JWT和Session和Cookie

最新推荐文章于 2024-07-22 09:04:10 发布
最新推荐文章于 2024-07-22 09:04:10 发布
阅读量683 收藏 4
点赞数
文章标签: cookie session jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n_a_n/article/details/105483096
版权
本文详细介绍了HTTP会话管理中的Cookie、Session和JWT(Json Web Token)的工作原理、优缺点以及应用场景。Cookie将信息保存在客户端,安全性较低;Session将信息保存在服务端,但会增加服务器压力;JWT将信息存储在JSON字符串中,无状态且支持跨域,但存在一次性问题、续签问题和安全问题。同时,文中还探讨了Token如何防止CSRF攻击及其工作原理。
摘要由CSDN通过智能技术生成

文章目录

会话管理

由于HTTP请求是无状态的,也就是说,每一个请求是相互独立的,互不干涉,但是在实际应用场景中,这个显然是不符合要求的。所以使用HTTP+状态管理进行一个面向用户Web开发。
这几个技术都是对HTTP协议的一个补充。

cookie

使用cookie进行会话管理的时候,我们会将用户信息或其他我们需要放在每个请求的一小段信息放入到cookie中进行保存,cookie是放在请求头中的,然后每次请求的时候会将cookie中的信息放入请求头中,在服务端进行验证,以此来进行状态的保证。

Session

使用session进行会话管理的时候,只需要在客户端保存一个sessionid即可,而用户信息是存放在服务端中的,当用户登陆时,会将用户信息存放在服务端,然后对应生成一个sessionid保存在客户端中

一般可将sessionid存放在cookie中

session和cookie的优缺点

  • cookie的安全性不好,攻击者可以获得本地cookies进行欺骗或者使用cookies进行进行CSRF攻击。
  • cookies不支持跨域(原因:因为当一个浏览器存在多个域名的cookie时,比如baidu.com和google.com两个cookies时,因为域名不同(一棒子打死的感觉,只要域名不同就不会携带),所以访问baidu时是不会携带google的cookies的,这样的话,当访问www.google.com和image.google.com时)虽然同属于google,但是因为域名不同,所以也是不能访问的,这显然是不符合我们预计的效果的,所以一般需要对跨域进行一个处理(domain)。
  • session因为是将会话信息保存在服务端,所以当存在大量用户的时候,对服务器的压力也是一方面的考验。
  • 同时当存在多个机器的时候,session的会话共享也是一个问题。比如用户登陆通过服务器A,然后发送请求时,用的是服务器B,那么如何知道这个用户。(Redis)

最低0.47元/天 解锁文章
N_a_n
关注
Nodejs中的JWTSession的使用
10-18
在 Node.js 中实现用户认证与授权是一项常见的需求,而 JWT(Json Web Tokens)和 Session 是两种主流的认证机制。 JWT 是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以 JSON ...
除了cookie,你还可以用jwt(json web token)!
weixin_34242509的博客
08-02 341
1. 认识jwt(json web token) jwt是为了在网络应用环境传递声明而执行的一种基于json的开放标准。 jwt被用来在身份提供者和服务提供者间传递被认证的用户身份信息,简单来说,就是用来验证身份的手段,例如登录校验,像我们之前用的cookiejwt可以使用HMAC算法或者是RSA的公私秘钥对来进行签名,来保证信息的可靠性。 2. 应用场景 在例如身份验证场景中,用户一旦登...
登录认证: 为什么要使用JWT去替代cookiesession技术
pingzhuyan的博客
06-29 1929
另外,Cookie的过期时间通常是长期的,这意味着用户的信息可能会一直被存储在本地,从而被滥用。扩展性问题:CookieSession是基于HTTP协议的,而随着Web技术的发展,HTTP协议已经无法满足一些需要实现的业务需求,如WebSockets等。跨域问题:如果用户在多个域名下使用同一个网站,Cookie在不同域名之间传递会遇到阻碍,导致用户在使用该网站时出现问题。三部分 JWT通常由三部分构成,分别为Header(头部),Payload(负载),Signature(签名)
JWT 没那么神秘,用它换掉 Session + Cookie 认证
最新发布
前端原创分享,常年坚持记录和分享,全网阅读量超百万
07-22 2584
本项目代码已开源,具体见。数据库初始化脚本:关注公众号,回复关键词“博客数据库脚本”,即可获取。
Fiddler抓包工具
cmjimmy的博客
11-27 520
Fiddler简介 b/s架构 (浏览器到服务器架构) http是 超文本协议. fiddler原理 Fiddler是位于客户端和服务器端的HTTP代理 因为ie 谷歌浏览器 他们默认就是读的系统代理. fiddler只要打开就会设置成代理. 通过ping域名可以得到主机ip地址. http http请求报文 请求方法 URL : 请求头 请求头是可以自定义的. http响应报文 状态码 响应头 ...
Cookie/JWT的区别和联系
weixin_43393670的博客
11-24 3405
Cookie/JWT的区别和联系 1、cookie 1.1、什么是cookiecookie是保存在用户浏览器端,用户名和密码等明文信息 1.2、cookie特点 HTTP 是无状态的协议(对于事务处理没有记忆能力,每次客户端和服务端会话完成时,服务端不会保存任何会话信息):每个请求都是完全独立的。所以服务器与浏览器为了进行会话跟踪(知道是谁在访问我),就必须主动的去维护一个状态,这个状态用于告知服务端前后两个请求是否来自同一浏览器。 HTTP Cookie(也叫 Web Cookie 或浏览器 C
CookieSession、Token、JWT.xmind
01-30
CookieSession、Token、JWT.xmind
JWT相关知识及Cookie, Session,Token和JWT的区别总结.pdf
05-31
总结来说,CookieSessionJWT都是处理身份验证和会话管理的方式,各有优劣。Cookie适合简单的Web应用,Session适用于需要服务器保持状态的场景,而JWT则在分布式系统和无状态认证中表现出色。理解它们之间的差异...
CookieSession和Token三者的区别及使用
11-13
### CookieSession与Token的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
网络安全-CookieJWT
Saki_Python的博客
02-19 1009
✊不积跬步,无以至千里;不积小流,无以成江海和都是的一部分,因此属于前端开发需要了解的基础知识。和都是用于在客户端存储数据并在 HTTP 请求中发送回服务器的技术。它们都用于和,但也有一些关键的区别。
cookiejwt解析
web$-小白
07-26 721
session 会在一定时间内保存在服务器上。访问增多会占用服务器的性能,若要减轻服务器性能问题,应使用 cookie。单个 cookie 保存的数据不能超过 4K,很多浏览器都限制一个站点最多保存 20 个 cookie。对于浏览器外的其他客户端(比如iOS、Android),必须手动的设置cookiesession;),并且是以key:value的形式进行表示的。cookie 数据存放在客户端浏览器上,session 数据放在服务器上。cookie 不是很安全,是明文传递的,所以存在安全性的问题;
sessioncookiejwt
qq_32037561的博客
08-04 249
session,cookie,jwt
session、token、cookieJWT的区别一定要懂
weixin_45709829的博客
04-07 5856
一、基本概念 1.1 认证 认证authentication,指的是验证访问者的身份 常见认证方法 用户名密码认证 短信验证码认证 邮箱验证码认证 扫码认证 人脸识别或者其他生物特征识别认证 1.2 授权 授权authorization,指的是用户通过身份认证后,能够访问指定的某些资源 常见授权模型—3种 ACL(Access Control List):ACL中包含用户、资源、资源操作三个关键内容。通过将资源以及资源操作授权给用户,使得用户具有操作某项资源的权限 RBAC(Role-Base
CookieSession,Token和Jwt详解
weixin_53952534的博客
01-25 900
cookiesession,token和jwt的区别和联系
JWT+cookie单点登录
Isonion的博客
09-01 484
Json web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
授权认证登录之 CookieSessionJWT 详解
zcf123456_的博客
07-15 682
第一次访问时,服务端会生成会话seesion对象并存储,对应一个sessionId,并通过http的响应头自动返回,值在Set-cookie里面,本质其实就是一个字符串,常见的令牌技术有很多,例如JWT、OTP、ORTOken、OAuth令牌等以JWT为例进行讲解。
CookieSession、令牌、JWT令牌技术
2301_77358195的博客
03-26 1344
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是CookieSession、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
CookieSessionJWT的详解
miaozy
04-10 1520
基本概念 认证(Authentication) 验证当前用户的身份 授权(Authorization) 用户授予第三方应用访问该用户资源的权限(session, cookie, token, OAuth) 凭证(Credentials) 实现认证和授权的媒介 由于 http 是无状态的协议,每个请求是独立的,服务端无法确认当前请求者的身份,因此为了实现服务器和浏览器的会话跟踪,就需要使用 c...
授权认证登录之 CookieSession、Token、JWT详解
qq_20236937的博客
03-06 1413
授权认证登录之 CookieSession、Token、JWT 详解
cookiesessionjwt
09-01
CookieSessionJWT都是用于在Web应用程序中存储和验证用户身份的机制。 Cookie是在服务器生成后发送给浏览器存储的一小段文本信息。它可以包含用户身份验证信息或其他需要在不同请求之间保持状态的数据。Cookie...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值