Cookie、Session、Token鉴权学习笔记

已于 2023-05-17 15:56:20 修改
阅读量220 收藏
点赞数
文章标签: 学习 笔记 服务器
于 2023-05-16 16:36:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38801465/article/details/130706190
版权

 http是无状态协议,每次访问服务器,服务器都不知道上次也是你来访问

为了保持用户登录,使得每次登录不需要再次输入用户名、密码,用户每次登录时将登录信息放在http协议里发送给服务器,使用cookie解决

客户端向服务器发送http请求,服务器设置cookie的键值对(set-cookie),返回给客户端

此后每次客户端登录时发送请求都会带上cookie的键值对(但是这样不安全) ,这样就可以不用再输入密码,保持登录状态

但是打开浏览器可以看到保存了浏览器里哪些cookie,所以把用户名和密码这样放在cookie里不安全

所以有了session会话:

浏览器登录时,输入并发送用户名、密码给服务器,服务器创建SessionId(无规则字符串)和会话结束时间+其他参数,设置cookie并把他们加入到cookie中发送给浏览器,再把会话结束时间设置为这个cookie的有效期,浏览器拿到cookie后进行保存,浏览器没有保存用户名、密码,保存的是无规则的sessionid,服务器发送cookie之前,会对这个含有sessionid的cookie进行签名,故有人改了sessionid,服务器会不认识

用户每次请求,都会自动发送cookie到对应的服务器那里,直至失效

cookie失效之后,用户需要重新输入用户名、密码

如果sessionid过多,多个服务器又需要共享,占内存空间;如果存在数据库,数据库崩溃了又没法用,所以有了token,token由服务器产生,但存在客户端

用户输入用户名发送请求,服务器生成jwt(但不保存),只保存jwt签名密文,发送给浏览器,浏览器以cookie或storage的形式存储;之后用户每次请求都会携带jwt发送给服务器,不用重复输入用户名、密码

关于cookie、session、token的一些理解:

cookie:

cookie的身份认证: 用户发送请求之后,服务器获取请求中的用户名和密码,判断和数据库的数据是否一致,如果数据一致,就回写用户名和密码的cookie到浏览器,跳转到主页。如果数据不一致就响应用户或密码错误。

cookie的保持登录状态: 浏览器请求其他网页时,服务器判断是否有cookie数据,如果有就证明用户是在线的,去拿数据库数据显示到页面。如果没有,那么证明用户不在线,需要重新登陆。

session:

session的身份认证: 用户请求后,服务器获取用户数据和数据库数据判断,如果数据相同就开辟sessoon,并将数据存入session域,回写sessionID,跳转到主页。如果不相同,就响应用户和密码错误。

session的保持登陆状态: 浏览器访问其他页面,判断sessionID是否一致,如果id一致就证明用户是在线的,去获取session域里的数据再去拿数据库数据,将数据显示到页面上。如果id不一致,用户并不在线,需要重新登录。

token:

token是服务器加密的用户信息,服务器将token发给浏览器,浏览器用cookie或storage保存token。然后浏览器每次发送请求就带上token,服务器使用密钥将其解密并确认用户登录。

session诞生于服务器,存与服务器,用服务器主导一切;
cookie是一种数据载体,把session放入cookie中存到客户端,每次浏览器发送请求就会带上cookie的数据,cookie跟随每个http请求发送出去
token诞生在服务器,保存在浏览器,服务器将token发给浏览器,浏览器用cookie或storage保存token。然后浏览器每次发送请求就带上token,服务器将其解密并确认用户登录。

自己理解:

cookie:

用户输入用户名、密码发送请求给服务器,服务器设置cookie键值对,其中保存用户名、密码,并保存用户命、密码至数据库——之后用户每次http请求,都会带上cookie(cookie中有用户名、密码),服务器收到后,拿它们和数据库中的对比,成功了则验证通过

session:

用户输入用户名、密码发送请求给服务器,服务器将用户名、密码保存至数据库,并生成sessionid和会话有效时间等信息,将这些信息设置保存在cookie键值对中,会话有效时间置为cookie生存时间,再发送给浏览器——之后用户每次请求,都会带上sessionid等信息,服务器收到后,和数据库对比验证,通过则登录

token:

用户输入用户名、密码发送请求给服务器,服务器不保存用户的信息,只保存一个对应这些信息的jwt签名密文(密钥),并将jwt(jwt中包含用户名、等信息)发送给浏览器,以cookie或storage存储为token——之后用户每次请求,会自动发送cookie(其中含有token),服务器使用密码(密钥)解密token,解密后拿出加密的数据

jwt由三部分组成,header声明用何种算法生成签名,payload保存数据,signature包含签名信息

header和payload使用base64编码(不是加密),服务器保存一段密码,这个密码要结合这两段编码进行header声明的算法进行算法运算,生成签名信息

参考视频:Cookie、Session、Token究竟区别在哪?如何进行身份认证,保持用户登录状态?_哔哩哔哩_bilibili

清风南归
关注
学习笔记CookieSessionToken
qq_24209587的博客
11-10 279
什么是Cookie?它是拿来干嘛的? Cookie是用来跟踪浏览器用户身份的会话方式,为啥要用Cookie来跟踪呢?因为http协议是无状态的。Cookie是某些网站为了辨别用户身份而储存在用户本地终端的数据,即Cookie放在客户端。那么Cookie里到底存放了什么呢?可以用它来存放SessionID或Token。我的天,那SessionID和Token又是什么玩意?存放它俩有啥用?不急,接下...
Cookie,Session,Token【Codewhy NodeJS学习笔记
wanghuan1020的博客
06-08 598
Cookie,Session,Token【Codewhy NodeJS学习笔记】为什么需要登录凭证?认识 cookie认识 session认识 tokenJWT 实现 Token 机制 为什么需要登录凭证? web 开发中,我们使用最多的协议是 http,但是 http 是一个无状态的协议 什么是无状态的协议? 举个例子: 我们登录了一个网站 www.coderhub.com 登录的时候我们需要输入用户名密码:比如用户名coderwhy,密码:Coderwhy666 登陆成功之后,我们 要以 c
Cookie
cxyYeChen的博客
04-01 1050
文章目录Cookie概念快速入门Cookie的特点和作用案例(十天内免登陆) Cookie 概念 Cookie是客户端会话技术,将数据保存到客户端。默认情况下:只要浏览器不关闭,用户再次发送请求的时候,会自动将运行内存中的cookie发送给服务器cookie保存方式 可以保存在运行内存中。(浏览器只要关闭cookie就消失了。) 可以保存在客户端硬盘文件中。(设置保存时间) 快速入门 使用步骤: 创建Cookie对象,绑定数据 new Cookie(String name, Strin
Shiro重构:整合tokencookie实现登陆及验证
July_whj
10-16 4545
Shiro重构:整合tokencookie实现登陆及验证 认证服务开始只支持PC端的cookie认证方式,因业务需要,要对小程序、H5、App等移动端设备进行认证,这里复用认证服务。由于小程序不支持cookie认证方式,采用token认证方式,这里对认证服务进行重构。认证服务主要是有Shiro框架研发,我们简单熟悉下Cookie的认证流程。 Shiro的cookie认证流程我们简单说明下, shiro是在其默认的会话管理器DefaultWebSessionManager中获取请求携带过来的cooki
CookieSession 详解 及实现用户登陆功能
qq_56444564的博客
02-02 3879
sessionId 是由服务器生成的一个 "唯一性字符串", 从 session 机制的角度来看, 这个唯一性字符串称为 "sessionId". 但是站在整个登录流程中看待, 也可以把这个唯一性字符串称为 "token".sessionId 和 token 就可以理解成是同一个东西的不同叫法(不同视角的叫法)服务器同一时刻收到的请求是很多的. 服务器需要清除的区分清楚每个请求是从属于哪个用户, 就需要在服务器这边记录每个用户令牌以及用户的信息的对应关系.浏览器提供的在客户端存储数据的一种机制。
用户鉴权的三种方式,CookieCookie+SessionToken
Vgbire的博客
05-03 3542
      一个网站用户对动态的评论、置顶等等操作,服务器都需要对客户端验证是否有用户登录,如果无用户登录则提示用户跳转到登录页面进行登录。       但是HTTP协议是无状态,一次请求对应一个响应,后续的系统操作,需要重新请求服务器。也就是说服务器无法识别客户端请求属于哪个用......
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2905
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSessionToken三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSessionToken鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
同源、跨域、cookie\seesion\token学习笔记
不想当脚本小子的脚本小子
01-22 516
同源:如果两个页面的协议(如https和http),端口(如80和80)和域名都相同,则两个页面具有相同的源。——一种安全机制。 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。所以xyz.com下的js脚本采用ajax读取abc.com里面的文件数据是会被拒绝的。同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。如防止CSRF 如果非同源,就会有三种行为受到限制: 1) Cookie、L
学习笔记 | cookiesession、三种保持登陆会话的方式
大虎牙的博客
08-08 1879
cookiesession 的区别: cookie数据存放在客户的浏览器上,session数据放在服务器上。 cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用sessionsession会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用COOKIE。 单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。 三种保持会话的方式 (一)session机制保持
学习笔记 -- sessiontoken的区别
weixin_44713668的博客
05-05 518
sessiontoken的区别 1. session 1.1 session的登录过程 从post请求中获得用户数据。 从数据库中验证用户数据的正确与否。 验证成功则写入session数据 将sessionId返回并写入客户端作为cookie保存。 1.2 session的缺点 服务器压力较大 服务器将创建的session保存在服务器内存中,当用户数量增加时,服务器的内存压力巨大。 容易发生CSRF跨站伪请求攻击 session是基于客户端传送的cookie进行用户识别的,如果cooki
浏览器发送cookie规则
热门推荐
Kuroko's Development Notes
08-16 1万+
一、场景再现 当前一个需求,前端不同的域名去请求同一个后端域名服务,导致cookie共用相互影响。 例子: http://m.test1.com、http://m.test2.com、http://m.test3.com 用户访问以上3个链接时,后端请求访问的服务为同一个:http://meng.test.com 解决方案: 跨域过程中要尽量避免多对一的映射,采用一对一的方式。 将每...
使用Cookie实现自动登录技术
丶博弈
03-11 6272
1.页面勾选保存密码按钮 <!-- 4.记住密码 --> <div class="form-group"> <div class="col-sm-offset-2 col-sm-10"> <div class="checkbox"> <label>
学生信息管理系统:实现对学生信息增删改查操作
青红造了个大白之成长记
11-24 1万+
小白成长记,不喜勿喷,请多多指教 源代码已上传到github:https://github.com/LazyTraveller/Mycat ...
自动登陆、Cookie的清除、登陆页面中文的处理
weixin_42150318的博客
05-26 4327
使用场景,当一个登陆页面登陆时输入的账号或者密码错误时清除Cookie;另一种场景当用户退出的时候,清除Cookie,即使勾选的自动登陆,退出了系统,下次登陆就必须重写输入账号和密码。登陆时处理在请求方式的方法内设定编码外(doGet()和doPost()方法内设置UTF-8或者其他),在创建Cookie时也要对中文进行编码,如果没有处理,存到Cookie里面的是乱码。自动登陆时也要在jsp页面对...
项目中浏览器发送请求自动携带Cookie
qq_33715850的博客
04-10 4045
项目中浏览器发送请求自动携带Cookie
发送和接收cookie
每天写一点,进步一点点
07-17 1063
要把cookies发送到客户端,Servlet先要调用new cookies(name, value)用合适的名字和值创建一个或者多个cookies,通过cookie.setXxx()设置各种属性,通过response.add(cookies)把cookies加入到响应头。 要从客户端读入cookies,Servlet应该调用request.getCookies(),getCookies()...
Cookie的设置、读取以及是否自动携带问题
weixin_33806509的博客
12-05 2733
原文出处:https://juejin.im/post/5b5df0aee51d451998415485这篇文章将解答以下疑问: 能设置或读取子域的cookie吗? 客户端设置cookie与服务端设置cookie有什么区别? 同域/跨域ajax请求到底会不会带上cookie? 能设置或读取子域的cookie吗? 不行! 只能向当前域或者更高级域设置cookie 例如 client.com...
1. token鉴权session鉴权区别
最新发布
06-11
Token鉴权Session鉴权是两种常用的身份验证方式。 Token鉴权是一种轻量级的身份验证方式,通常用于Web API的身份验证,其工作方式为:客户端在登录后,服务器返回一个包含用户身份信息的token。客户端在后续请求...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值