【Http 每日一问,访问服务端的鉴权Token放在header还是cookie更合适?】

最新推荐文章于 2024-10-09 21:15:11 发布
最新推荐文章于 2024-10-09 21:15:11 发布
阅读量737 收藏 10
点赞数 5
文章标签: http 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38428433/article/details/141979523
版权

结论先行:

  • token静态的,不变的,放在header里面。 典型场景 ,每次访问时需要带个静态token请求服务端,向服务端表明是谁请求,此时token也可以认为是个固定的access-key。
  • token动态的,会失效,放在cookie里面。 典型场景,业务登录态token,存在有效期的,过一段时间可能会失效。

下面具体展开下。

在选择将鉴权 Token 放在 HTTP Header 还是 Cookie 中时,需要考虑安全性、使用场景和具体需求。

将 Token 放在 HTTP Header 中

优点

  1. 安全性:通过 HTTPS 传输时,Header 中的 Token 不会暴露在 URL 中,减少了被窃取的风险。
  2. 灵活性:适用于跨域请求(CORS),因为可以在不同的域之间传递 Token。
  3. 标准化:通常使用 Authorization Header,符合 OAuth 2.0 等标准。

示例

curl -X POST https://company.com/user/v1/ \
     -H "Authorization: your_token"

将 Token 放在 Cookie 中

优点

  1. 自动管理:浏览器会自动管理 Cookie 的发送,对比Header ,无需手动设置。
  2. 生命周期:可以设置 Cookie 的过期时间,到期自动失效。

缺点

  1. 跨域限制:默认情况下,Cookie 不能跨域发送,可能需要额外配置。

示例

curl -X POST https://company.com/user/v1/ \ 
     --cookie "token=your_token"

小结:静态的,需要跨域的 放header里面, 动态的,有生命周期,到期失效或者需要端上失效的,放cookie里面。

wn531
关注
cookietoken 都存放在 header 中,为什么不会劫持 token
vue+element-ui 实现价格的输入限制
03-02 2532
cookie:登录后服务端生成的sessionid,并在http请求里返回到客户端,同时服务端保存sessionid,以后客户端的每次http请求都带上cookie(sessionid),服务端会获取cookie(sessionid)然后验证用户的身份。所以拿到cookie就拿到了sessionid,就可验证通过。同时浏览器会自动携带cookie; token:同样是登录后服务端返回一个token,客户端保存起来,在以后http请求里手动的加入到请求头里,服务端根据token 进行身份的校验。浏览器不会自动
服务端鉴权Token——node
起风了
11-08 945
Token鉴权原理 客户端使用用户名和密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个令牌(token),再把这个token发送给客户端 客户端收到token以后可以把它存储起来,如放在localStorage或Cookie中 客户端每次向服务端请求资源的时候都需要带着服务端签发的Token 服务端收到请求,然后去验证客户端请求里面带着的token,如果验证成功,就像客户端返回请求的数据 Koa实现Token鉴权 通过jsonwebtoken加签,koa-jwt验签 tok
token认证,说一下token放在cookie中吗?
qq_45715615的博客
03-25 3787
token认证流程 1.客户端使用用户名跟密码请求登录 2.服务端收到请求,去验证用户名与密码 3.验证成功后,服务端签发一个 token ,并把它发送给客户端 4.客户端接收 token 以后会把它存储起来,比如放在 cookie 里或者 localStorage 里 5.客户端每次发送请求时都需要带着服务端签发的 token(把 token 放到 HTTPHeader 里) 6.服务端收到请求后,需要验证请求里带有的 token ,如验证成功则返回对...
cookietoken 都存放在 header 中,为什么不会劫持 token?____tokencookie的区别
qq_43842093的博客
12-12 5285
cookietoken 都存放在 header 中,为什么不会劫持 tokencookie:登录后服务端生成的sessionid,并在http请求里返回到客户端,同时服务端保存sessionid,以后客户端的每次http请求都带上cookie(sessionid),服务端会获取cookie(sessionid)然后验证用户的身份。所以拿到cookie就拿到了sessionid,就可验证通过。同时浏览器会自动携带cookie; token:同样是登录后服务端返回一个token,客户端保存起来,在以后
登录鉴权方案中,session、tokencookie三者的区别及选择
Tec Log
08-16 3457
目前web常用的登录鉴权方案主要有3种,分别是session、tokencookie,每种方案都有其特定应用场景和局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念和基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录鉴权,不在本文讨论范围内。...
说一下token放在cookie中吗?
油墨香^-^的博客
10-14 2001
5. 客户端每次发送请求时都需要带着服务端签发的 token(把 token 放到 HTTPHeader 里)4. 客户端接收 token 以后会把它存储起来,比如放在 cookie 里或者 localStorage 里。6. 服务端收到请求后,需要验证请求里带有的 token ,如验证成功则返回对应的数据。能、不设置cookie有效期、重新登录重写cookie覆盖原来的cookie。3. 验证成功后,服务端签发一个 token ,并把它发送给客户端。token一般是用来判断用户是否登录的,
web鉴权access_token、AK/SK、session/cookie
酌沧
05-10 2353
JWT是一种开放标准(RFC 7519),用于在各方之间作为紧凑的、独立的方式传输声明。JWT 包含HeaderPayload和Signature三部分,通常是自包含的(包含所有的用户信息、权限等)。JWT 主要通过HMAC或RSA进行签名,用于验证 Token 的完整性和合法性。Access Token访问令牌)通常是一个字符串,作为访问受保护资源的凭证,生成于用户登录后。OAuth 2.0协议广泛使用 access_token 来授权和访问资源。本身可能只是一个标识符,通常由授权服务器签发。
Spring WebSocket 应用,鉴权token,多个页面访问同一个websocket
weixin_39263573的博客
08-10 7199
Spring WebSocket 应用,鉴权token 解决了1:建立连接成功后立即被关闭; 2:一个用户token下 多个页面访问同一个websocket不成功的
cookie、session、token鉴权用户身份的区别
weixin_55010007的博客
07-02 776
在早期交互式网页还未盛行的时候,我们进行网页浏览时,只需要拿到网页地址,就可以随意获取网页数据,对于用户而言,对于服务器而言都比较友好,但是也都比较单一。随着一些类似购物车,商城的网页出现之后,人们开始发现用户在访问网页时需要进行身份认证之后才能获取该用户特有的数据,这个时候就慢慢出现了我们现在的交互式网页。但是我们的http协议是无连接、无状态的,多个请求之间是没有关联的,独立的。那既然http协议是无状态的,我们又怎么区分用户身份呢?我们大家现在来想象一个场景:我们在访问某个网页时需要先进行登录,服务器
Session+Redis,Token+Redis,JWT+Redis,用户身份认证,到底选择哪种合适
Java程序员专栏
05-31 1200
在选择用户身份认证方案时,需要根据具体的应用场景和需求进行评估和选择。如果应用需要长时间保持用户登录状态,且对性能要求不是特别高,可以选择Session+Redis方案。如果应用需要频繁验证用户身份,且对性能要求较高,可以选择Token+Redis方案。如果应用是分布式系统或微服务架构,需要实现无状态的身份验证和授权,可以选择JWT+Redis方案。需要注意的是,以上方案并不是孤立的,可以根据实际情况进行组合和优化,以满足特定的业务需求。同时,无论选择哪种方案,都需要确保系统的安全性和稳定性。
Cookie & Session & Token
gc_charl的博客
05-29 833
Cookie & Session & Token Cookie: 理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。 而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。(例:用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了)
Web安全:登录、认证鉴权 —— 表单登录Cookie方式
锐意工作室
10-29 1693
文章目录Web安全:登录、认证鉴权 —— 表单登录Cookie方式前言表单登录Cookie方式什么是Cookie谁生成Cookie?谁存储Cookie?谁验证CookieCookie与Session的关系在浏览器中查看CookiesCookies的安全性Cookie内容的安全Cookie的传输的安全防止非法的访问Cookie防止Cookie的泄漏Cookies的隐私性Cookies的使用限制会话保持参考文档 Web安全:登录、认证鉴权 —— 表单登录Cookie方式 前言 本文描述了在PC端Web页面
cookie、session和Token的区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 461
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
模仿postman自研的HTTP Client Chrome插件,可绕过浏览器同源政策发起跨域请求
学无止境!
10-06 799
带着半信半疑的心态,首先我找到官方文档仔细阅读后,然后按照官方文档上的教程写了一个demo,运行后发现果然可以绕过浏览器同源政策发起跨域请求并自动携带cookie,基于这一核心能力自己也实现了一个模仿postman的HTTP Client chrome插件,既可以满足工作需要,又能提升自己的技术。综上所述,目前还没有一个十全十美的方法,于是我又调研了一下chrome插件(chrome扩展)是否有发起跨域请求的能力。第二步,打开扩展主窗口,输入框中填写请求信息,发起请求。对应的就是该窗口的html文件,
接口测试)day01接口测试理论 http理论 接口测试流程 接口文档解析
最新发布
2301_79144798的博客
10-09 429
接口:相当于开了一个通道 当服务器要给客户端响应数据的时候,还是会利用这个通道,将数据传递回去。上面的接口:提供数据的流入和流出。USB(文件通信协议)
网络协议 TCP、UDP 和 HTTP
m0_68570169的博客
09-27 2122
特性TCPUDP连接方式面向连接(三次握手)无连接可靠性可靠(确认、重传、校验、排序)不可靠(不确认、不重传、不排序)传输顺序保证顺序到达不保证顺序流量控制有无拥塞控制有无头部开销较大较小速度较慢(但可靠)较快(但不可靠)典型应用场景DNS、视频会议、在线游戏TCP和UDP各有优劣,选择使用哪种协议取决于具体的应用需求。如果需要数据可靠性和顺序性,TCP是好的选择;如果对传输速度和实时性要求高,且能容忍部分数据丢失,则UDP为适合。特性。
详情说明HTTP/2和HTTP/3两者间的区别
Licky13的博客
10-09 635
HTTP/3与HTTP/2是互联网协议的两个重要版本,它们在性能和设计上存在显著区别。 HTTP/3在传输方式、多路复用、首部压缩、连接管理以及性能与安全性方面相比HTTP/2都有显著的提升
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值