关于session、cookie、token登录状态判断

最新推荐文章于 2023-07-01 11:43:39 发布
最新推荐文章于 2023-07-01 11:43:39 发布
阅读量1.4k 收藏 1
点赞数
原文链接:https://www.v2ex.com/t/668743
版权

session 是后端的概念,session 本质目的就是后端需要区分出每次请求是哪个用户产生的。用 token 的情况下,就是找到这个 token 对应的用户,用 cookie 就是找到这个 cookie 对应的用户,token 、cookie 本质都是一串字符串,一般做法是后端在 redis 里存每个 token\session 对应的 user_id

前后端分离的情况下,token 一般是前端存在 localstorage 中 ,在进行 xhr 请求时放在 herder 的一个字段里面,一般是 authorization 字段

非分离的情况下一般用 cookie,这时也基本上没有 xhr 类型的请求,也没有跨域请求,所以 cookie 会随着 get 或者 post 一同提交到后端

跨域请求 /xhr 类型请求也可以设置 cookie 并且可以自动带上 cookie,具体内容要查一下文档,忘记了。

 

1.cookie 呢,就是返回头有个 set-cookie,让浏览器保存 cookie,cookie 是保存在浏览器
2.session 呢是浏览器和服务端都保存,服务端给一个 sessionid 存 cookie,下次请求带上这个 cookie,服务端拿着 sessionid 去数据库或者缓存区查,这种 session 方案是依赖于 cookie
3.token 就是存在浏览器的 localstorage,下次请求带上这个 token,服务端再去存储中找 token 确定用户
4.还有一种 token,叫 jwt,和 cookie 很像,也是存浏览器,比如 localstorage,但是存浏览器的话,服务端就没办法把他 revoke 掉,也就取消,没办法退出登录
此外还有 sessionstorage,VUE 还有个 vuex 状态存储
然依赖 cookie 的 session 方案不好解决跨域的问题,比如你的 cookie 是设置在这个域下面的,那请求另外一个域,不会带上这个 cookie,或者你要用 js 去操作这个域(开始胡说八道),那你的 cookie 就不能是 http only
然后 sessionstorage 我还不会,你去百度一下,然后告诉我,阿里嘎多

 

原文地址:https://www.v2ex.com/t/668743

 

tyasdxx
关注
cookiesessiontoken登陆状态保持
柳落青
10-29 800
传统的实现登录状态保存的两种方法时直接保存服务器端session 和客户端cookie, 现在介绍一种通过生成token的方式保存登录信息。 实现登录状态保持的两种方法: 第一种,cookiesession的配合使用 实现原理:当用户请求页面,一般需要先登录,用户第一次输入用户名和密码之后,前台发送post请求,后台获取用户信息,通过查询数据库来验证用户信息是否正确,如果验证通过,则会开辟一块session空间来储存用户数据,并且同时生成一个cookie字符串,由后台返回给前台,前台接收后,会把这个coo
关于用户sessioncookie的思考--三种登录状态--上
weixin_46045444的博客
11-06 1331
文章目录设置一个cookie过期时间,在cookie没有过期但是session过期的时候可以直接登录生成新的session,除非用户主动退出,这时候需要清除cookie信息私人电脑可以使用localStorage在浏览器设置保存自己多次登录的不同用户身份和密码,在cookie过期的时候依然可以记住密码直接登录在公共电脑,不登录直接进入,不适应用户名和密码直接进入的时候是需要清除cookie里的用户信息防止误用的localStorage的使用使用localStorage处理一个登录页面实现在一个复选框不勾选的
CookieSessionToken区分
weixin_48017822的博客
06-09 148
首先了解HTTP是无状态的Web服务器;即不记录上一次访问的状态 Cookie 1)浏览器第一次访问服务端时,服务器此时肯定不知道他的身份,所以创建一个独特的身份标识数据,格式为key=value,放入到Set-Cookie字段里,随着响应报文发给浏览器。 2)浏览器看到有Set-Cookie字段以后就知道这是服务器给的身份标识,于是就保存起来,下次请求时会自动将此key=value值放入到Cookie字段中发给服务端。 3)服务端收到请求报文后,发现Cookie字段中有值,就能根据此值识别用户的身份
网络安全之身份验证CookieSessionToken解析
m0_59598029的博客
02-13 433
现代化的网站已经不再是简单的静态网站了,会包含很多动态的内容,例如推荐、用户的信息查询、购物车等功能,因此后端服务器需要得到每个请求的身份及状态信息。然而HTTP协议是无状态的协议,每个请求之间是独立的,为了在请求的过程中进行状态保存,避免每次都进行登录校验,因此需要在客户端或浏览器保存用户的身份及状态信息,并在请求中发送,以实现有状态的服务。
session-cookietoken登录验证
weixin_34144450的博客
12-03 340
  最近研究了下基于token的身份验证,并将这种机制整合在个人项目中。现在很多网站的认证方式都从传统的seesion+cookie转向token校验。对比传统的校验方式,token确实有更好的扩展性与安全性。    传统的session+cookie身份验证    由于HTTP是无状态的,它并不记录用户的身份。用户将账号与密码发送给服务器后,后台通过校验,但是并没有记录状态,于是下一次用户的请求...
理解Session,Cookie以及使用Token进行登录验证
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
01-11 332
简单理解cookie/session机制 http://www.woshipm.com/pd/864133.html Session是在服务端使用的,是表示登录,退出这两个状态中间的一些信息。 Session是另一种记录客户状态的机制,不同的是cookie保存在客户端浏览器中,而session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是se...
sessiontoken
weixin_48811255的博客
07-01 432
sessiontoken
SessionManager支持token认证
chuanxuzheng1943的博客
11-27 315
1.定义一个SessionManager类 创建一个类,继承AuthorizingRealm,然后在doGetAuthenticationInfo中重写认证的方法 /** * 重写 SessionId 获取方式 * @param request 请求 * @param response...
cookie session token区别_如何理解SessionCookieToken三者的区别与联系
weixin_39901077的博客
11-19 159
本文将从Web应用 由传统身份验证到基于Token的身份验证的演变过程的角度,介绍SessionCookieToken。很久以前,Web 应用基本用作文档的浏览,如网络黄页。既然仅仅是浏览,因此服务器不需要记录具体用户在某一段时间里都浏览了哪些文档,每次请求都是一个新的HTTP协议,对服务器来说都是全新的。基于Session的身份验证随着交互式Web应用的兴起,比如,购物等需要登录的网站。引出...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
vue+koa2实现sessiontoken登陆状态验证的示例
12-08
客户端每次请求时,服务器通过`ctx.session.xx`获取并检查session信息,以此判断用户是否已登录。 ```javascript const Koa = require('koa'); const app = new Koa(); const session = require('koa-session'); ...
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
标题中的"Session、...Session在服务器端保存用户状态,而CookieToken则将用户状态保存在客户端。了解这些机制的优缺点,以及如何在实际应用中选择合适的身份验证和会话管理方案,对于Web开发者来说是十分重要的。
简聊 SessionToken 身份验证
lxw1844912514的博客
04-15 946
前言 当我们账号密码登陆以后,如何确保用户认证是我们每一个 phper 都会遇到的问题,从最开始的 SessionToken ,让我们带着求知欲了解一下它。 Session 时代 Web 开发使用 Http 协议,HTTP 协议最初是匿名的,无状态的请求 / 响应协议。这样简单的设计可以使 HTTP 协议专注于资源的传输(HTTP 是超文本传输协议); 随着 WEB 的发展,业务需要确定客...
前后端登录验证cookietoken
吮指原味鸡的博客
03-01 3183
这里写目录标题一、web开发模式1.基于服务的渲染的传统web开发模式2.前后端分离的开发模式二、 身份认证三、http的无状态性四、突破http的无状态性五、Cookie1.cookie的特性 一、web开发模式 1.基于服务的渲染的传统web开发模式 服务端渲染的概念: 服务器发送给客户端的HTML页面,是在服务器端通过字符串的拼接,动态生成的。因此客户端不需要使用ajax这样的技术额外请求页面的数据 优点: 1.前端耗时少。 服务器端动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端,更
验证相关的cookiesessiontoken
weixin_62111285的博客
10-14 184
cookie认证 简单的讲cookie是服务端发送给客户端、并保存在客户端的,在下次访问该服器时,这个cookie就是彼此识别的凭证。 cookie是保存在本地终端的数据。由服务端设置并生成后,发送给浏览器,浏览器就保存发送过来的cookie,此后并不会因为关闭浏览而丢失cookie,在下次访问同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器就加入了一些限制确保cookie不会被恶意使用,同时不会占据太多的磁盘空间,所以每个域的cookie数量是有限的。 cook
接口鉴权cookiesessiontoken
测试入坑之路
12-25 562
https://www.bilibili.com/video/av81777533/
跨域用户信息判断Token、seeion、jwt
xxoon
04-08 1130
多系统单一位置登录,实现多系统同时登录的一种技术。 单点登录一般用于互相授信的系统,实现单一登录,全系统有效。 三方登录:某系统,使用其他系统的用户,实现本系统登录的方式。解决信息孤岛,信息不对等的实现方案。 Session跨域 所谓Session跨域就是摒弃了系统提供的session,而使用自定义的类似session的机制来保存客户端数据的一种解决方案。 如:通过设置 cookie 的 domian 来实现 cookie 的跨域传递,在 cookie 中传递一个自定义的 session_id 。这个 se
【高创新】基于鲸鱼优化算法WOA-Transformer-LSTM实现故障识别Matlab实现.rar
最新发布
09-18
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
详细介绍一下session cookie token jwt
08-09
### 回答1: SessionCookieToken、JWT都是在Web开发中用于管理用户身份认证和会话管理的工具。 1. SessionSession指的是服务器端保存的用户信息。当用户登录成功后,服务器会创建一个session,为该用户分配一个session ID,并将该ID保存到cookie中,发送给客户端。客户端浏览器保存了这个cookie,以后每次请求都会带上这个cookie,服务器通过这个cookie就可以识别出用户身份,从而进行相应的操作。Session机制存在一定的风险,比如会话劫持、会话固定等问题,需要注意安全性。 2. CookieCookie是一种客户端保存用户信息的机制,它是由服务器在响应HTTP请求时通过Set-Cookie头部字段发给客户端浏览器的一小段文本信息。浏览器将这些信息保存在客户端,以后每次向服务器发送请求时都会自动带上这些cookie,从而实现身份认证和会话管理。但是Cookie也存在一些安全问题,比如会话劫持、跨站脚本攻击等问题。 3. TokenToken是一种用户身份认证和授权的机制,通常由服务器生成,以便在客户端和服务端之间进行身份认证和授权。客户端在登录成功后,服务器会为该用户生成一个Token,并将Token发送给客户端浏览器。客户端在之后的请求中需要携带该Token,服务器验证Token的有效性后,就可以识别出用户身份,并进行相应的操作。Token相比SessionCookie,具有更高的安全性和可扩展性。 4. JWT:JWT是一种基于Token的身份认证和授权机制。JWT包含三部分,分别是头部、载荷和签名。头部包含加密算法和类型等信息;载荷包含用户的身份信息和相关的元数据等信息;签名则是对头部和载荷进行签名生成的一段密文,用于验证Token的有效性。JWT具有无状态、可扩展、跨域等特点,被广泛用于Web开发中的用户身份认证和授权。 ### 回答2: SessionCookieToken和JWT都是常见的身份验证和会话管理方法。下面我会分别介绍它们。 SessionSession是服务器端记录用户状态的一种机制。当用户通过用户名和密码登录后,服务器会为该用户创建一个唯一的Session。之后,用户再发送请求时,服务器会根据Session来识别用户并获取用户的状态信息。 CookieCookie是一种在客户端存储的小型文本文件。在用户通过用户名和密码登录成功后,服务器可以将一个包含Session信息的Cookie发送给客户端,客户端会将该Cookie保存下来。之后,客户端发送请求时,会自动附带上该Cookie,用于向服务器证明用户的身份。 TokenToken是一种代表用户身份的令牌。与Cookie不同,Token是在客户端保存的,并且不需要服务器端存储用户状态。当用户登录成功后,服务器会生成一个Token并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将Token作为请求头信息的一部分发送给服务器,服务器根据Token验证用户身份。 JWT:JWT(JSON Web Token)是一种基于JSON的开放标准,用于在各方之间安全传输信息。它由三部分组成:Header、Payload和Signature。其中,Header用于描述JWT的元数据,Payload用于存储实际传输的数据,Signature用于验证JWT的合法性。在使用JWT进行身份验证时,服务器会生成一个JWT并发送给客户端,客户端将其保存起来。之后,客户端发送请求时,会将JWT作为请求头信息的一部分发送给服务器,服务器根据JWT验证用户身份的合法性。 总结:SessionCookieToken和JWT都是常用于身份验证和会话管理的方法,它们各有优劣和适用场景。SessionCookie依赖于服务器端存储用户状态,而Token和JWT则可以减轻服务器的负担,并且适用于分布式系统。其中,JWT由于其自包含性和可扩展性,在分布式系统和前后端分离的架构中得到了广泛应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值