Cookie、Session 和 Token 的基本原理

已于 2024-07-14 11:31:20 修改
阅读量680 收藏 15
点赞数 9
分类专栏: 保研复习 文章标签: Cookie Session Token 前端
于 2024-07-14 11:24:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64140451/article/details/140411808
版权

目录

参考资料:



1 为什么提出 Cookie?HTTP 无状态

HTTP 是无状态的。你这次访问完服务器后,再次访问服务器,服务器是不知道又是你来访问的。

百度百科:HTTP 无状态

  • HTTP 无状态协议,是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
  • HTTP 的每次请求都是独立的,它的应答情况与前后请求是无直接关系的,它不会受到前面请求的应答情况的直接影响,也不会直接影响后面请求的应答情况。

保持登录状态

  • 通常,用户名和密码都保存在数据库中。每次登录的时候,比对用户输入的用户名、密码和数据库中的用户名、密码,比对成功就返回相应的页面。而如果我们想要保持登录状态,其核心就是存储用户名、密码,也就是允许记住用户名、密码。
  • 假设我们就让浏览器来记住用户名、密码,那么我们还需要解决 HTTP 无状态的问题,也就是让浏览器想办法在每一次 HTTP 请求中都加入用户名、密码。而 Cookie 就是一种能够实现每次 HTTP 请求都自动携带数据给服务器的技术。


2 Cookie

Cookie 的基本流程如下图所示:

在这里插入图片描述

  • 浏览器发起 HTTP 请求,服务器会使用 Set-Cookie 字段设置 Cookie;
  • Cookie 中有 Name 和 Value 两个属性,均由服务器来进行填充;
  • 浏览器收到 Cookie 后,会将 Cookie 存储起来;
  • 浏览器以后每次发送 HTTP 请求都会自动携带该 Cookie;

我们可以直接在浏览器中查看存储了哪些 Cookie,由此可见把用户名、密码存储在 Cookie 当中是很不安全的。只要电脑被黑,Cookie 中的重要信息就会被泄露。因此,大家提出了一种新的技术 —— Session 会话。

个人感觉上图只是为了说明 Cookie 的作用,并没有代入存储用户名、密码的场景。



3 Session

Session 的基本流程如下图所示:

在这里插入图片描述

可以看出 Cookie 其实是一种数据的载体,它和 Session 并不是一种同级的关系。Cookie 里面可以存放一次 Session 会话的各种参数,并在后续的 HTTP 请求中自动进行携带。

  • 会话的开始:浏览器访问服务器时;
  • 会话的结束:服务器为该会话设置的结束时间;

服务器为与每个用户的会话都设置了唯一的 SessionID 和结束会话的时间 Max-age 。由于 SessionID 和 Max-age 都是服务器自己定义的东西,因此一般都存储在数据库中。

  • 浏览器将登录时填写的用户名、密码发送给服务器;
  • 服务器验证身份成功,创建 SessionID 和 Max-age 等参数;
  • 服务器将 SessionID 和 Max-age 等参数放入 Cookie 中,其中 Cookie 的有效期被设置为 Max-age,然后发送给浏览器;
  • 浏览器收到 Cookie 后对 SessionID 和 Max-age 等参数进行保存;

浏览器保存 Cookie 后,之后的每个 HTTP 请求都会自动把 Cookie 发送给服务器,即每次都会把 SessionID 发送给服务器。当 Cookie 的有效期到期时,浏览器会自动对其进行删除,代表着会话的结束。下一次用户登录时,就需要重新输入用户名、密码了。

由于在 Session 中浏览器保存的是 SessionID,即一个没有规律的字符串,而非用户名、密码,因此即使电脑被黑,黑客也无法获取到用户名、密码。此外,服务器在发送 Cookie 之前会对 Cookie 进行签名,一旦黑客修改了 SessionID,就会变成服务器无法识别的字符串。



4 Token

为什么使用 Token?

在特定时间有大量用户访问服务器的时候,服务器将要面临存储大量 SessionID 的情况。如果拥有多台服务器,那么为了避免某台服务器超载,可能会面临把 SessionID 分享给其他服务器的问题,即把一些用户分配给其他服务器。一直让服务器这样分享也不是办法,于是可以让数据库存储 SessionID,但是如果数据库崩溃了又会影响服务器获取 SessionID 。在各种原因和需求的前提下,就出现了一种技术叫 JWT,即 JSON Web Token 。

Token 的简介

Token 的基本流程如下图所示:

在这里插入图片描述

  • 浏览器将登录时填写的用户名、密码发送给服务器;
  • 服务器生成一个 JWT,服务器保存的不是 JWT 本身,而是 JWT 签名的密文;
  • 服务器将 JWT 发送给浏览器;
  • 浏览器以 Cookie 或者 Storage 的形式存储 JWT;

JWT 由三部分组成:
h e a d e r . p a y l o a d . s i g n a t u r e \mathrm{header.payload.signature} header.payload.signature

  • h e a d e r \mathrm{header} header 部分声明使用什么算法来生成签名
  • p a y l o a d \mathrm{payload} payload 部分是特定的数据,比如:有效期等
  • s i g n a t u r e \mathrm{signature} signature 部分是签名信息

首先对 h e a d e r \mathrm{header} header 部分和 p a y l o a d \mathrm{payload} payload 部分进行 Base64 编码,然后使用 h e a d e r \mathrm{header} header 部分声明的算法对这两部分进行签名,从而得到 s i g n a t u r e \mathrm{signature} signature 部分。

JWT 在线演示网站:https://jwt.io/



5 总结

  • Cookie 是一种数据载体,Session 和 Token 都可以放入其中;
  • Session 诞生并保存在服务器中;
  • Token 诞生在服务器,但是保存在浏览器中。


狂放不羁霸
关注
  • 9
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Session, TokenCookie的区别
翾的博客
01-24 1000
文章目录1. SessionCookie的区别及关联关系1.1. Cookie原理1.2. Session原理1.3. 总结2. token 1. SessionCookie的区别及关联关系 cookie数据存放在客户的浏览器上,session数据放在服务器上(不同容器, 不同框架存储的位置不同, 可能是内存, 可能是文件, 也可以持久化储存) 1.1. Cookie原理 Cookie...
cookiesessiontoken详解和区别
Hiro18的博客
09-27 6059
帮你存储一些在交互过程临时产生的数据当你打开浏览器,访问一个网站,认为会话开始了,当你关闭浏览器的时候,会话结束了接下来先详细介绍cookiesessiontoken,当你充分了解他们之后,就会发现他们的区别。
CookieSessiontoken原理详解
wang_nian的博客
07-27 1519
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 1.1 Cookie机制   在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一..
CookieSessionToken 的区别与用途
ProgramNovice的博客
04-23 1112
CookieSessionToken 的区别与用途
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3618
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
cookiesessiontoken的区别
XuXin_971222的博客
06-28 3396
cookiesessiontoken的区别
计算机网络——cookiesessiontoken原理
庄小焱
11-14 1754
Token ,如果指的是 OAuth Token 或类似的机制的话,提供的是 认证 和 授权 ,认证是针对用户,授权是针对 App。当用户第二次访问服务器的时候,请求会自动判断此域名下是否存在 Cookie 信息,如果存在自动将 Cookie 信息也发送给服务端,服务端会从 Cookie 中获取 SessionID,再根据 SessionID 查找对应的 Session 信息,如果没有找到说明用户没有登录或者登录失效,如果找到 Session 证明用户已经登录可执行后面操作。
CookieSessionToken的区别与联系
小菜鸡的博客
02-28 3498
以下是本人的一些笔记,助于理解概念,并不详细,详细内容可以参考文中提供的链接。 一、HTTP的无状态性 HTTP是无状态协议,它不对之前发生过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。 假设要求登录认证的Web页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。 不可否认,无状态协议当然有它的优点。由于不必保存状态,自然可减少服务器的CPU及内存资源的消耗。从另一个角度来讲,也正是因为HTTP协议
一文助你快速理解Cookie,Session,Token的区别
沫沫1890S的博客
12-17 1321
本文详细描述了Cookie,Session,Token的定义、鉴权原理和区别。cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session是服务器端对象,是浏览器和服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
SessionCookieToken区别详解
weixin_46403305的博客
08-15 4859
SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2.Sessio
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
前端技术学习记录-基础知识(二)JavaScript基本语法
adanjeep的博客
07-11 194
/ 声明一个String类型的变量name name = "Alice";// 初始化变量name int age;// 声明一个int类型的变量age age = 25;// 初始化变量age。静态强类型:Java语言,在申明变量时,需要明确定于变量的类型。对明确申明的变量,需要做强制转换,才会发生变化,否则不变。//数字 a = "hahaha";//字符串 </script>动态弱类型语言:变量可以存放在不同类型的值(动态)=== 比较相等(不会进行隐式类型转换)>>> 无符号右移(逻辑右移)
如何搭建互联网医院系统源码?医疗陪诊APP开发实战详解
meihusdk的博客
07-11 265
希望本文能够为正在或即将从事相关开发的技术人员提供一些参考和帮助。通过不断的努力和创新,我们可以为患者提供更优质的医疗服务,推动医疗行业的数字化转型。
微信小程序开发笔记之”表单读不出数据“解决指南
最新发布
qq_46396470的博客
07-12 300
脑瓜子好了后,忘记了表单控件必须要加上。提交后打印的字典是空的,卡了十几分钟。
Node多版本管理器NVM安装使用
GongWeiBuQi的博客
07-11 195
安装node很方便,只需要一条命令可以轻松切换node版本可以多版本node并存。
cookie sessiontoken的区别
04-26
CookieSession是用于Web应用程序的用户状态跟踪和管理的机制,而Token则是用于身份验证和身份验证的机制。 Cookie是由服务器发送到客户端的小数据文件。 该文件通常包含一个唯一的标识符,以便将客户端与服务器上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值