【开发】session和token的使用

于 2024-08-07 20:45:43 发布
阅读量570 收藏 3
点赞数 6
分类专栏: 开发 文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73455589/article/details/140999488
版权

目录

前言

正篇

session

分布式session

token

双token

浅聊一下,适合初学者~

这篇纯理论,比较长,慢慢看 > . <

需要有一点点redis的基础,比如知道redis是键值对数据库哦~

前言

先简单介绍一下cookie

cookie在客户端上,用于保存服务端发送的数据。服务端通过set-cookie将数据存到客户端。

然后往下吧

正篇

session和token都是使用在鉴权场景下。

当你要访问系统中的某些资源时,就需要登录才能进行访问。

如果你已经是在登录状态了,那你就有权限进行访问。

大家都知道通过账号密码进行登录,所以账号密码输入正确,逻辑上你就有权限进行访问系统了。但是当你再发送一次请求时,由于http是无状态的协议,不会标识你的登录状态,那怎么证明你已经登录过了呢?

这时候就需要服务端在你完成登录后,给客户端发一个凭证,等下次访问时,客户端携带上这个凭证,服务端队凭证校验过后,没问题,就给你访问相应的资源。

这个凭证是有过期时间的,不知道大家有没有注意到,当你很长一段时间没有使用某个网站时,你就需要重新登录呢?那是因为如果凭证长期有效,容易被别人盗取,从而通过这个凭证获取你在网站上的个人信息,是一个安全性的考虑。

上文提到的凭证,有两种形式。

一种就是session

session

当你输入账号密码经过校验成功后,服务端会开辟一个空间session(容器),用来存储你的个人信息,然后返回给客户端一个sessionId存储在cookie中。当客户端下次发送请求时,会携带上这个cookie。

服务端通过获取cookie,也就是传来的sessionId去获取用户信息,如果用户信息存在,则放行,可以访问其他资源,如果没有获取到,就拒绝请求,或者跳转到登录页面。

分布式session

那在分布式场景下,有多台服务器,用户的请求会被负载均衡到多台服务器上,那就可能出现这种情况,登录时,访问的是服务器A,所以用户信息存在服务器A上,而请求资源时访问的是服务器B,显然,用从服务器A上获取到的sessionId来获取用户的信息是获取不到的。

那该怎么解决呢?

一个常见的思路就是把所有的session放到一个服务器上进行存储,每次要校验时,从这个服务器去获取用户信息,获取到了,那就放行。

这就是分布式session的实现。

通常这个服务器是redis,key是sessionId,value就是用户的信息。

鉴权流程就变成了这样:

用户由于没凭证(sessionId),所以系统重定向到了登录页面。输入账号密码校验完之后,服务端A随机生成一串字符作为sessionId,然后将sessionId作为key,用户信息作为value存储到redis中,返回给客户端sessionId。

用户访问某个资源,请求到了服务器B。在请求中获取到sessionId后,从redis去获取对应的用户信息,获取到则放行。

另一种凭证就是token了。

token

token本身携带用户数据,还包括了该token的过期时间。当你登录之后,服务端会根据加密算法,将用户数据和其他信息加密后生成一个token(就是一串字符),发送给客户端(也是存在cookie中,cookie比较好用,服务端在set-cookie时,可以指定cookie的域和路径。当客户端发送请求时,如果请求的域是cookie被指定的域,并且请求路径中包含cookie被指定的路径,这个http请求就会自动携带上这个cookie)

下次发送请求时,携带上这个token,服务端获取到token后,根据加密算法进行解密,获取用户数据进行校验。如果正确则放行,这个就不会有session的分布式问题,因为数据是在token上的,只要服务端能进行解密校验就行了~

token的实现有很多种,常见的有JWT(Json Web Token),可以了解一下

对于安全性要求高的系统,token的时效就会短,但这样会影响用户的体验,时不时就要你重新登录就很烦。

所以就有了双token的方案。

双token

一个refresh token

一个access token

refresh token的生命周期较长,用于刷新access token。access token生命周期较短。当refresh token过期了,那用户就需要重新登录了。

用户第一次登录时,生成一个refresh token,一个access token返回给客户端。

用户登录成功在发送请求时,携带上access token,服务端获取后,解密出信息,然后校验用户信息,并且查看token是否过期。都没问题则放行。

如果access token过期了,就将refresh token进行解密,看是否过期,如果没过期,则重新生成一个access token。

如果连refresh token都过期了,那就要用户重新登录了~

ok,今天的分享就到这里啦

开发入门中,欢迎指教~

爱好怪奇的奈斯
关注
  • 6
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php tokensession,简聊 SessionToken 身份验证
weixin_42128315的博客
03-10 468
前言当我们账号密码登陆以后,如何确保用户认证是我们每一个phper都会遇到的问题,从最开始的SessionToken ,让我们带着求知欲了解一下它。Session时代Web开发使用Http协议,HTTP协议最初是匿名的,无状态的请求/响应协议。这样简单的设计可以使HTTP协议专注于资源的传输(HTTP是超文本传输协议);随着WEB的发展,业务需要确定客户端的唯一性,引入session会话这个...
Cookie、SessionToken三者的区别及使用
11-13
### Cookie、SessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
SessionToken
weixin_43702295的博客
12-27 641
在构建用户身份管理系统时,选择会话(Session)还是令牌(Token)是一个关键决策,取决于系统的需求和特定的使用场景。本文将深入探讨何时适合使用会话,何时适合使用令牌,以帮助开发人员在实际应用中做出明智的选择提示:以下是本篇文章正文内容,下面案例可供参考众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器,服务器它无法感知是不是同一用户的请求,于是就有了Session机制。Session机制是一种在Web开发中用于跟踪用户状态的机制。
浅谈SessionToken
weixin_72125569的博客
09-06 1198
SessionToken的区别及使用
Cookie、SessionToken 的区别与用途
ProgramNovice的博客
04-23 1479
Cookie、SessionToken 的区别与用途
再讲 SessionToken,彻底弄明白
朱雀随云记的博客
02-01 1553
在构建用户身份管理系统时,选择会话(Session)还是令牌(Token)是一个关键决策,取决于系统的需求和特定的使用场景。本文将深入探讨何时适合使用会话,何时适合使用令牌,以帮助开发人员在实际应用中做出明智的选择。众所周知,HTTP协议它是无状态的协议,浏览器多次请求服务器,服务器它无法感知是不是同一用户的请求,于是就有了Session机制。Session机制是一种在Web开发中用于跟踪用户状态的机制。
Cookie、sessiontoken的区别(tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
Cookie、SessionToken 和 JWT 的区别与应用
记录个人成长, 分享好用资源
07-23 714
在Web开发中,Cookie、SessionToken 和 JWT 是常用的状态管理和身份验证机制。它们各有优缺点和适用场景。本文将详细介绍它们的定义、特点、用途、生命周期,并通过实际例子展示它们的应用。
cookie、sessiontoken区别
qq_31965515的博客
11-13 5312
cookie 和 session 众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢? 比如在淘宝的某个页面中,你进行了登陆操作。当你跳转到商品页时,服务端如何知道你是已经登陆的状态? cookie 首先产生了 cookie 这门技术来解决这个问题,cookie 是 http 协议的一部分,它的...
Cookie、SessionToken的区别与联系
小菜鸡的博客
02-28 3504
以下是本人的一些笔记,助于理解概念,并不详细,详细内容可以参考文中提供的链接。 一、HTTP的无状态性 HTTP是无状态协议,它不对之前发生过的请求和响应的状态进行管理。也就是说,无法根据之前的状态进行本次的请求处理。 假设要求登录认证的Web页面本身无法进行状态的管理(不记录已登录的状态),那么每次跳转新页面不是要再次登录,就是要在每次请求报文中附加参数来管理登录状态。 不可否认,无状态协议当然有它的优点。由于不必保存状态,自然可减少服务器的CPU及内存资源的消耗。从另一个角度来讲,也正是因为HTTP协议
JWT和Token之间的区别
热门推荐
分享思想,留下痕迹。
11-24 14万+
✅作者简介:大家好,我是Leo,热爱Java后端开发者,一个想要与大家共同进步的男人😉😉✨特色专栏:🥭本文内容:JWT和Token之间的区别,欢迎大家访问📚个人知识库:,欢迎大家访问。
tokenSession拦截器的使用
12-31
Java Web应用开发中,Struts2框架提供了一种非常实用的方法来解决这个问题——通过使用`tokenSession`拦截器。相比于传统的`token`拦截器,`tokenSession`提供了更加灵活和友好的用户体验。本文将深入探讨`token...
详解JWT token心得与使用实例
10-16
JWT token 在现代 web 应用程序中广泛用于身份验证和授权,因为它提供了一种轻量级的机制,可以在客户端和服务端之间交换信息。 1. **JWT Token 的组成**: - **头部(Header)**:包含两个主要部分,类型(typ)...
Laravel开发-session-tokens
08-28
在Laravel框架中,SessionTokens是两个非常关键的安全机制,它们在开发过程中扮演着确保用户身份认证和数据安全的角色。本篇文章将深入探讨Laravel的Session机制以及独特的"记住我"功能,其中涉及到的"session-...
安全开发-cookice&&session&&token
06-25
在这个领域,"Cookie"、"Session"和"Token"都是常见的概念,它们在身份验证和会话管理中扮演着重要角色。以下是对这些概念的详细说明: 1. **Cookie**: Cookie是一种在客户端(用户浏览器)和服务器之间传递小量...
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 410
使用TCP协议支持与多个客户端同时通信。
C++ - 函数重载
最新发布
jiaowenjie的专栏
08-06 168
/打印的是第二个函数的地址。//打印的是第一个函数的地址。-> 重载函数在本质上是相互独立的不同函数。-> 函数返回值不能作为函数重载的依据。-> 重载函数的函数类型不同。**3.函数默认参数和函数重载****函数重载的注意事项:****4.函数重载的本质**
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 1245
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
枚举工具类
qq_43049583的博客
08-04 397
java枚举工具类
cookie和sessiontoken的区别
03-25
A:在Web开发中,cookie、sessiontoken都用于身份认证和保持用户状态,但它们的实现方式和具体用途不同。 1. cookie(HTTP cookie):是一种在客户端保存数据的机制,当用户访问网站时,服务器可以把需要保存的数据通过Set-Cookie响应头发送给客户端,浏览器会自动把这些数据保存在本地,之后每次请求时会把这些数据通过Cookie请求头发送给服务器。cookie本质上是一组键值对,可以保存一些用户登录状态、偏好设置等信息。 2. session:与cookie类似,也是一种保持用户状态的机制,但它的实现方式不同。session是在服务器端创建的,客户端通过一个session ID与服务端进行交互,服务端维护着session数据。通常情况下,session ID会保存在cookie或者URL参数中。Session通过在服务器端保存用户登录状态可以提高安全性,因为Cookie可能被第三方截获。 3. tokentoken是一种在客户端和服务端之间传递认证信息的机制,一般是由服务端签发的,包含了一些认证信息和有效期等内容。客户端在登录成功后,服务端会返回一个token给客户端,在后续的请求中,客户端需要携带该token才能进行认证。token可以放在请求头、Cookie、URL参数等位置,具有跨域、跨平台等优势。相比于使用session使用token能够将负载更多地分散到客户端。 总结:cookie是在客户端保存数据、session是在服务器端保存会话状态、token是一种通过客户端和服务器之间交互的证明身份机制。而且,它们在功能和使用方式上都存在着不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱好怪奇的奈斯

你是我更新的最大动力~么么哒

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值