cookie/session/token/jwt

已于 2024-07-07 12:15:48 修改
阅读量635 收藏 15
点赞数 19
分类专栏: 后端学习积累 文章标签: java
于 2024-07-03 11:19:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52388979/article/details/140146932
版权

一、Cookie

  • 定义: Cookie 是服务器发送到用户浏览器存储在本地的小型数据片段,用于在客户端存储会话信息。

    • Cookie是Web服务器发送给浏览器的一小段数据,浏览器之后在每次请求同一服务器时会将这段数据回传。Cookie的主要作用是维持用户状态,例如存储登录信息或用户偏好设置。

  • 应用场景: 用于在客户端存储用户的会话状态,如用户登录状态、购物车内容等

    • 用户认证:存储用户会话标识。

    • 用户偏好:如网页字体大小、页面布局等个性化设置。

    • 购物车:在不登录的情况下临时保存用户的购物车信息。

  • 实现方式: 通过HTTP响应头Set-Cookie设置Cookie,浏览器在后续请求中通过Cookie请求头携带这些数据。

  • 示例代码(设置Cookie):

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;
​
HttpServletResponse response = ...;
Cookie cookie = new Cookie("username", "JohnDoe");
cookie.setMaxAge(1*60*60); // 秒 设置有效期为1小时
response.addCookie(cookie);

二、Session

  • 定义: Session 是存储在服务器上的用户会话信息,通过唯一的会话标识符来关联客户端请求和用户数据。

    • Session是在服务器端为每个用户创建的一种会话状态,用来跟踪用户的状态信息。每个Session都有一个唯一的Session ID来标识。

  • 应用场景: 用于存储和管理大量和敏感的用户数据,如用户权限、购买历史等

    • 用户身份验证:存储登录状态,权限信息。

    • 跨页面数据共享:在不同请求间传递数据。

  • 实现方式: 服务器为每个新用户分配一个Session,并生成一个唯一Session ID,此ID通常通过Cookie发送给客户端,客户端后续请求时携带此ID,服务器根据ID找到对应的Session。

  • 示例代码(Servlet中使用Session):

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
​
// 获取或创建用户的 Session
HttpSession session = request.getSession();
​
// 向 Session 存储用户信息
session.setAttribute("username", "JohnDoe");

三、Token

  • 定义: Token 是用于身份验证或授权的通用术语,可以是基于 Cookie 的会话标识符或更复杂的安全令牌。

  • 应用场景: 用于确认用户身份,在不同系统或服务之间进行传递和验证。

  • 实现方式:

    在实际应用中,Token 可以是各种形式,包括基于 JWT 的安全令牌。

四、JWT ( JSON Web Token)

  • 定义: JWT 是一种基于 JSON 格式的安全令牌,用于在客户端和服务器之间安全地传递信息。

    • JWT是一种紧凑、自包含的方式,用于在各方之间安全地传输信息。它是一个JSON对象,经过加密后可以被信任。常用于认证和授权场景。

  • 应用场景:

    • 用户认证:代替传统的Session机制,实现无状态认证。

    • API访问控制:确保API请求来自合法用户。

  • 实现方式: JWT由三部分组成:Header、Payload、Signature。通过指定算法对前两部分进行签名,以保证数据的完整性和来源的可靠性。

  • 示例代码(使用jjwt库生成JWT):

import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
​
String secretKey = "yourSecretKey";
long validityInMilliseconds = 3600000; // 有效期1小时
​
// 生成JWT
String token = Jwts.builder()
        .setSubject("JohnDoe") // 主题,可以是用户ID或其他标识
        .claim("role", "admin") // 自定义声明
        .setIssuedAt(new Date(System.currentTimeMillis())) // 发布时间
        .setExpiration(new Date(System.currentTimeMillis() + validityInMilliseconds)) // 过期时间
        .signWith(SignatureAlgorithm.HS256, secretKey) // 签名算法和密钥
        .compact(); // 压缩成字符串形式

五、jwt和token关系

  • JWT(JSON Web Token)是一种具体的Token实现方式。换句话说,Token是一个更广泛的概念,而JWT是Token的一个子集,专注于通过JSON格式安全地传输信息。

  • Token,一般而言,是指在计算机安全领域中用于验证身份、授权访问或传递信息的一种加密字符串。Token可以有多种实现形式和标准,比如OAuth Tokens、API Tokens等,它们各有不同的结构和应用场景。

  • JWT (JSON Web Token) 是一种基于JSON的开放标准(RFC 7519),用于在双方之间安全、高效地传递信息。JWT主要由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。它设计得足够紧凑,可直接在网络中传输,且由于其签名机制,能够在不查询数据库的情况下验证Token的有效性及完整性,非常适用于分布式系统的认证和授权场景。

  • 因此,当人们谈论“Token”时,可能指代任何形式的认证或信息传递令牌;而提到JWT时,特指遵循JWT标准的这种特定类型的Token。

伏颜.
关注
专栏目录
关于sessioncookietoken以及JWT
代码讲故事
03-24 560
关于sessioncookietoken以及JWTsessioncookie 现在一般都是sessioncookie一起用,一起提。但是他们俩其实不是一定要在一起。 首先牢记一点,http协议是无状态的。就是说,一个请求过来,服务器不知道这个请求的用户是不是已经登录过了,不知道他的状态。只能再把这个请求重定向到登陆页面。 这样用户就疯了,怎么一直让我登录。 所以,前人想了一个办法,在第...
CookieSessionJWT的详解
miaozy
04-10 1505
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
cookiesessiontokenjwt
星爷的博客
01-14 385
1、首先要知道认证、授权、凭证 认证是需要证明是你本人操作,授权是为了根据不同角色来分配权限,凭证就是认证后获取到的身份证明。 2、cookie是存在浏览器中的,是无状态的协议,所以不能确认访问者的身份。session是存在服务器与客户端会话的状态。但是http是无状态的,所以客户端第一次请求登录后,服务器返回一个sessionid给客户端,客户端保存在cookie中,下次请求的时候在携带sessionid来确认两次请求是同一个用户。 3、上面2这种只适合单机,如果是分布式部署的就需要使用以下二种方式
搞测试的,CookieSessionTokenJWT 傻傻分不清楚可不行
最新发布
qq_48811377的博客
09-13 880
HTTP 是无状态的协议:每个请求都是完全独立的,服务端无法确认当前访问者的身份信息,无法分辨上一次的请求发送者和这一次请求的发送者是不是同一个客户端。服务器与浏览器为了进行会话跟踪,就必须主动的去维护一个状态,这个状态用于告诉服务端前后两个请求是否来自同一个浏览器。这个状态就需要通过 cookie 或者 session 来实现。cookie 存储在客户端:cookie 是服务器发送到用户浏览器,并进行保存到本地的数据,它会在浏览器下次向同一服务器再发起请求时被再一次被带到并发送到服务器上面。
cookiesessiontokenJWT
m0_48926849的博客
11-07 565
仅仅是作为个人笔记回顾
CookieSessionTokenJWT
kagurawill的博客
12-30 1526
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
CookiesessiontokenJWT
mundo.wang的个人博客
10-14 1万+
cookie存储在客户端,请求后,服务器发送回浏览器,浏览器在下次向同一服务器发送请求时,作为参数携带,并发送到服务器上。cookie是一个具体的东西,指的是浏览器实现的一种数据存储功能。cookie是不可跨域的,每个cookie绑定单一的域名。cookie是name=value键值对。session是基于cookie实现的,session存储在服务器端,sessionID 会被存储到客户端的cookie中。
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Basic Auth认证, Session/Cookie认证,JWT Token认证使用场景和优缺点分析
qq_33101689的博客
08-21 3636
Session/Cookie认证, Basic Auth认证, Token认证使用场景和优缺点分析 一. 为什么要授权认证 二. 传统Session/Cookie认证 三. Basic Auth 四. jwt token认证 四. 总结 一. 为什
CookieSessionTokenJWT.xmind
01-30
CookieSessionTokenJWT.xmind
快速了解Cookie/Session/Token,以及CSRF跨站攻击
kzc5335475的博客
04-13 481
快速了解Cookie/Session/Token,以及CSRF跨站攻击 本文主要介绍CookieSession以及Token的工作机制,以及CSRF跨站攻击,并不涉及到具体以及细节的属性。希望能帮助大家快速了解这几种不同的浏览器用户身份跟踪的会话方式。 无状态的HTTP Http协议本身是无状态的,也就是说每一次请求都是相互独立的,服务器并不能分辨请求是不是来自同一个用户。这样的好处是处理起来迅速,缺点就是在很多场景中,用户的每一步操作都是上下文关联的,比如网购往购物车里加东西,即使没有登录帐号,服务器也
CookieSessiontokenJWT
weixin_44120790的博客
08-14 157
Http协议无状态性:不记录用户行为状态,每次请求独立。 而在要求客户端和服务器动态交互的Web应用程序中,就需要保持HTTP连接状态。 Cookie:通过客户端保持状态 用户提交自己个人信息到服务器,服务器返回相应的超文本和个人信息(存在Resonse Header); 客户端收到后会存放在自己这里,然后下次请求把Cookie放到Request Header里向服务器发送请求 Session:通过服务器保持状态 服务端为客户端开辟的空间,保存用于保持状态的信息。 在Java中是通过调用HttpServ
CookieSessionTokenJWT
weixin_58045199的博客
07-08 446
CookieSessionTokenJWT(
授权认证登录之 CookieSessionTokenJWT 详解
热门推荐
huangpb的博客
01-14 1万+
目录 一、先了解几个基础概念 二、什么是 Cookie 1. cookie 重要的属性 2. 服务器端设置cookie示例(Node) 3. 客户端对Cookie的存取 4. 每个域名下cookie个数限制 5.封装对Cookie的操作 三、什么是 Session 四、CookieSession 的区别 五、什么是 Token(令牌) Acesss Token ...
cookiesessiontokenJWT
qq_42215697的博客
09-18 272
http协议 超文本传输协议(HyperText Transfer Protocol,HTTP)一种用于分布式、协作式和超媒体信息系统的应用层协议,是基于 TCP/IP 协议的应用层协议。通常运行于TCP上,指定了客户端发送什么样的请求信息,得到来自服务端返回回来的相对应的响应。 我们知道HTTP是一种无状态的协议,无状态的意思就是说是没有记忆的,前后的HTTP请求是相互独立互不干扰的,也就是说客户端每向服务端发送请求时,后发送的请求无法得知前发送请求所包含的各种状态数据。如果还想要得到前发送请求响应的数据
前端鉴权:cookiesessiontoken 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 1921
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
认证与授权之CookieSessionTokenJWT
BASK2312的博客
12-08 992
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的操作就是认证(此处说法可能不太严谨,登录操作除了认证可能也会涉及到授权,如果所有资源都对外开放,那么就没有授权一说)
CookieSessionTokenJWT对比与总结
wangzhipeng47的博客
08-07 1500
还分不清 CookieSessionTokenJWT? 什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authoriza...
CookieSessionTokenJWT详细介绍
AN_NI_112的博客
07-02 1178
CookieSessionToken详细介绍
cookie session token jwt
06-06
cookie:是一种存储在用户计算机上的小型文本文件,用于跟踪用户在网站上的活动和状态。...jwt:是一种基于token的身份验证和授权机制,使用JSON格式存储用户信息和有效期限等信息,具有安全性高、可扩展性强等优点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伏颜.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值