cookie和session和token

最新推荐文章于 2024-09-03 17:05:38 发布
最新推荐文章于 2024-09-03 17:05:38 发布
阅读量185 收藏
点赞数
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26327971/article/details/105046526
版权

文章目录

cookie

解决浏览器和服务器的识别问题:服务器不认识这是同一个用户
HTTP是无连接的,请求完毕之后,链接就断掉了,没有长久的数据通路。
HTTP 协议是无状态的,主要是为了让 HTTP 协议尽可能简单,使得它能够处理大量事务。HTTP/1.1 引入 Cookie 来保存状态信息。Cookie一定是字符串

Cookie就是在`下行HTTP响应的报文头中,添加set-cookie属性`,要求浏览器设置cookie.
浏览器每次都会在上行请求的报文头中,携带cookie上去,方法服务器对自己的识别

Cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器向同一服务器再次发起请求时被携带上,用于告知服务端两个请求是否来自同一浏览器。由于之后每次请求都会需要携带 Cookie 数据,因此会带来额外的性能开销(尤其是在移动环境下)

一唱一和
在php后台设置setcookie(“name”,“Ellie”),浏览器访问后,响应中会有
之后再次访问,请求会带上

login.php
用cookie做用户登录,不安全,因为cookie是明文传输
做登录要用session技术

Cookie做本地存储的问题
Cookie 曾一度用于客户端数据的存储
需要不断的通过HTTP请求,响应,在浏览器和服务器之间来回穿梭传递,不断Set-Cookie,携带cookie,效率比较低

新的浏览器 API 已经允许开发者直接将数据存储到本地,如使用 Web storage API(本地存储和会话存储)或 IndexedDB。

cookie,localStorage,sessionStorage,indexDB区别

特性cookielocalStoragesessionStorageindexDB
数据生命周期一般由服务器生成,可以设置过期时间除非被清理,否则一直存在页面关闭就清理除非被清理,否则一直存在
数据存储大小4K5M5M无限
与服务端通信每次都会携带在 header 中,对于请求性能影响不参与不参与不参与

从上表可以看到,cookie 已经不建议用于存储。如果没有大量数据存储需求的话,可以使用 localStoragesessionStorage 。对于不怎么改变的数据尽量使用 localStorage 存储,否则可以用 sessionStorage 存储。

  • 共享
    sessionStorage不能共享,localStorage在同源文档之间共享,cookie在同源且符合path规则的文档之间共享

对于 cookie,我们还需要注意安全性。

属性作用
value如果用于保存用户登录态,应该将该值加密,不能使用明文的用户标识
http-only不能通过 JS 访问 Cookie,减少 XSS 攻击
secure只能在协议为 HTTPS 的请求中携带
same-site规定浏览器不能在跨域请求中携带 Cookie,减少 CSRF 攻击
  1. 用途
    会话状态管理(如用户登录状态、购物车、游戏分数或其它需要记录的信息)
    个性化设置(如用户自定义设置、主题等)
    浏览器行为跟踪(如跟踪分析用户行为等)
  2. 创建过程
    服务器发送的响应报文包含 Set-Cookie 首部字段,客户端得到响应报文后把 Cookie 内容保存到浏览器中。
HTTP/1.0 200 OK
Content-type: text/html
Set-Cookie: yummy_cookie=choco
Set-Cookie: tasty_cookie=strawberry
[page content]

客户端之后对同一个服务器发送请求时,会从浏览器中取出 Cookie 信息并通过 Cookie 请求首部字段发送给服务器。

GET /sample_page.html HTTP/1.1
Host: www.example.org
Cookie: yummy_cookie=choco; tasty_cookie=strawberry
  1. 分类
    会话期 Cookie:浏览器关闭之后它会被自动删除,也就是说它仅在会话期内有效。
    持久性 Cookie:指定过期时间(Expires)或有效期(max-age)之后就成为了持久性的 Cookie。
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT;
  1. 作用域
    Domain 标识指定了哪些主机可以接受Cookie。如果不指定,默认为当前文档的主机(不包含子域名)。如果指定了 Domain,则一般包含子域名。例如,如果设置Domain=mozilla.org,则 Cookie 也包含在子域名中(如
    developer.mozilla.org)。
    Path 标识指定了主机下的哪些路径可以接受 Cookie(该 URL 路径必须存在于请求 URL 中)。以字符 %x2F ("/") 作为路径分隔符,子路径也会被匹配。例如,设置 Path=/docs,则以下地址都会匹配:
/docs
/docs/Web/
/docs/Web/HTTP
  1. JavaScript
    浏览器通过 document.cookie 属性可创建新的 Cookie,也可通过该属性访问非 HttpOnly 标记的 Cookie
document.cookie = "yummy_cookie=choco";
document.cookie = "tasty_cookie=strawberry";
console.log(document.cookie)
  1. HttpOnly
    标记为 HttpOnly 的 Cookie 不能被 JavaScript 脚本调用 。跨站脚本攻击 (XSS) 常常使用 JavaScript 的document.cookie API 窃取用户的 Cookie 信息,因此使用 HttpOnly 标记可以在一定程度上避免 XSS 攻击。
Set-Cookie: id=a3fWa; Expires=Wed, 21 Oct 2015 07:28:00 GMT; Secure; HttpOnly
  1. Secure
    标记为 Secure 的 Cookie 只能通过被 HTTPS 协议加密过的请求发送给服务端。但即便设置了 Secure 标记,敏感信息也不应该通过 Cookie 传输,因为 Cookie 有其固有的不安全性,Secure 标记也无法提供确实的安全保障。
  2. Chrome 51 开始,浏览器的 Cookie 新增加了一个SameSite属性,用来防止 CSRF 攻击和用户追踪。

SameSite属性可以设置三个值:Strict,Lax,None

  • Strict最为严格,完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。
Set-Cookie: CookieName=CookieValue; SameSite=Strict;

这个规则过于严格,可能造成非常不好的用户体验。比如,当前网页有一个 GitHub 链接,用户点击跳转就不会带有 GitHub 的 Cookie,跳转过去总是未登陆状态。

  • Lax
    Lax规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。
Set-Cookie: CookieName=CookieValue; SameSite=Lax;

导航到目标网址的 GET 请求,只包括三种情况:链接,预加载请求,GET 表单。在这里插入图片描述
设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。

  • None
    Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。

下面的设置无效。

Set-Cookie: widget_session=abc123; SameSite=None

下面的设置有效。

Set-Cookie: widget_session=abc123; SameSite=None; Secure

Session

session就是密文的cookie,是随机乱码的
浏览器和服务器之间的唯一的识别因素,就是这串乱码。
服务器确实耗费了一定的内存,需要存储每个用户的映射信息。

除了可以将用户信息通过 Cookie 存储在用户浏览器中,也可以利用 Session 存储在服务器端,存储在服务器端的信息更加安全
Session 可以存储在服务器上的文件、数据库或者内存中。也可以将 Session 存储在 Redis 这种内存型数据库中,效率会更高。

使用 Session 维护用户登录状态的过程如下:

  1. 用户进行登录时,用户提交包含用户名和密码的表单,放入 HTTP 请求报文中;
  2. 服务器验证该用户名和密码,如果正确则把用户信息存储到 Redis 中,它在 Redis 中的 Key 称为 Session ID;
  3. 服务器返回的响应报文的 Set-Cookie 首部字段包含了这个 Session ID,客户端收到响应报文之后将该 Cookie值存入浏览器中;
  4. 客户端之后对同一个服务器进行请求时会包含该 Cookie 值,服务器收到之后提取出 Session ID,从 Redis 中取出用户信息,继续之前的业务操作。

应该注意 Session ID 的安全性问题,不能让它被恶意攻击者轻易获取,那么就不能产生一个容易被猜到的 SessionID 值。
此外,还需要经常重新生成 Session ID。在对安全性要求极高的场景下,例如转账等操作,除了使用 Session管理用户状态之外,还需要对用户进行重新验证,比如重新输入密码,或者使用短信验证码等方式。

浏览器禁用 Cookie
此时无法使用 Cookie 来保存用户信息,只能使用 Session。除此之外,不能再将 Session ID 存放到 Cookie 中,而是使用 URL 重写技术,将 Session ID 作为 URL 的参数进行传递。

对比

Cookie和Session都是客户端与服务器之间保持状态的解决方案。
具体来说,cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案

Session 与 Cookie 的对比

  • 实现机制:Session的实现常常依赖于Cookie机制,通过Cookie机制回传SessionID;

  • 大小限制:Cookie有大小限制并且浏览器对每个站点也有cookie的个数限制,Session没有大小限制,理论上只与服务器的内存大小有关;

  • 安全性:Cookie存在安全隐患,通过拦截或本地文件找到cookie后可以进行攻击,而Session由于保存在服务器端,相对更加安全;

  • 服务器资源消耗:Session是保存在服务器端上会存在一段时间才会消失,如果session过多会增加服务器的压力。

Cookie 与 Session 选择

  • Cookie 只能存储 ASCII 码字符串,而 Session 则可以存储任何类型的数据,因此在考虑数据复杂性时首选Session;
  • Cookie 存储在浏览器中,容易被恶意查看。如果非要将一些隐私数据存在 Cookie 中,可以将 Cookie 值进行加密,然后在服务器进行解密;
  • 对于大型网站,如果用户所有的信息都存储在 Session 中,那么开销是非常大的,因此不建议将所有的用户信息都存储到 Session 中。

token

token是一个加密的字符串,里面有个人的身份信息,设备信息等(操作系统版本,浏览器版本,IP地址,用户名,手机号)

服务器掌握信息的算法,浏览器掌握信息本身

token比session差在哪里:
token不能判断用户是谁,只能知道用户是不是合法登陆的

掌握

Cookie 有哪些字段

ellieokokok
关注
专栏目录
登录验证两种方案:tokencookie以及对比
EmotionComputer
08-13 451
HTTP无状态,每次请求都要携带cookie,以帮助识别用户身份;服务端也可以向客户端set-cookiecookie大小限制为4kb;
cookiesessiontoken详解和区别
Hiro18的博客
09-27 6204
帮你存储一些在交互过程临时产生的数据当你打开浏览器,访问一个网站,认为会话开始了,当你关闭浏览器的时候,会话结束了接下来先详细介绍cookiesessiontoken,当你充分了解他们之后,就会发现他们的区别。
tokencookie是什么
zjp的博客
08-01 213
推荐一篇关于tokencookie的博客,写的比较详细,关键是小白入门很好理解。 链接: https://www.cnblogs.com/moyand/p/9047978.html. 如有侵权,请联系删除!
HTTP、SessionTokenCookie详解
最新发布
print_helloword的博客
09-03 975
HTTP是Web通信的基础协议,本身无状态。Cookie是一种在客户端和服务器之间传递状态信息的小型文本文件,广泛用于会话管理、个性化设置和跟踪分析。Session通过在服务器端维护用户状态,利用Cookie来传递Session ID,解决了HTTP无状态的问题。Token提供了一种无状态的认证方式,适用于分布式系统和无状态服务。在Web开发中,CookieSessionToken经常结合使用,各自发挥不同的作用。
sessiontokencookie
shuangrenlong的博客
12-30 206
彻底理解cookiesessiontokencookiesessiontoken有啥区别?https://mp.weixin.qq.com/s?__biz=MzAxMTg2MjA2OA==&mid=2649844338&idx=1&sn=864a2368c134e3f70766dbd99e66700c&chksm=83bf6329b4c8ea3fad2b57093a7e606b8a0efb870ff076e6583b90fc6335ea4df9f9387266cc#r
session tokencookie
dickzhu的专栏
06-21 231
[quote] session token https://blog.csdn.net/diyu122222/article/details/73277110 cookie token https://blog.csdn.net/tiger0709/article/details/78095216 [/quote]
tokencookiesession详细讲解
weixin_38386235的博客
04-17 152
Cookie Cookie总是保存在客户端中,按在客户端中的存储位置,可分为内存Cookie和硬盘Cookie。 内存Cookie由浏览器维护,保存在内存中,浏览器关闭后就消失了,其存在时间是短暂的。硬盘Cookie保存在硬盘里,有一个过期时间,除非用户手工清理或到了过期时间,硬盘Cookie不会被删除,其存在时间是长期的。所以,按存在时间,可分为非持久Cookie和持久Cookie。 cooki...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
TokenCookie 以及Session 的区分
ygz62的博客
07-29 1026
Token 一、我们先解释一下他的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 3、使用Token
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
cookiesessiontoken
简介不重要
07-02 181
无论是cookiesession还是token,它们都是为了提高用户体验而产生的技术,都是为了保存用户登录状态与服务端建立会话。最早期先有cookie,因为保存在客户端不安全,所以有了保存在服务端的session,又因为服务器的空间存储问题(seesion保存在服务器的内存或磁盘文件中)所以又有了保存在客户端的Token。 为什么用它们? 早期访问网站的时候不会记录用户的登录信息,当我们再次...
Tokencookie有什么区别?网络安全网络协议学习
oldboysecurity的博客
03-10 343
Tokencookie有什么区别?Tokencookie有何不同?Token有什么特点?Tokencookie都是网络协议相关知识点,网络安全工程师需要了解的基本内容。要成为优秀的网络安全工程师,需要掌握扎实的网络安全技能。随着网络安全市场需求的增加,学习网络安全技能的人们越来越多,网络安全越来越受欢迎。Tokencookie有什么区别?Token有什么特点? Tokencookie有什么区别? tokencookie一样都是首次登陆时,由服务器下发,都是当交互时进行验证的功能,作用都是为无状态
CookieToken的区别详解
深耕嵌入式领用多年, 致力于分享嵌入式领域技术!
11-02 523
CookieToken的区别详解
CookieToken 的区别?
a2986467829的博客
06-27 6892
说到 cookietoken 应该没有人不知道的吧,而如果说让大家说出 cookietoken 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关的基础知识,给自己充充电吧!!!!Cookie ...
http、sessiontokencookie
qq_37805900的博客
09-10 330
文章目录参考资料httpsessioncookiesessionIdsession的应用场景统计在线人数统计登录人数(考虑后登挤掉前登) 参考资料 优秀的同质博客 http http是无连接的(减少对于资源的占用和消耗,这是很显然的,一般来讲用户很少会不断发送请求,大部分时间都不会占有Server资源才对)--------------一次连接的生命周期只存在于一次请求和响应周期; http kee...
cookietoken的区别
Floatwor青舟的博客
03-28 988
目录首先看看cookiesession的用途What is TokenTokensession+cookie的区别 cookiesession都是会话保持技术的解决方案,随着技术的发展,token机制出现在了我们面前,有木有人傻傻分不清,我就是0.0。记录一下,Salute! 首先看看cookiesession的用途 要知道我们访问网站都是通过HTTP协议或HTTPS协议来完成的,HTTP协议它本身是无状态的协议(即:服务器无法分辨哪些请求是来源于同个客户)。而业务层面会涉及到客户端与服务器端的交互
cookietoken的理解
weixin_43675871的博客
11-13 979
cookietoken的理解 HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie 数据需要客户端和服务器同时存储 用户进行操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 基于cookie的验证是有状态的,就是说验证或者会话信息必须同时在客户端和服务端保存。这个...
cookieSessiontoken
u010550534的专栏
04-03 645
今天来说下cookieSessiontoken 大家在学习HTTP协议的时候,都看到说HTTP协议是无状态的,无状态是什么意思呢,就是一次请求、响应和下一次请求、响应是没有联系的,服务器不知道上下文关系 所以产生了cookie这个概念,cookie就是浏览器(客户端)向服务器发送请求时会携带的一个东西,这样服务器就会识别客户端的身份了,cookie是怎么产生的呢,是服务器产生cookie
cookiesessiontoken详解
03-17
CookieSession都是在Web应用中用来跟踪用户状态的技术。Cookie是在用户的浏览器上存储的小型文本文件,而... Token 可以用来代替传统的 SessionCookie,因为它可以在不同的系统之间共享,而且不容易被窃取。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值