cookie session token

最新推荐文章于 2024-07-22 23:53:03 发布
最新推荐文章于 2024-07-22 23:53:03 发布
阅读量63 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40198520/article/details/114578726
版权

为什么会发明cookie session token?

因为http协议是无状态的,每次客户端访问服务器端,服务器都不知道是谁来访问了它。这在过去也不需要知道是谁,用户向服务器请求想看的页面,服务器响应返回。但是现在交互式网页的产生,使得服务器需要知道是哪个用户访问了,比如购物网站。这时就必须搞清楚谁是谁的问题了。

Cookie

(1)什么是cookie?

Cookie是服务器用来辨认客户端身份的文本信息。由于HTTP是无状态的,也就是服务端并不知道发来请求的客户端是谁。但在某些时候需要知道客户端身份,这时服务器会给客户端颁发一个Cookie。客户端浏览器会将Cookie保存起来,下次向该网站请求时将其附加上,服务器根据其保存的信息确定是哪个客户端。举个例子:比如向某网站申请了账号,自己设置了密码,下次请求时服务器就能分辨出你是哪个用户了,这样就可以实现自动登录。
在这里插入图片描述
正如上图所示,客户端向服务器发送请求—>服务器发送响应给客户端,并为其生成Cookie,通过Set-cookie将其贴到用户身上(如图中的识别码34294)---->浏览器将此Cookie保存在浏览器的cookie数据库中,下次再请求时,浏览器根据此请求网站再贴上对应的cookie。注意cookie的内容不一定是识别码,可以是name,phone等,是以键值对的形式存在。
(2)cookie的内容
在这里插入图片描述
在这里插入图片描述
(3)HttpOnly:是加在cookies上的一个标识,用于告诉浏览器不要向客户端脚本(document.cookie或其他)暴露cookie。当你在cookie上设置HttpOnly标识后,浏览器就会知会到这是特殊的cookie,只能由服务器检索到,所有来自客户端脚本的访问都会被禁止。

Session

(1)什么是session?

客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。所以Session是在服务端。如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了
(2)Session与Cookie的区别
a) session保存在服务器,这个数据可以保存在集群、数据库、文件中,cookie在浏览器
b) 虽然session保存在服务器,但是它的正常运行仍然需要客户端浏览器的支持。这是因为session需要使用cookie作为识别标志。HTTP协议是无状态的,session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为SESSIONID的cookie,它的值为该Session的id。Session依据该cookie来识别是否为同一用户。对于不支持cookie的手机浏览器,有另一种解决方案:URL地址重写。URL地址重写的原理是将该用户session的id信息重写到URL地址中,服务器能够解析重写后的URL获取session的id。这样即使客户端不支持cookie,也可以使用session来记录用户状态。

token

(1)为什么要发明token?

因为之前基于session的认证方式存在一定的弊端:

  • 服务器需要存储很多session,进而占用很大内存。
  • 可扩展性问题,如果一台服务器损坏,为不影响用户访问,需要拷贝所有session到另一台服务器。
  • 安全性方面:很容易受到跨站请求伪造(CSRF)的攻击。
  • 跨域资源共享成为问题

token的目的是为了减轻服务器的压力,减少频繁的查询数据库,使服务器更加健壮。

(2)token的原理
在这里插入图片描述
这张图已经说的很清楚了!

  • 用户输入用户名和密码登录,向服务器请求信息
  • 服务端经过校验和认证返回token
  • 客户端存储token,并在下次访问该网站时带上token
  • 服务端采用过滤器校验,校验成功则正确返回响应,不成功则返回错误码

这个过程不用将用户信息存储在服务器中,并且服务器增减机器都不会影响用户的访问,只要过滤器是一样的就OK。
(3)token的优点
安全性,可扩展性,跨域请求
(4)常用的token认证方案:JWT – JSON WEB TOKEN
https://www.cnblogs.com/xuxinstyle/p/9675541.html(讲的不错)
(5)为什么token能抵御CSRF的攻击?
之前的session是发布给用户一个session-id与服务端的session进行核对。成功则认证成功。token是服务端并不存储对应的token能与之核对,只是有个算法能为用户颁布签名,一个用户去访问服务器,服务器就会知道这是否是自己颁布的签名,如果此时有伪造网站拦截了请求报文,虽然能得到其请求报文,但是里面的token无法伪造(里面有个密钥,只有服务器自己知道)

qq_40198520
关注
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
Cookie Session Token
SZ170110231的博客
07-22 699
Cookie Session Token
CookieSessionToken 的区别与用途
ProgramNovice的博客
04-23 1965
CookieSessionToken 的区别与用途
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 4014
Cookie Session Token讲解及用法
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3737
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器
浅析cookie session token
lbw_15189736971的博客
08-28 3373
概念 cookie:又称为“小甜饼”。类型为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密) session:(会话)是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制 token:令牌,代表执行某些操作的权利的对象 session token:交互会话中唯一身份标识符 网上...
熬夜彻底搞懂Cookie Session Token JWT
码农小胖哥
08-19 909
一切的根源就是因为 HTTP 是一个无状态的协议。HTTP 是一个无状态的协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。看过电影《夏洛特烦恼》的...
Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
主要发布一些日常学习代码及理解
10-12 897
详细介绍了Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
实现登录状态保持的方法:cookie session token jwt
路漫漫其修远兮,吾将上下而求索。
03-12 3758
实现登录状态保持的方法 方法一:cookiesession配合使用 首先,用户登录输入用户名和密码,浏览器发送post请求,服务器后台获取用户信息,查询数据库验证用户信息是否正确。如果验证通过,就会创建session来存储相关信息,并且生成一个cookie字符串,把sessionID放在cookie里面。然后返回给浏览器。 当用户下一次发起请求时,浏览器会自动携带cookie去请求服务器,服务器...
鉴权 cookie session token的区别
qq_43844012的博客
04-19 1515
背景 在B站看到一个up的详细解说cookiesession、tocken觉得讲的挺透彻的,于是就趁热记录一下。 一、鉴权是什么? 鉴权就是鉴定权限,最常见的就是鉴定该用户是否为登录状态。最开始做接口测试的时候,找了一个接口,把协议、ip、URL填好以后就以为万事大吉。一发起请求,查看响应就说登录信息错误。 为什么呢? 这就是因为没有鉴权,服务器根本就不认识你,所以就不理你,请求的数据就不会发送给你了。 说到这里,又不得不说一下http协议的工作原理。 简单来说,就是客户端(浏览器)发起请求,服务器端接
SessionCookieToken区别详解
weixin_46403305的博客
08-15 4970
SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2.Sessio
配置中心.zip
最新发布
09-24
配置中心
基于java的物流管理系统报告的开题报告.docx
09-24
基于java的物流管理系统报告的开题报告.docx
企业级SpringCould脚手架工程:Eureka、Ribbon、Hystrix、Zuul、Feign、分布式事务.zip
09-24
企业级SpringCould脚手架工程:Eureka、Ribbon、Hystrix、Zuul、Feign、分布式事务、分布式锁、
基于Java的微信小程序html2wxml转换接口设计源码
09-24
该项目是基于Java的微信小程序html2wxml转换接口设计源码,共包含50个文件,其中包括10个属性配置文件、9个XML配置文件、6个首选项文件、6个Java源文件、3个Shell脚本、2个项目配置文件、2个HTML模板文件、1个类路径配置文件、1个Git忽略配置文件和1个JS类型定义文件。该解决方案利用JFinal、Jsoup和FastJson技术,为微信小程序提供高效的富文本渲染能力。
嵌入式学习之电子音乐门铃.zip
09-24
嵌入式学习资料电子信息与技术
习题集Python基础习题集.zip
09-24
【习题集】Python基础习题集.zip 【习题集】Python基础习题集.zip 【习题集】Python基础习题集.zip 【习题集】Python基础习题集.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值