Cookie Seesion Token

于 2024-04-01 08:00:00 发布
阅读量1k 收藏 20
点赞数 18
分类专栏: 每日一精通 文章标签: 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60476942/article/details/137213649
版权
本文探讨了Cookie在保持用户状态、Session的工作原理及其与Cookie的区别,以及Token在身份验证中的应用,强调了它们在安全性上的优劣和适用场景。
摘要由CSDN通过智能技术生成

Cookie Seesion Token

Session

Session 的主要作用就是通过服务端记录用户的状态(通过 Cookie 中附加一个 Session ID 的方式来跟踪)

基本概念

Cookie 是一种在客户端存储数据的技术,它是由服务器发送给客户端的小型文本文件,存储在客户端的浏览器中,大小大概 4KB。在客户端发送请求时,浏览器会自动将相应的 Cookie 信息发送给服务器,服务器通过读取 Cookie 信息,就可以判断该请求来自哪个客户端。

cookie 中通常存储的数据:用户登录信息;用户行为等

  • 身份验证令牌
  • 用户首选项:语言选择、主题偏好
  • 跟踪用户行为:页面浏览历史、购物车内容
  • 会话信息:处理会话级别的数据,如保存用户在填写表单时的临时信息。
Cookie 的实现用户确定或者权限确定的流程

1、客户端发送请求到服务器

2、服务器收到请求后生成一个 session 会话

3、服务端响应客户端,并在响应头中设置 Set-Cookie。Set-Cookie 里面包含了 sessionId,它的格式 Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]。其中 sessionId 就是用来标志客户端的。

4、客户端收到该请求后,如果服务器给了 Set-Cookie,那么下次浏览器就会在请求头中自动携带 cookie

5、客户端发送其它请求,自动携带了 cookie,cookie 中携带有用户携带 cookie

6、服务端接收到请求,验证 cookie 信息。例如通过 sessionId 来判断是否存在会话,存在则正常响应。

cookie 主要特点
  1. cookie 存储在客户端
  2. cookie 不可跨域,但是如果设置了 domain,那么它们是可以在一级域名和二级域名之间共享的。
Cookie 被禁用怎么办

最常用的方法就是利用 URL 重写把 Session ID 直接附加在 URL 路径的后面

Session
基本概念

session 由服务端创建,当一个请求发送到服务端时,服务器会检索该请求里面有没有包含 sessionId 标识,包含则代表服务端已经和客户端创建过 session,然后就可以通过这个sessionId 查找对应的 session;没有找到的话就会为和客户端创建一个新的session,并生成一个新的与之对应的 sessionId,在响应时将 sessionId 给客户端,通常是存储在 cookie 中。

每一个客户端与服务端连接,服务端都会为该客户端创建一个 session,并将其唯一标识 sessionId 通过设置 Set-Cookie 头的方式相应给客户端,客户端将其存到 cookie 中。

session 与 Cookie 的实现用户确定或者权限确定的流程

通常情况,cookie 与 session 结合使用,也可以分别单独使用,这里是结合的流程:

1、客户端发送请求

2、服务端收到请求后,创建一个 session,并将 session 的唯一标识 sessionId 设置在 Set-Cookie 响应头中,相应给客户端

3、客户端收到响应后。发送其他请求会自动携带 cookie,服务端通过 sessionId 找到 session,没找到则重新创建 session

4、服务端 cookie 验证通过正常响应请求

session 和 cookie 的区别与联系

联系:cookie 和 session,它们两者之间主要是通过 sessionId 关联起来的;session 基于 cookie 实现的

区别:

  • session 比 cookie 更加安全,因为 session 存在于服务端,cookie 存在于客户端
  • cookie 只支持存储字符串数据,session 可以存储任意数据
  • cookie 有效期可以设置较长时间,session 有效期都比较短
  • session 存储空间很大,cookie 有限制

所以一般建议一起使用噢!!!

token
基本概念

Token 是一个由一串字符组成的令牌,用于在计算机系统中进行身份验证和授权;是一种在客户端和服务端之间传递身份信息的方式。当用户登录成功后,服务端会生成一个 Token,将其发送给客户端。客户端在后续请求中,就可以确定该请求来自哪个用户,并且可以根据用户的权限进行相应的操作。

Token 的组成

  • 标头 Header:包含了算法和类型,用于指定如何对有效载荷进行编码和签名。采用算法SHA、HMAC、RSA等。
  • 有效载荷 Payload:包含一些用于验证身份和授权,如身份ID、角色、权限等。有效载荷可以是加密的,也可以是明文的
  • 签名 Signature:是对标头和有效载荷进行签名后得到的值,用于验证 token 的完整性和真实性。签名通常使用私钥进行签名,并使用公钥进行验证。
Token 认证流程
  1. 客户端发起请求
  2. 服务端校验用户名和密码后,将用户ID 和一些其它信息进行加密,生成 token,然后服务端将 token 响应给客户端
  3. 客户端收到响应后将 Token 存储下来,下一次发送请求后需要将 token 携带上
  4. 服务端收到 token 后校验,校验通过则正常返回数据
优势:

Token 有效避免了 Cookie 的一些安全问题。如 CSRF 攻击。

对比

在这里插入图片描述

总结:session 是空间换时间,token 是时间换空间

本文参考 by 知乎https://zhuanlan.zhihu.com/p/631349844

ConQueR.xY
关注
  • 18
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSeesion
m0_51064043的博客
03-29 148
文章目录一、会话技术1. 会话2. 功能3. 方式:二、Cookie1.概念2.快速入门3. 实现原理4.cookie的细节(1)一次可不可以发送多个cookie?(2)cookie在浏览器中保存多长时间?(3)cookie能不能存中文?(4)cookie共享问题?(5)Cookie的特点和作用(6)案例:记住上一次访问时间三、Seesion1.概念2.快速入门3.原理4.细节5.session的特点6.session与Cookie的区别总结 一、会话技术 1. 会话 一次会话中包含多次请求和响应。
Cookie & Session & Token
gc_charl的博客
05-29 824
Cookie & Session & Token Cookie: 理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。 而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。(例:用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了)
cookie seeion token
时光里的博客
10-25 319
cookie seeion
Cookie,Session,Token详解
q123q9的博客
03-16 2674
1.Cookie方案 Cookie保存在客户端中,分为内存Cookie和硬盘Cookie,内存Cookie由浏览器维护,保存在内存中,浏览器关闭后消失,硬盘Cookie保存在硬盘中,有一个过期时间,存在时间是长期的。 同时HTTP Cookie服务器发送到用户浏览器并保存在本地的一小块数据,会在浏览器在下一次请求被携带并发送到服务器上。 Cookie用于这三个方面上: 绘画状态管理 个性化设置 浏览器行为跟踪 服务器创建Cookie 服务器收到HTTP请求,会在响应头添加一个set-Cookie
cookie、session、token
m0_50488756的博客
06-13 94
cookieseesiontoken都是为了解决“HTTP是无状态的Web服务器”这个问题,我们需要http记住我们之前的一些数据和操作,来为我们接下来的操作提供条件 cookie、session、token的区别: cookie:前端应用向后端服务器发送请求,后台服务器在响应内容中添加Set-Cookie字段以键值对的形式,来为前端应用设置cookie,就像为每一位前端贴了一个小纸条。当下一次前端应用再次发送请求的时候,会在请求内容带上设置好cookie,后端服务器读取纸条内容,就会认得你是谁,你是
详细了解 Cookie Session Token
漏墨小子的博客
04-24 313
发展史 1,很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器、不需要记录谁在某一段时间里都浏览了什么文档。 每次请求都是一个新的HTTP协议,就是请求加响应,尤其不用记住是谁则刚发了HTTP请求,每个请求相对来说都是全新的。 2,但是随着交互式Web应用的兴起,像在线购物网站和需要登录的网站等就面临一个问题,那就是要管理会话,必须记住哪些人登录系统,哪些人往自己的购物车中放商品...
cookie,seeion以及token之间的区别和优缺点
smarthome_man的博客
02-10 1280
1、cookie网络或互联网使用者发给中央服务器信息的计算机文件) 首先什么是cookie呢?顾名思义cookie首先是一个文件,主要是由浏览器生成的一个能在浏览器中永久存储的一个数据。比如我们的账号密码,就会存储到cookie里,下次在请求的时候,会直接输入账号密码,比较方便,但是弊端也随之而出,cookie很容易被黑客劫持,所以cookie的安全性较低一些,所以后来浏览器加了一些限制来确保cookie不会被恶意使用,但是安全性还不是很高。 2、session(在网络应用中又被叫做会话控制) 什么是se
Cookie、Session和Token三者的区别及使用
11-13
### Cookie、Session与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
cookie session token
04-28
Cookie、Session、Token都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端...
彻底理解cookie,session,token的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookie、session和token这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
Cookie Session Token 与 JWT 解析
weixin_45898624的博客
06-25 1189
对登录功能的解析
前端鉴权:cookie、session 和 token 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 1603
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
cookie、session、token介绍以及区别
Pert的博客
11-05 4834
背景介绍 什么是会话? 用户打开一个浏览器, 点击多个超链接, 访问服务器多个web资源, 然后关闭浏览器, 整个过程称之为一个会话 HTTP协议是一种"无状态"协议,客户浏览器与服务器建立连接,发出请求,得到相应,然后关闭连接,这意味着每次客户端检索网页时,客户端打开一个单独的连接到 Web 服务器服务器会自动不保留之前客户端请求的任何记录。 所以容器不能辨认下一个请求和之前的请求是不是同一个请求,对于容器而言,每个请求都是新的。 使用浏览器与服务器进行会话的过程中,不可避免会产生一些数据, .
Cookie、Session、Token概念、区别、如何实现
最新发布
diaobusi的博客
08-02 2319
Cookie 是在客户端存储数据的机制,由服务器通过 Set-Cookie 响应头发送给客户端浏览器,并存储在客户端上。主要用于在客户端保持用户状态和存储少量数据。存储在客户端,可能存在安全风险和受限制的存储容量。SessionSession 是在服务器端存储用户状态和数据的机制,通过为每个客户端创建唯一的会话标识来进行管理。主要用于在服务器上跟踪用户、存储大量数据和实现身份认证。存储在服务器端,安全性较高,但会增加服务器的负担和存储需求。Token
Session和Cookie
一点思考
12-31 430
转载自: https://blog.csdn.net/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
一文搞懂cookietokenseesion区别、作用、优缺点
Knowledge_dai的博客
03-24 992
前言:无状态的 HTTP众所周知,HTTP 协议是无状态的。 状态指的是客户端和服务器在临时会话中产生的数据 但是随着 web 应用的发展,越来越多的场景需要标识用户身份。例如:单点登陆、购物车等等。而 cookie、session 与 token,就是为了实现带有状态的“会话控制”。 曾经我也傻傻搞不清他们的区别,只知道他们是为了解决 http 协议无状态的技术方案。这篇文章,阐述他们的概念、用途和区别,配合代码和场景加深理解。 1、Cookie 认识 Cookiecookie 是以 K-V 形式,存储在
Cookie、session和token的区别(token和session对比选型)
热门推荐
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
彻底搞懂cookie、session和token
liuqinhou的博客
08-19 2383
cookie、session和token
IM开发基础知识补课(四):正确理解HTTP短连接中的Cookie、Session和Token
weixin_34014277的博客
04-09 1509
本文引用了简书作者“骑小猪看流星”技术文章“Cookie、Session、Token那点事儿”的部分内容,感谢原作者。 1、前言 众所周之,IM是个典型的快速数据流交换系统,当今主流IM系统(尤其移动端IM)的数据流交换方式都是Http短连接+TCP或UDP长连接来实现。Http短连接主要用于从服务器读取各种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值