搞清楚session 、cookie和token

已于 2024-05-02 21:08:21 修改
阅读量1.3k 收藏 6
点赞数 5
文章标签: javaee web 后端 spring boot
于 2024-04-02 19:29:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63803244/article/details/137276508
版权

前言:由于http协议是无状态的,每一次请求都创建一个请求对象。客户端发送请求后服务器不知道是那个客户端发送的请求(不知道当前系统登录的用户信息)。

一、session、cookie、token的作用

1.session就是服务端创建的一个特殊的对象,通过session对象我们可以进行用户跟踪。session对象采用的是形如key-value的形式。

2.cookie是一个小型的文本信息,cookie有很多属性。当客户端发送请求时会在请求头中携带cookie信息。服务端通过读取cookie可以获取客户端的某些信息。

3.token是一个base64编码后得到的字符串,我们称之为令牌。通常将这个字符串解析成三个部分:头部、载荷、签名。

头部:包括了用于对载荷编码、对载荷进行签名的算法。

载荷:包含了一些用户信息:id、角色、权限等,用来做检验和授权。

签名:头部和载荷的进行签名后得到的值,用于验证token完整性和真实性。

二、session和cookie的工作过程

1.客户端发送登录请求后服务端查看请求头是否名字叫做JSESSIONID(tomcat生成的叫这个)的cookie,这个cookie存放的就是session的id。如果没有这个cookie就建立session并将sessionid设置到setcookie相应头中。

2.客户端有一次发送请求时,自动携带cookie信息。包括存sessionid的cookie。这样就可以通过sessionid找到服务器已经建立的session。

3.服务器找到session后就能获取当前登录用户的一些信息,进行逻辑处理。验证通过后响应客户端。

局限性:由服务器存储用户信息,如果是服务器集群就存在传输共享session的问题。在一台服务器负载过大时就要传输session给另外的服务器。因此想出了将session存储到数据库的办法,但是如果数据库崩溃了服务器就无法获取用户信息。于是就有了jwt,将信息存到客户端。

三、token的工作过程

1.客户端发起登录请求,通常情况下是在登录时。服务端对携带的用户信息加密,加密过程:用户信息+秘钥生成签名。

2.服务端将token响应给客户端,客户端将token存到cookie或者storage中。token包括头部(加密算法的base64编码)、载荷(用户的一些信息的base64编码)、签名(上面服务器加密后的结果的base64编码)。

3.有了token令牌,服务端在每次接受请求时就能进行校验。首先进行base64编码的解码,然后利用服务器存的秘钥和token载荷的信息使用token中头部的加密算法进行加密。让加密结果和token的签名对比。

也可以将token存到redis中。

四、springboot项目中,jwt实现并存在redis中

1.首先引入redis相关的依赖。

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

 2.登录时使用自定义的工具类创建token,并存在redis中。

String token = this.jwtUtil.createToken(String.valueOf(user.getUserId()));
redisTemplate.opsForValue().set("communityuser-"+user.getUserId(), token,jwtUtil.getExpire());

自定义jwt配置类,其中写了创建token、检验token的方法

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jws;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import java.util.Date;
import java.util.UUID;

@ConfigurationProperties(prefix = "jwt")
@Component
public class JwtUtil {
    private long expire;
    private String secret;
    private String subject;

    /**
     * 生成token
     *
     * @param userId
     * @return
     */
    public String createToken(String userId) {
        String token = Jwts.builder()
                //载荷:自定义信息
                .claim("userId", userId)
                //载荷:默认信息
                .setSubject(subject) //令牌主题
                .setExpiration(new Date(System.currentTimeMillis() + expire)) //过期时间
                .setId(UUID.randomUUID().toString())
                //签名哈希
                .signWith(SignatureAlgorithm.HS256, secret)
                //组装jwt字符串
                .compact();
        return token;
    }

    public boolean checkToken(String token){
        if(StringUtils.isEmpty(token)){
            return false;
        }
        try {
            Jws<Claims> claimsJws = Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
        } catch (Exception e) {
            return false;
        }
        return true;
    }

    public long getExpire() {
        return expire;
    }

    public void setExpire(long expire) {
        this.expire = expire;
    }

    public String getSecret() {
        return secret;
    }

    public void setSecret(String secret) {
        this.secret = secret;
    }

    public String getSubject() {
        return subject;
    }

    public void setSubject(String subject) {
        this.subject = subject;
    }
}

3.之后的每次请求都进行先进行token校验

我这里获取请求头的token属性是前端vue添加的。

 String token = request.getHeader("token");
 boolean result = jwtUtil.checkToken(token);

五、session、cookie、token的区别

石以砥焉,以锐为利
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
一文彻底搞懂cookiesessiontoken、jwt!
酷奇的博客
03-02 1065
角度一:是否有状态 Cookie、Storage、Session 是有状态的,都用于存储用户信息。 Token、JWT 是无状态的,用于户身份验证的,不存储用户信息,实际上Token还是有状态的,因为需要在服务器保存一些属性用于验证Token,JWT真正做到了无状态。 角度二:存储位置 Cookie、Storage是浏览器存储数据方案 Session是服务器存储数据方案 角度三:创建者 Cookie、Sessin、Token、JWT都是由服务器生成 角度四:传输方式 通过HTTP请求头或请求参数传输
彻底搞懂CookieSession、JWT和Token(强烈推荐)《彻底搞懂CookieSession、JWT和Token|CSDN创作打卡》
m0_67266171的博客
03-02 249
文章目录 引入:http是一个无状态协议?怎么解决呢? 一、CookieSession **1.1 cookie 注意事项:** **1.2 cookie 重要的属性** **1.3 session 注意事项:** **1.4 CookieSession 的区别:** 二、token(令牌) **2.1 token优势** **2.2 token 的身份验证流程** 三、基于JWT实现的Token认证方案 3.1 JWT组成部分 **3.1.1 Header:标头**
一文彻底理解 CookieSessionToken
软件测试小迷糊
04-20 176
很久很久以前,Web 基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的 HTTP 协议,就是请求加响应,尤其是我不用记住是谁刚刚发了 HTTP 请求,每个请求对我来说都是全新的。这段时间很嗨皮。 但是随着交互式 Web 应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统,哪些人往自己的购物车中放商品,也就是说我必须把每个人区分开,这就是一个不小的挑战,因为 HTTP 请求是无状态的,所
几句话说清sessioncookietoken的区别
Chen_chenjiasheng的博客
03-27 2866
一、cookiesession实际上是同一套认证流程,相辅相成。 cookie保存在客户端 (通常保存sessionsessionID,这个sessionID是一个毫无规则的随机数,由服务器在客户端登录通过后随机生产的。客户端每次访问该网站都要带上这个由sessionID组成的cookie。服务器收到请求,首先拿到客户端的sessionID,然后从服务器内存中查询它所代表的客户端(用户名,用户组,有哪些权限等)。) session保存在服务器 (用于记录客户状态,比如我们经常会用session
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
SessionCookieToken的关系。以及Cookie的局限性
11-30
SessionCookieToken令牌的关系。 以及Cookie的局限性
Java||Springboot读取本地目录的文件和文件结构,读取服务器文档目录数据供前端渲染的API实现
RenGJ010617的博客
05-18 999
将服务器的工作目录渲染到前端页面上是经常遇到需要实现的需求,其中通过后端API读取本地目录,获取文件信息和文件系统层级数据是篇博客将要谈到的主要内容。
基于vuestic-ui实战教程 - 页面篇
最新发布
PleaseBeStrong的博客
05-21 526
原有的table组件不够美观,想要自己定义的时候就可以用该模板,对于模板的实例如上图我用红色框框框出来的就是几个加入的组件,下面就分别在代码中实现上面的代码中提到了特别多的类型比如UserData 、Pagination 、Sorting 等等,下面就给出这些类型的定义(如下代码定义在api/system/sysUser/types.ts 中)前面两个完全根据后端的实体类对应,而下面三个就是渲染所需要用到的一些类型定义/* sysUser参数类型 *//* sysUser参数类型*/
PHP传输base64数据不完整解决方法
C站全栈优质创作者、阿里云受邀博主专家,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
05-21 127
最近在做OCR增值税务处理时,接口是通过图片转base64提交处理然后返回数据的,我通过前端将图片转换为base64提交到后端接收时,通过在线工具进行测试,发现传递过去的数据可以使用,接收到的数据却提示损坏。
为什么我用save保存更新,数据库不更新,反而新增一条
svygh123的专栏
05-16 642
为什么我用save保存更新的数据后,数据库不更新,但是增加了一条空数据,我的前台也把数据用json传上去了,也成功了,但是数据库没有更新相应行的数据,而是新增了一条数据,我的后端用的接口PagingAndSortingRepository,数据库hibernate+sqlserver。
面试题:对已经关闭的channel进行读写
Faya__的博客
05-18 139
在Go语言中对已经关闭的channel进行读写,结果会有所不同。
商品属性组管理
Sun的个人博客
05-17 730
/ 点击树形节点,获取数据,如果是第三级就进行条件分页查询this.getDataList() // 进行条件分页查询/*** 根据id来获取该id对应的所有父id的数组* @return。
网站开发之前端和后端开发的区别和联系
驰网飞飞的博客
05-15 441
随着互联网的发展,网站已经成为人们日常生活中不可或缺的一部分。而网站的开发技术也在不断地发展和更新。在网站开发中,前端和后端是两个重要的概念。本文将介绍前端和后端的区别与联系。
SpringBoot后端RSA加解密问题
svygh123的专栏
05-14 1250
Spring Boot应用中通过AOP(面向切面编程)对前端使用RSA加密的请求体进行解密,然后将解密后的数据自动转换
在Visual Studio Code和Visual Studio 2022下配置Clang-Format,格式化成Google C++ Style
beyond谚语的博客
05-21 269
在Visual Studio Code和Visual Studio 2022下配置Clang-Format,格式化成Google C++ Style
session cookietoken的区别是什么
02-19
session cookietoken主要用于身份验证和会话管理。session cookie在浏览器本地存储,它的生命周期受浏览器的控制,并且它只能用于HTTP协议。token是一个加密字符串,它可以存储在服务器端或客户端,并且它的生命周期由服务器来控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值