cookie、session、Token究竟区别在哪?如何进行身份认证,保持用户登录状态?

最新推荐文章于 2022-10-23 15:07:53 发布
最新推荐文章于 2022-10-23 15:07:53 发布
阅读量1.1k 收藏
点赞数 1
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49049914/article/details/125470566
版权

HTTP是无状态的,也就是说你这次访问了服务器,关闭网页,再次访问服务器,服务器是没有意识到又是你来访问,那怎么保持登录状态呢?
设置让用户可以选择记住用户名和密码,但是把密码交给浏览器,如果电脑被黑了,浏览器里记录的信息就会很危险, 即使我们自己不需要亲自输入用户名密码,浏览器还得想办法帮我们在每一次请求里加入用户名密码,这项技术就是cookie
cookie的基本流程:浏览器发起HTTP请求,服务器会进行cookie设置,也就是set-cookie,cookie发给浏览器之后,浏览器会保存起来,这样浏览器以后发送的每一个请求都会自动附上这个cookie,我们打开浏览器是可以看到保存了哪些cookie,也就是说如果把用户名和密码放在cookie是很不安全的,只要电脑被黑,在cookie里的重要信息就会被泄漏,于是就有了新的技术session
如果有多台服务器,一台服务器存储了sessionid,又面临需要分享session id给其他服务器
jwt json web token
http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html(阮一峰)
header.payload.signature
算法 特定数据(有效期) 签名
使用方式
方式一
放在HTTP请求头信息的Authorization字段,使用Bearer模式添加JWT
方式二
放在post请求的数据体里
方式三
通过url传输
生成的token客户端以cookie或者storage的方式进行存储,cookie需要解决跨域问题
token和jwt的区别
token:服务端验证客户端发送过来的token时,还需要查询数据库获取用户信息,然后验证token是否有效
jwt:将token和payload加密后存储于客户端,服务端只需要使用密钥解密进行校验即可,不需要查询或者减少查询数据库,因为jwt自包含了用户信息和加密的数据。
如何保证token在客户端的安全性?
header和payload的信息会被base64编码,虽然jwt不保存在服务器这里,但是服务器需要保存一段密码,这段编码需要结合着两段编码进行算法运算,最终得到签名信息。这里使用的算法就是刚刚header声明的算法,签名的信息也就是signature部分了,这样一个完整的jwt就可以发给客户端了
如何解决跨域问题?
nginx代理跨域
nginx反向代理,通过配置一下参数
在go中,跨域中间件也是通过配置请求头参数

Yaqing一点不笨
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
cookielocalStorage存储登录信息的区别
lyy18719172450的博客
05-29 963
前几天面试问项目时问到了为什么用localStorage存储登录信息不用cookie,做项目的时候确实没有想过为什么,只是因为localStorage这个api用起来方便,cookie还要自己封装,于是查了查两者的区别 1:cookie的大小在4kb左右,而localStorage的大小是5mb 2:在客户端向服务器发送请求的时候cookie始终被携带在http请求中,即使不需要,会浪费很多流量,但是localStorage不会被携带在请求中 3:cookie如果不指定过期时间,它的生命周期只到窗口关闭,l
【我不熟悉的javascript】02. 使用token和refreshToken的管理用户登录状态
qq_17335549的博客
09-01 2673
使用token和refreshToken的管理用户登录状态
登录鉴权方案中,sessiontokencookie三者的区别及选择
Tec Log
08-16 3191
目前web常用的登录鉴权方案主要有3种,分别是sessiontokencookie,每种方案都有其特定应用场景和局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念和基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录鉴权,不在本文讨论范围内。...
登录的两种验证方式的区分:cookietoken
m0_73120712的博客
08-09 2067
测试小伙伴出去面试,经常会被问到你们项目登录验证是用的哪种验证方式,不同的验证方式又有哪些区别?下面就有我来问大家讲解一下,下次遇到这种问题就不慌了。前端只需要把用户名和密码传递给后端,后端收到验证成功后,通过他们内置的方式,存入session中,会生成一个唯一的标识,并通过设置响应头,回传给前端。如下图所示。浏览器如果发现响应头中有Set-Cookie,则默认在本地设置Cookie信息,并且后续发送请求时,会在请求头里自动带上cookie的信息,如下图:这样就完成了cookie校验。...
CookieSessionToken究竟区别在哪?如何进行身份认证保持用户登录状态
lonelysnowman的博客
10-23 354
用户是如何保持登录状态的呢?今天向大家介绍一下困扰我很久我想去了解的保持登录的方法 Session Cookie Token 三者都是基于Cookie但是大不相同。在这里推荐 技术蛋老师 的视频。
PHP cookiesession的使用与用户自动登录功能实现方法分析
10-16
在PHP开发中,CookieSession是两种常用的用户状态管理机制,它们在实现用户自动登录功能时扮演着关键角色。下面将详细介绍这两种技术的使用方法及其在自动登录中的应用。 **Cookie的使用** Cookie是由服务器发送...
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
SessionCookieToken的关系。以及Cookie的局限性
11-30
Web开发中,SessionCookieToken是三种常见的身份验证机制,它们各有特点,并在不同的场景下发挥着关键作用。理解它们的关系以及Cookie的局限性对于构建安全Web应用程序至关重要。 首先,让我们来探讨...
CookieSession以及Token区别 以及身份认证 保持登录状态
m0_54416083的博客
06-04 529
http协议是无状态的:关闭网页再次访问服务器,服务器不知道是你再次访问即客户端进行用户名和密码认证登录,页面关闭后,下一次用户还得再发送一次请求来进行用户认证。每次HTTP请求都自动带上cookie数据给服务器即可在cookie中存储账户和密码,来实现保持登录。但在浏览器中可以查看保存了哪些cookie,以及cookie中的内容,因此cookie中存储用户名和密码是极为不安全的。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vkcRBoNl-1654274847548)(C
几句话说清sessioncookietoken区别
Chen_chenjiasheng的博客
03-27 2877
一、cookiesession实际上是同一套认证流程,相辅相成。 cookie保存在客户端 (通常保存sessionsessionID,这个sessionID是一个毫无规则的随机数,由服务器在客户端登录通过后随机生产的。客户端每次访问该网站都要带上这个由sessionID组成的cookie。服务器收到请求,首先拿到客户端的sessionID,然后从服务器内存中查询它所代表的客户端(用户名,用户组,有哪些权限等)。) session保存在服务器 (用于记录客户状态,比如我们经常会用session
token实现登录状态保持/身份认证的机制
热门推荐
FloraCat_染小白
12-19 2万+
实现登录状态保持身份认证的方式通常有两种:session结合数据库、token。 两者相比较,token有较多优点。 ① token可以存储在任何位置(比如cookie或local storage) ② token更容易跨域 ③ token过期时可以通过刷新token,让用户一直保持有效登录 ④ 如果api在不同终端上,token更方便安全   二、token原理 其过程大致...
使用token方法保存用户登录状态的实践
qq_41564928的博客
03-05 4384
问题:网站中,如何保存用户的登录状态? 错误示范 用户登录后,使用 localStorage 方法在浏览器客户端直接保存 user_id,每次进入网站时,通过识别 user_id 自动获取用户的信息并实现登录。 错误点 浏览器 localStorage 保存的数据可能被——篡改 在浏览器控制台使用 localStorage.setItem() 即可更改当前 user_id,如果 user_id 被...
token机制完成登录状态保持/身份认证
weixin_30767921的博客
11-22 654
一般APP都是刚安装后,第一次启动时需要登录(提示你需要登录或者直接启动在登录界面)。而只要登录成功后,以后每次启动时都是登录状态,不需要每次启动时再次登录。不过,也有些APP若你长期未启动,再次启动时,它会提示你登录过期,让你重新登录。这个是怎么实现的?APP是怎么保持登录状态的? 之所以突然写这个话题,是因为昨晚无意间刷知乎刷到了这个问题iOS系统如何实现app登录类似微信只需...
【SDU项目实训2019级】客户端服务端实现token保存用户状态信息(redis数据库)
李小恩恩子的博客
05-18 994
中医汉英语料库资源平台:实现用户状态信息的保存(是否是登录状态token实现思路 1.用户登录校验校验成功后就返回Token给客户端。 2.客户端收到数据后保存在客户端 3.客户端每次访问API是携带Token到服务器端。 4.服务器端校验token状态。 服务端使用redis保存用户token状态,存储的key-value是: key:userId + "_token" value:token字符串 token字符串生成用的是UUID类,根据机器和时间生成唯一字符串 首先先编写服务端生成t
授权认证登录CookieSessionToken、JWT 详解
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、CookieSession区别 五、什么是 Token(令牌) Acesss Token ...
cookie session token区别
最新发布
05-19
CookieSession Token 都是用来在客户端和服务端之间传递信息的工具。 Cookie 是一个小型文本文件,由浏览器存储在用户的计算机上。Cookie 可以用来存储用户的偏好设置,或者跟踪用户的浏览记录。Cookie 的信息会在用户的浏览器和服务器之间来回传递,因此它可以记录用户的活动状态Session Token 是一个用来识别用户的字符串。它通常被存储在服务器端,并且每当用户发起请求时都会附带这个 Session TokenSession Token 用来识别用户的身份,从而可以保存用户的状态信息。 CookieSession Token区别在于,Cookie 存储在用户的计算机上,而 Session Token 存储在服务器端。因此,Cookie 可以在用户的多个设备之间共享信息,而 Session Token 只能在单个设备上使用。另外,Cookie 信息可以在用户关闭浏览器后继续保存,而 Session Token 只能在用户的浏览器会话期间使用,一旦用户关闭浏览器就会失效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值