3。如果没有更优的邻居,则算法结束,当前状态即为局部最优解。
vue3如何定义一个组件
Java程序员专栏
06-09 549
注意在子组件的 <template> 中,你使用 {{ propName }} 来显示传递进来的参数值。在父组件中,你使用 :propName="parentMessage" 来将 parentMessage 数据的值绑定到子组件的 propName prop 上。当使用 <script setup> 语法糖时,你不能直接在 <script> 标签内使用 props 选项。在 Vue 3 中,定义一个可以接收参数的组件通常是通过在组件的 props 选项中定义这些参数来完成的。// 其他组件逻辑...
sa-token单点登录是必须搭配redis使用么?sa-token是通过cookie还是session储存登录信息的
06-11
关于sa-token的登录信息的存储方式,它是通过cookie来保存token信息的,默认情况下,Cookie的过期时间和Token的有效时间一致。当然,sa-token也支持将token信息存储到session中,只需要在进行配置时将存储介质选择为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值