cookie和session和token的区别

已于 2023-07-06 16:13:55 修改
阅读量6.2k 收藏 49
点赞数 8
分类专栏: js 文章标签: http html5
于 2021-05-09 19:26:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36262295/article/details/116565331
版权

cookie的由来

由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。
怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带
自己通行证。这样服务器就能从通行证上确认客户身份了

cookie指的就是在浏览器里面存储的一种数据,仅仅是浏览器实现的一种数据
存储功能。cookie的保存时间,可以自己在程序中设置。如果没有设置保存时
间,应该是一关闭浏览器,cookie就自动消失。

Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录
该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器
会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该
Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务
器还可以根据需要修改Cookie的内容。



Cookie会根据从服务器端发送的响应报文内的一个叫做Set-Cookie的首部字段信息,
通知客户端保存Cookie。在同源策略下当浏览器再请求服务器时,
浏览器把请求的网址连同该Cookie一同提交给服务器。
服务器通过检查Cookie来获取用户状态。
Cookie一般是被浏览器以txt纯文本的形式存储在电脑硬盘中

session

Session是另一种记录客户状态的机制,不同的是Cookie
保存在客户端浏览器中,而Session保存在服务器上

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,
那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份

session有一个缺陷:如果web服务器做了负载均衡
那么下一个操作请求到了另一台服务器的时候session会丢失。

Session的使用比Cookie方便,但是过多的Session存储在服务器内存中,
会对服务器造成压力。

Cookie与Session的区别和联系

1、 cookie数据存放在客户的浏览器上,session数据放在服务器上
2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行
	 COOKIE欺骗,考虑到安全应当使用session
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。
	考虑到减轻服务器性能方面,应当使用COOKIE
4、单个cookie在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能超过3K	 

Cookie和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客
户端的cookie有依赖关系的,上面我讲到服务端执行session机制时候会生成session
的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部
发送给服务端,而这个id值在客户端会保存下来,保存的容器就是cookie,因此当我们完
全禁掉浏览器的cookie的时候,服务端的session也会不能正常使用。

token

在大多数使用Web API的互联网公司中,tokens 是多用户下处理认证的最佳方式

以下几点特性会让你在程序中使用基于Token的身份验证

1.无状态、可扩展

2.支持移动设备

3.跨程序调用

4.安全

项目中使用token总结

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。

1.前端使用用户名跟密码请求首次登录

2.后服务端收到请求,去验证用户名与密码是否正确

3.验证成功后,服务端会根据用户id、用户名、定义好的秘钥、
	过期时间生成一个 Token,再把这个 Token 发送给前端

4.前端收到 返回的Token ,把它存储起来,比如放在 Cookie 里或者 Local Storage 里

5.前端每次路由跳转,判断 localStroage 有无 token ,没有则跳转到登录页。
	有则请求获取用户信息,改变登录状态
	
6.前端每次向服务端请求资源的时候需要在请求头里携带服务端签发的Token

7.服务端收到请求,然后去验证前端请求里面带着的 Token。没有或者 token 过期,
	返回401。如果验证成功,就向前端返回请求的数据。

8.前端得到 401 状态码,重定向到登录页面。

token的起源

基于服务器的验证
我们都是知道HTTP协议是无状态的,这种无状态意味着程序需要验证每一次请求,
从而辨别客户端的身份。

在这之前,程序都是通过在服务端存储的登录信息来辨别请求的
。这种方式一般都是通过存储Session来完成。

基于服务器验证方式暴露的一些问题
1.Seesion:每次认证用户发起请求时,服务器需要去创建一个记录来存储信息。
当越来越多的用户发请求时,内存的开销也会不断增加。

2.可扩展性:在服务端的内存中使用Seesion存储登录信息,伴随而来的是可扩展性问题。

3.CORS(跨域资源共享):当我们需要让数据跨多台移动设备上使用时,跨域资源的共享会
是一个让人头疼的问题。在使用Ajax抓取另一个域的资源,就可以会出现禁止请求的情况。

4.CSRF(跨站请求伪造):用户在访问银行网站时,他们很容易受到跨站请求伪造的攻击,
并且能够被利用其访问其他的网站。

点击进入原网址查看详细介绍

更高级更专业的Authing

Authing 在云上为企业和开发者提供专业的身份认证和授权服务。
专业的点下面链接看,包含
SSO auth auth2.0 jwt 扫码登录等…

https://docs.authing.cn/v2/concepts/jwt-token.html
Authing官网链接

带脑子的CV工程师
关注
  • 8
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
cookie,session,token区别(简单易懂)
weixin_43714543的博客
03-28 1250
cookie,session,token区别(简单易懂) cookie 浏览器与服务器进行会话时,产生一种本地存储技术 session Session其实是利用Cookie进行信息处理的,当用户首先进行了请求后,服务端就在用户浏览器上创建了一个Cookie,当这个Session结束时,其实就是意味着这个Cookie就过期了。 cookiesession的共同之处在于: cookiesession都是用来跟踪浏览器用户身份的会话方式。 cookiesession区别是: cookie数据
sessioncookietoken区别
热门推荐
weixin_42099386的博客
02-16 3万+
下面详细介绍一下sessioncookietoken区别,详细如下: 1.sessioncookie区别: ·数据存放位置不同:Session数据是存在服务器中的,cookie数据存放在浏览器当中。 ·安全程度不同:cookie放在服务器中不是很安全,session放在服务器中,相对安全。 ·性能使用程度不同:session放在服务器上,访问增多会占用服务器的性能;考虑到减轻服务器性能方面,应使用cookie
Token,CookieSession三者的区别
最新发布
winkexin的博客
05-12 4682
在做各种接口测试时,经常会碰到请求参数为token的类型,但是可能大部分测试人员对tokencookiesession区别还是一知半解。
sessioncookietoken区别
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
SessionCookie
一点思考
12-31 424
转载自: https://blog.csdn.net/IT_zhang81/article/details/81776956 1.为什么要有cookie/session? 在客户端浏览器向服务器发送请求,服务器做出响应之后,二者便会断开连接(一次会话结束)。那么下次用户再来请求服务器,服务器没有任何办法去识别此用户是谁。比如web系统常用的用户登录功能,如果没有cookie机制支持,那么只能通过查...
TokenSessionCookie区别
weixin_65837469的博客
03-17 575
总之,CookieSession通常用于Web应用程序中,而Token通常用于API和移动应用程序中,CookieSession适用于简单的Web应用程序,而Token适用于复杂的API和移动应用程序。Token具有更高的安全性和更灵活的有效期,但需要更多的开发工作。在用户首次访问应用时,服务端会为用户创建一个Session,然后将Session ID返回给客户端,客户端在后续的请求中都需要带上该Session ID,服务端通过Session ID来识别用户并维护其登录状态。Session的优点。
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证和会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
#软件测试面试之接口测试#
weixin_63089870的博客
04-19 177
http的连接很简单,是无状态的;同样是因为get请求的参数放在url里边,所以安全性是比较差的,post的请求参数放在body里边,所以安全性就相对于好一点。get请求参数因为被放到url里边,url的长度是受限的,它最大就是2048个字符,而Post的长度的是没有限制的。参数必填校验,参数长度校验,参数数据类型校验,参数数据有效值校验,参数数据默认值校验参数与参数组合数据校验。httphttps使用的是完全不同的链接方式,用的端口也不一样,前者是80,后者是443。session服务器缓存技术;
简述一下cookiesession以及token区别
mengluzhixing的专栏
03-15 2021
安全性上在每次请求接口时需要带上token参数,cookie不安全,别人可以分析存在本地的cookie并进行cookie欺骗,考虑到安全应当使用session 可以将登录信息等重要信息存放为session,其他信息可以保存在cookiecookie数据存放在客户的浏览器上、session数据放在服务器内存上、token存储在服务器数据库上。token是接口测试时鉴权码,其实也就是一个字符串,一般情况下登陆后才可以获取到token,相同都是用来签权服务器的,不同的是主要是存储位置和存储容量。
一文助你快速理解Cookie,Session,Token区别
沫沫1890S的博客
12-17 1763
本文详细描述了Cookie,Session,Token的定义、鉴权原理和区别cookie是由Web服务器保存在用户浏览器上的一小段文本,格式:key=value,包含用户相关的信息。session是依赖Cookie实现的,session是服务器端对象,是浏览器和服务器会话过程中,服务器分配的一块储存空间。服务器默认为浏览器在cookie中设置 sessionid,浏览器在向服务器请求过程中传输 cookie 包含 sessionid ,服务器根据 sessionid 获取出会话中存储的信息,确定身份信息。
cookiesessiontoken区别
XuXin_971222的博客
06-28 3444
cookiesessiontoken区别
Cookiesessiontoken区别tokensession对比选型)
西京刀客
08-28 1万+
分清楚JWT,JWS与JWE 一篇文章带你分清楚JWT,JWS与JWE 参考URL: https://blog.csdn.net/weixin_37569048/article/details/86677165
CookieSessionToken三者的区别
qq_61991235的博客
02-11 4324
CookieSessionToken三者的区别
sessioncookietoken区别及联系
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
01-05 799
session session的中文翻译是“会话”,当用户打开某个web应用时,便与web服务器产生一次session。服务器使用session把用户的信息临时保存在了服务器上,用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全,可是session有一个缺陷:如果web服务器做了负载均衡,那么下一个操作请求到了另一台服务器的时候session会丢失。 cookie...
看完这篇 SessionCookieToken,和面试官扯皮就没问题了
weixin_48675073的博客
10-19 1257
CookieSession 开奖之前给大家一个福利 送java架构鼠标垫 免费领取 要的可以+V HTTP 协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录;SessionCookie 的主要目的就是为了弥补 HTTP 的无状态特性。 Session 是什么 客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,存储结构为 ConcurrentHashMap。Ses...
cookiesessiontoken区别
04-10
cookiesessiontoken是不同的概念。 cookie是由网站将数据存储在用户浏览器中的一种机制,它用于跟踪用户的活动和身份验证等方面。 session是由服务器创建的会话,用于在用户与网站交互时存储数据和状态。服务器可以在用户的浏览器中使用cookie来跟踪此会话。 token是一种用于验证身份和授权访问的令牌,通常用于Web API和移动应用程序等领域。它可以通过不同的方式生成和验证,如JWT(JSON Web Token)。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值