cookies,session,token都是相对安全,并不能完全防窃取

已于 2023-04-12 09:47:01 修改
阅读量4k 收藏 8
点赞数 6
分类专栏: 个人笔记 文章标签: java Web 安全
于 2022-10-28 15:21:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46085118/article/details/127203780
版权

文章目录

1、cookies的属性

从浏览器上可以看到cookies的属性有这些

在这里插入图片描述

Name和Value

Name和Value是一个键值对。Name是Cookie的名称,Cookie一旦创建,名称便不可更改,一般名称不区分大小写;Value是该名称对应的Cookie的值,如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。

Domain

Domain决定Cookie在哪个域是有效的,也就是决定在向该域发送请求时是否携带此Cookie,Domain的设置是对子域生效的,如Doamin设置为 .a.com,则b.a.com和c.a.com均可使用该Cookie,但如果设置为b.a.com,则c.a.com不可使用该Cookie。Domain参数必须以点(“.”)开始。

Path

Path是Cookie的有效路径,和Domain类似,也对子路径生效,如Cookie1和Cookie2的Domain均为a.com,但Path不同,Cookie1的Path为 /b/,而Cookie的Path为 /b/c/,则在a.com/b页面时只可以访问Cookie1,在a.com/b/c页面时,可访问Cookie1和Cookie2。Path属性需删除线格式 要使用符号“/”结尾。

Expires/Max-age

Expires和Max-age均为Cookie的有效期,Expires是该Cookie被删除时的时间戳,格式为GMT,若设置为以前的时间,则该Cookie立刻被删除,并且该时间戳是服务器时间,不是本地时间!若不设置则默认页面关闭时删除该Cookie。
Max-age也是Cookie的有效期,但它的单位为秒,即多少秒之后失效,若Max-age设置为0,则立刻失效,设置为负数,则在页面关闭时失效。Max-age默认为 -1。

Size

Szie是此Cookie的大小。在所有浏览器中,任何cookie大小超过限制都被忽略,且永远不会被设置。各个浏览器对Cookie的最大值和最大数目有不同的限制,整理为下表(数据来源网络,未测试):

浏览器Cookie最大条数Cookie最大长度/单位:字节
IE504095
Chrome1504096
FireFox504097
Opera304096
Safari无限4097

HttpOnly

HttpOnly值为 true 或 false,若设置为true,则不允许通过脚本document.cookie去更改这个值,同样这个值在document.cookie中也不可见,但在发送请求时依旧会携带此Cookie。

Secure

Secure为Cookie的安全属性,若设置为true,则浏览器只会在HTTPS和SSL等安全协议中传输此Cookie,不会在不安全的HTTP协议中传输此Cookie。

SameSite

SameSite用来限制第三方 Cookie,从而减少安全风险。它有3个属性,分别是:

  • Strict
    Scrict最为严格,完全禁止第三方Cookie,跨站点时,任何情况下都不会发送Cookie
  • Lax
    Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
  • None
    网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

Priority

优先级,chrome的提案,定义了三种优先级,Low/Medium/High,当cookie数量超出时,低优先级的cookie会被优先清除。
在360极速浏览器和FireFox中,不存在Priority属性,不清楚在此类浏览器中设置该属性后是否生效。

2、cookie发送的过程

  • 如果客户端上,一个网站有10个cookie,它将会把10个cookie的名称和值,通过“=”和“;”连接形成一个字符串,接着把这个字符串放于请求头cookies字段中。客户端发送请求的时候会将本地当前网址的cookie一次性全部生成一条字符串,然后通过请求头上传给服务器。
  • 例如下图
    在这里插入图片描述
    生成的cookies为:sex=nan;name=beifeng;age=12 这种字符串

3、Cookie 主要使用在以下场景

会话状态管理(如用户登录状态、及其他需要记录的信息)
个性化设置(如用户自定义设置)
浏览器追踪行为(如追踪分析用户行为)

4、session

Session常用属性有:

(1)SessionID:获取Session编号,一般在会话开始的时候由服务器自动分配一个标识SessionId,整个会话过程中的SessionId保持不变。

(2)TimeOut:设置Session对象的超期时间,默认为20分钟。

(3)Keys:根据索引号获取Session变量值

(4)Count:获取Session变量的总数量。

Session常用方法有:

  • Session.Add(“name”,“value”):添加名称为Name,值为value的Session对象。

  • Session.Clear():清除Session变量值。

session的优缺点:

  • 缺点
    需要从内存或者数据库里面取数据,进行验证,相对jwt来说更耗时。
    扩展性差,对于分布式应用,需要实现session数据共享。比如,当使用分布式的情况下,可能由于负载均衡的策略,导致访问到了不同的服务器,所以得让用户登录时的seesion状态要共享到其他服务器(其数据库)上。
  • 优点
    安全,数据存储在服务器端
    相对于jwt来说,用来传输用户信息的网络流量更少
    相对于jwt来说,适合做会话管理,单点登录。

为什么session比cookies安全?

  • 因为session使用过程中,session是把全部信息存储于服务器,客户端只有一个sessionId。而cookies是把所有信息存储于客户端。对于同一个账户而言,cookies有几率可以篡改账户信息,但是session无法篡改用户信息。就如同银行卡(session)比现金(coookies)安全,现金别人捡到了能尝试篡改金额,但是银行卡只有 卡号,不可能篡改金额。

5、token

  1. 客户端使用用户名跟密码请求登录

  2. 服务端收到请求,去验证用户名与密码

  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端

  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里

  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token

  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据。

  • 举个token的例子
eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ3YW5nIiwiY3JlYXRlZCI6MTQ4OTA3OTk4MTM5MywiZXhwIjoxNDg5Njg0NzgxfQ.RC-BYCe_UZ2URtWddUpWXIp4NMsoeq2O6UF-8tVplqXY1-CI9u1-a-9DAAJGfNWkHE81mpnR3gXzfrBAB3WUAg
  • token分成了三部分,每部分用 . 分隔,每段都是用 Base64 编码的。强调Base64并不是加密方式,等同于明文。
  • 第一部分Header(头部)一般存储tokne类型和加密算法
  • 第二部分是Playload(有效载荷),存储用户信息,因为是明文存储,所以不能存储用户重要的信息,一般会存储uuid(只是其中一个数据)。
  • 第三部分是签名,加密后生成的,密文再用Base64编码。签名是为了防篡改有效载荷,判断token是否合法。

参考文档

北风toto
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Cookie、SessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
安全开发-cookice&&session&&token
最新发布
06-25
在这个领域,"Cookie"、"Session"和"Token"都是常见的概念,它们在身份验证和会话管理中扮演着重要角色。以下是对这些概念的详细说明: 1. **Cookie**: Cookie是一种在客户端(用户浏览器)和服务器之间传递小量...
token认证机制,基于JWT的Token认证机制实现,安全性的问题
weixin_44797327的博客
11-29 1105
今天来和大家聊聊token的认证机制,从安全方面来考虑的话,一个系统的安全性是非常重要的,哪怕付出金钱的代价也要保证系统的安全
Token详解及安全验证
qq_59125846的博客
05-18 5954
解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 Cookie 里,下次这个用户再向服务端发送请求的时候,可以带着这个 Cookie ,这样服务端会验证一个这个 Cookie 里的信息,看看能不能在服务端这里找到对应的记录,如果可以,说明用户已经通过了身份验证,就把用户请求的数据返回给客户端。里面包含了使用的算法,这个 JWT 是不是带签名的或者加密的。
Token验证流程、代码示例、优缺点和安全策略,一文告诉你。
贝格前端工场的博客
05-29 1042
Token是一种用于身份验证和授权的令牌,通常用于在客户端和服务器之间进行安全的通信。在Web开发中,Token通常指的是JSON Web Token(JWT),它是一种开放标准(RFC 7519),定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。JWT通常由三部分组成,通过句点(.)分隔开来:1包含了Token的类型和使用的加密算法等信息。2.包含了要传输的信息,例如用户的身份信息、权限等。
session的根本原理及安全
热门推荐
白一梓的专栏
05-25 2万+
yunnysunny 退出账号 当前文档 删除文档导出 Markdown导出 PDF 系统 设置下载离线客户端使用说明快捷帮助切换至免费版 Unsaved session安全性对于vireio若干问题的解答直播登录验证文档关于淘宝同学接入的若干问题flashvar参数设置flashvar参数设置
解决令牌token放在Cookie,被窃取的问题
dj1955的博客
09-06 6157
令牌token放在cookie中,有被窃取的可能,解决这个问题 1. 设置令牌存放Cookie的时间,过期时间不宜太久 2. 用户退出认证服务时,将Cookie的令牌信息删除 3. 前面两步并没有起到有效止令牌被窃取,关键看这一步,用户每次请求,后端都获取用户的IP,对获取到用户真实的IP再进行一次MD5加密,然后与Jwt令牌封装了登录用户的经过MD5加密的IP比对,如果不一样,令牌没有被窃取,果断拦截;说明由于IP的唯一性,保证令牌的私有;打比方说,令牌比作钥匙,钥匙被人窃取了,他就能利用这把钥匙
【前端开发必备】深入理解Token技术的实现原理和安全
DevCorner的Pro技术博客
06-22 3778
Token,又称令牌,是一种用于身份验证的方式。在前后端分离的应用中,当用户登录后,后端会生成一个Token字符串,然后将其返回给前端。前端可以将该Token保存在客户端,例如浏览器的Cookie或LocalStorage中,以便在需要访问后端API时,将该Token发送给后端进行身份验证。后端在验证Token的有效性后,会根据Token所代表的用户身份等信息,返回相应的数据或执行相应的操作。前端Token技术是一种常用而且重要的身份验证方式,在前后端分离的应用中得到了广泛应用。
session安全问题
m0_55306747的博客
05-16 2666
有个疑问,据说是session身份验证比cookie身份验证更安全,因为session安全验证是存储在服务器,但是服务器仍然是需要去读取存储用户浏览器中的session id,然后依照这个session id去寻找session,这和读取cookie比起来,感觉也安全不到哪里去啊,我如果获取了目标的session id,不是照样可以伪造身份吗?你把session信息存储在服务端又安全在哪里呢? 刚刚查了一下,相关的资料,得出了确实两种方法都半斤八两,安全性差不多的结论,以下摘抄自某文章 (没错,其实
*.ashx文件不能访问Session值的解决方法
10-25
主要介绍了*.ashx文件不能访问Session值的解决方法,只需在头部引用一个命名空间即可解决问题,非常实用,需要的朋友可以参考下
彻底理解cookie,sessiontoken的使用及原理
10-16
主要介绍了彻底理解cookie,sessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Javasession实现token接口测试过程图解
08-19
Javasession实现token接口测试过程图解 Javasession实现token接口测试过程图解是指在Java中实现token接口测试的过程图解,这个过程图解主要介绍了如何使用Java来实现跨sessiontoken接口测试。下面是相关知识...
Cookie、SessionToken、JWT
kagurawill的博客
12-30 1375
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
java 框架 接口安全性_谈谈API接口安全性设计思路
weixin_36047554的博客
02-17 381
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。时间戳...
SessionToken、Cookie的区别及实际使用
不愧是暮言的博客
05-16 1312
在现代Web开发中,身份验证和会话管理涉及一些基本概念,如SessionToken和Cookie。尽管它们都用于管理不同方面的Web会话,但它们之间的差异是很重要的。在本文中,我们将一一介绍SessionToken和Cookie的定义、实际意义和使用,并分析它们的优点和缺点。
如何安全地使用token
zou8944的博客
08-10 1847
通常在带有登录功能的业务中,我们会向用户(客户端)发放访问凭证,往后一段时间,用户持该凭证即可在应用内畅行。不同应用可能有不同的名字:access_tokentoken、xxxid,也可能有不同的形式:不透明字符串、JWT等。本文讨论访问凭证的安全性。more考虑到一般发放JWT的系统都将其当做无状态token使用,不适用本文讨论范文,故忽略。...
安全的cookie和token机制
kekefen01的博客
12-16 1370
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就会被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:会遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以止被js读取cookie。设置csrftoken止csrf攻击。设置正确的CSP白名单策略,止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
token和cookie的区别
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
cookie,session,token的优缺点。
VIC1921507475的博客
02-10 2882
cookie 数据放在客户的浏览器上 优点: 1.减轻服务器性能方面,应当使用cookie。 缺点: 1.单个cookie保存的数据不能超过4K。 2.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用sessionsession数据放在服务器上。 优点: 1.session安全 缺点: 1.session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。 2.s
token可以跨域,但是session不能跨域的本质原因是什么
03-26
Session是一种服务器端的状态管理机制,而token是一种客户端的认证与授权机制。 Session在服务器端存储,客户端请求时需要将session ID发送到服务器来恢复用户状态,因此只适用于同一域名下的请求。如果在跨域请求时希望保持用户状态,需要跨域共享session ID,但这需要使用特殊的技术手段来实现。 Token则是将认证信息和密钥加密后放在客户端,客户端每次请求时携带该token,在服务器端对该token进行验证并恢复用户身份信息。由于token存储在客户端中,可以跨域使用,但需要注意安全性问题。 因此,Session不能跨域的本质原因是Session需要在服务器端存储和管理,仅适用于同一域名下的请求;而Token是一种可跨域使用的认证授权机制,但需要注意其安全性问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值