Cookie、Session、Token定义、优缺点、用途

最新推荐文章于 2023-03-17 13:28:25 发布
最新推荐文章于 2023-03-17 13:28:25 发布
阅读量485 收藏
点赞数 1
分类专栏: WEB项目 前端界面 java 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34182808/article/details/123295529
版权
java 同时被 3 个专栏收录
16 篇文章 1 订阅
订阅专栏
WEB项目
12 篇文章 12 订阅
订阅专栏
前端界面
9 篇文章 1 订阅
订阅专栏

Cookie、Session、Token定义、优缺点、用途

cookie(客户端)

作用

  • 会话状态管理
  • 个性化设置
  • 浏览器行为追踪

常用属性

  • domain 域
  • path 路径
  • expire-Time有效时间
  • http-only 使用限制

存在问题

  • 潜在的网络攻击

    • 跨站请求伪造 CSRF

      跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

      • 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

    • 浏览器会话劫持

  • 非HTTP明文

  • 网络负载高

  • 数据和容量限制

session(服务端)

定义

  • Session代表服务器与浏览器的一次会话过程

    Session机制将用户的所有活动信息、上下文信息、登录信息等都存储在服务端,只是生成一个唯一标识ID发送给客户端,后续的交互将没有重复的用户信息传输,取而代之的是唯一标识ID,暂且称之为Session-ID吧。

实现方式

  • cookie

  • URL重写

    • 将会话标识号以参数形式附加在超链接的URL地址后面的技术称为URL重写。

问题

  • 海量用户时巨大的存储压力

  • 分布式系统中信息的共享问题

    • 信息复制&重建资源浪费

    • 定向哈希高可用问题

    • 信息集群化分布式共享

      • 集群化¥代理化把信息管理起来实现共享

token

交互流程

在这里插入图片描述

定义

  • header

    • 记录加密算法信息,base64编码

  • payload

    • 记录用户及过期时间,base64编码

  • signature

    • 根据header中的加密算法和payload中的用户信息以及密钥key来生成,是服务端验证服务端的重要依据

  • 用CPU加解密的时间换取存储空间

优点

  • Token可以跨站共享,实现单点登录
  • Token机制无需太多存储空间
  • Token机制的安全性依赖于服务端加密算法和密钥的安全性
ONLY&YOU
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
安全的cookietoken机制
kekefen01的博客
12-16 1373
单独使用cookie或者token都是不够安全的。 单独使用token做验证:不够安全,只要XSS就被窃取token,黑客可以随意执行任何操作。 单独使用cookie做验证:遭遇csrf攻击 正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。 这样,哪怕被XSS得手,还得继续执行csrf攻击才能执行特定的操作。 ...
解决令牌token放在Cookie,被窃取的问题
dj1955的博客
09-06 6181
令牌token放在cookie中,有被窃取的可能,解决这个问题 1. 设置令牌存放Cookie的时间,过期时间不宜太久 2. 用户退出认证服务时,将Cookie的令牌信息删除 3. 前面两步并没有起到有效防止令牌被窃取,关键看这一步,用户每次请求,后端都获取用户的IP,对获取到用户真实的IP再进行一次MD5加密,然后与Jwt令牌封装了登录用户的经过MD5加密的IP比对,如果不一样,令牌没有被窃取,果断拦截;说明由于IP的唯一性,保证令牌的私有;打比方说,令牌比作钥匙,钥匙被人窃取了,他就能利用这把钥匙
sessiontoken 比较,各自的优缺点cookie进行存储
qq_43631129的博客
03-07 1324
sessiontoken 比较,各自的优缺点cookie进行存储
cookie,session,token优缺点
VIC1921507475的博客
02-10 2895
cookie 数据放在客户的浏览器上 优点: 1.减轻服务器性能方面,应当使用cookie。 缺点: 1.单个cookie保存的数据不能超过4K。 2.cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用sessionsession数据放在服务器上。 优点: 1.session较安全 缺点: 1.session在一定时间内保存在服务器上。当访问增多,比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。 2.s
剑指offer-网络安全(一)
jizhibing的博客
04-08 3352
1、什么是XSS攻击,如何避免? XSS攻击又称CSS,全称Cross Site Script(跨站脚本攻击),其原理是攻击者向有XSS漏洞的网站中输入恶意的HTML代码,当用户浏览该网站时,这段HTML代码自动执行,从而达到攻击的目的。XSS攻击类似于 SQL注入攻击,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。XSS是Web 程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式。X
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
SessionCookieToken的关系。以及Cookie的局限性
11-30
在Web开发中,SessionCookie...总结来说,SessionCookieToken都是用来处理用户身份验证和状态管理的重要工具,它们各有优缺点。理解它们之间的关系以及Cookie的局限性,有助于我们在实际开发中做出更合理的选择。
一文搞懂cookietoken和seesion区别、作用、优缺点
Knowledge_dai的博客
03-24 956
前言:无状态的 HTTP众所周知,HTTP 协议是无状态的。 状态指的是客户端和服务器在临时话中产生的数据 但是随着 web 应用的发展,越来越多的场景需要标识用户身份。例如:单点登陆、购物车等等。而 cookiesessiontoken,就是为了实现带有状态的“话控制”。 曾经我也傻傻搞不清他们的区别,只知道他们是为了解决 http 协议无状态的技术方案。这篇文章,阐述他们的概念、用途和区别,配合代码和场景加深理解。 1、Cookie 认识 Cookiecookie 是以 K-V 形式,存储在
如何保证token的安全性?
这天有点热的博客
07-12 6349
引入如何保证token的安全性?原文在连接中,这里只是防止丢失做的备份。 接口的安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。 时间戳超时机制: 用户每次请求都带上
token的传参方式
不是秋刀鱼的秋的博客
07-11 5593
token的传递方式分为参数传递和请求头(header)中传递两种 客户端发送请求(带有token),后台GateWay担任Security_OAuth2的资源服务器,对请求进行拦截,如下 springSecurityFilterChain 是springSecurity的filter @Bean SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { //认证处理器 ReactiveAuthentica
token暴露安全吗_你知道你对 JSON Web Token 的认识存在误解吗
weixin_39725650的博客
12-29 246
1.前言JSON Web Token (JWT) 其实目前已经广为软件开发者所熟知了,但是 JOSE (Javascript Object Signing and Encryption) 却鲜有人知道,我第一次知道它是在 Spring Security 的官方文档中,它改变了我对 JWT 的一些认识。目前国内能找到相关中文资料不是太多。所以我觉得有必要归纳一下。2. JOSE 概述JOSE 是一种...
API 开发中可选择传递 token 接口遇到的一个坑
weixin_34060299的博客
06-24 1091
在做 API 开发时,不可避免涉及到登录验证,我使用的是jwt-auth 在登录中经常遇到一个token过期的问题,在config/jwt.php默认设置中,这个过期时间是一个小时,不过为了安全也可以设置更小一点,我设置了为五分钟。 五分钟过期,如果就让用户去登录,这种体验让用户直接抛弃你的网站,所以这就使用到刷新token这个功能 正常情况下是写一个刷新token的接口,当过期的时候前...
WEB安全(十三)Token认证的优势与劣势
jinyangjie的博客
02-17 4463
一、优势 token 相对于 Cookie + Session 的优势,主要有下面四个: 1、无状态 token 自身包含了身份验证所需要的所有信息,使得我们的服务器不需要存储 Session 信息,这显然增加了系统的可用性和伸缩性,大大减轻了服务端的压力。 2、防止CSRF 攻击 CSRF(Cross Site Request Forgery) 一般被翻译为 跨站请求伪造,属于网络攻击领域范围。构成这个攻击的原因,就在于 Cookie + Session 的鉴权方式中,鉴权数据(cookie 中的 ses
彻底搞懂Cookiesessiontoken的区别和作用
m0_67513847的博客
10-05 2201
彻底搞懂Cookiesessiontoken的区别和作用
TokenSession 原理及优缺点
Future1994的博客
11-22 4568
转自:TokenSession 原理及优缺点 - 简书 SessionToken的区别 一、cookie http请求时无状态的。就是说第一次和服务器连接并登陆成功后,第二次请求服务器仍然不知道当前请求的用户。 cookie出现就是解决了这个问题,第一次登陆后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当用户第二次返回请求的时候,就把上次请求存储的cookie数据自动携带给服务器。 如果关闭浏览器cookie失效(cookie就是保存在内存中) 如果关闭浏览器cook
Token基本知识详解
weixin_65837469的博客
03-17 725
Token服务器生成的一串字符串,用此作为客户端进行请求的令牌,是一种验证用户身份的方式,通常是在用户登录后服务器端生成一个token,并将其返回给客户端,客户端在进行后续操作时需要携带此token服务器端验证token的有效性来确定用户身份。
cookie session token区别
最新发布
06-28
CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值