session、token、cookie

最新推荐文章于 2023-11-24 18:43:58 发布
最新推荐文章于 2023-11-24 18:43:58 发布
阅读量156 收藏
点赞数 1
分类专栏: Web前端就业
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41662017/article/details/118698819
版权

一、session\token\cookie

1.产生背景

http是个无状态的请求,所以一个页面登录了,另一个页面,也不知道,为了解决网页共享数据,产生了session和cookie,以及替换者token

2.客户端和服务端通信:

在这里插入图片描述

客户端给服务端发消息

服务器端接受客户端请求后,建立一个session,并发送一个http响应到客户端,这个响应头,其中就包含Set-Cookie头部。该头部包含了sessionId。

在客户端发起的第二次请求,假如服务器给了set-Cookie,浏览器会自动在请求头中添加cookie

服务器接收请求,分解cookie,验证信息,核对成功后返回response给客户端

3.cookie

cookie就是写在客户端的一个txt文件,cookie有状态,不允许垮域访问的

  • cookie最大4k,一般浏览器最多20个,存在于客户端,

  • CSRF(跨站请求伪造)攻击,这个也好解决,很多框架都屏蔽这个问题

  • 有的客户端不支持cookie,需要手动设置,比如小程序

  • 浏览器对cookie有限制,不能手动设置cookie,对于混合嵌套的开发有问题,比如小程序跳转H5页面,不能携带cookie

  • Expire属性缺省时,表示会话性cookie,值保存在客户端内存中,并在用户关闭浏览器时失效。需要注意的是,有些浏览器提供了会话恢复功能,这种情况下即使关闭了浏览器,会话期 Cookie 也会被保留下来,就好像浏览器从来没有关闭一样。与会话性 Cookie 相对的是持久性 Cookie,持久性 Cookies 会保存在用户的硬盘中,直至过期或者清除 Cookie。这里值得注意的是,设定的日期和时间只与客户端相关,而不是服务端.

  • Max-Age 用于设置在 Cookie 失效之前需要经过的秒数,正数时,浏览器会将其持久化(即写到对应的 Cookie 文件中);负数,则表示该 Cookie 只是一个会话性 Cookie,为 0 时,则会立即删除这个 Cookie。假如 Expires 和 Max-Age 都存在,Max-Age 优先级更高。

  • Domain
    Domain 指定了 Cookie 可以送达的主机名。假如没有指定,那么默认值为当前文档访问地址中的主机部分(但是不包含子域名)在这里注意的是,不能跨域设置 Cookie

  • Path
    Path 指定了一个 URL 路径,这个路径必须出现在要请求的资源的路径中才可以发送 Cookie 首部

  • Secure属性
    标记为 Secure 的 Cookie 只应通过被HTTPS协议加密过的请求发送给服务端。使用 HTTPS 安全协议,可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改。

  • HTTPOnly
    设置 HTTPOnly 属性可以防止客户端脚本通过 document.cookie 等方式访问 Cookie,有助于避免 XSS 攻击。

  • SameSite
    SameSite 是最近非常值得一提的内容,因为 2 月份发布的 Chrome80 版本中默认屏蔽了第三方的 Cookie
    Strict 仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致。
    Lax 允许部分第三方请求携带 Cookie
    None 无论是否跨站都会发送 Cookie
    之前默认是 None 的,Chrome80 后默认是 Lax。

跨域和跨站
首先要理解的一点就是跨站和跨域是不同的。同站(same-site)/跨站(cross-site)」和第一方(first-party)/第三方(third-party)是等价的。但是与浏览器同源策略(SOP)中的「同源(same-origin)/跨域(cross-origin)」是完全不同的概念。

同源策略的同源是指两个 URL 的协议/主机名/端口一致。例如,https://www.taobao.com/pages/…,它的协议是 https,主机名是 www.taobao.com,端口是 443。

同源策略作为浏览器的安全基石,其「同源」判断是比较严格的,相对而言,Cookie中的「同站」判断就比较宽松:只要两个 URL 的 eTLD+1 相同即可,不需要考虑协议和端口。其中,eTLD 表示有效顶级域名,注册于 Mozilla 维护的公共后缀列表(Public Suffix List)中,例如,.com、.co.uk、.github.io 等。eTLD+1 则表示,有效顶级域名+二级域名,例如 taobao.com 等。

举几个例子,www.taobao.com 和 www.baidu.com 是跨站,www.a.taobao.com 和 www.b.taobao.com 是同站,a.github.io 和 b.github.io 是跨站(注意是跨站)。

4.session

session存在于服务端,

  • 负载均衡多服务器的情况,不好确认当前用户是否登录,因为多服务器不共享seesion。这个问题也可以将session存在一个服务器中来解决,但是就不能完全达到负载均衡的效果。
  • 每个客户端只需存储自己的session id,但是服务端却需要存储所有用户session id,对服务器也是一个压力

cookie只是实现session的其中一种方案。虽然是最常用的,但并不是唯一的方法。禁用cookie后还有其他方法存储,比如放在url中\通过LocalStorage的方式

5.token

组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名)

最小的token都比cookie大,无状态,允许垮域访问的

token在客户端一般存放于localStorage,cookie,或sessionStorage中。在服务器一般存于数据库中

服务端把用户信息加密(token)传给客户端,客户端每次访问都返回token,服务端解密token,就知道这个用户是谁了。通过cpu加解密,服务端就不需要存储session id占用存储空间,就很好的解决负载均衡多服务器的问题了。这个方法叫jwt

使用jwt有一个问题,就是不像cookie和session有自动过期的设置,这个token的状态和过期时间需要自己手动设置。比如说,token中存储用户登录的时间,服务端每次验证这个时间是否过期就可以了

注:
无状态和有状态的区别:和不和服务器端进行数据交换!!!

是吱吱
关注
专栏目录
cookiesessiontoken的概念
初遇我ㄖ寸の热情呢?
07-01 1786
cookiesession的概念 网站登陆后 后面的操作,服务端怎么知道是前面登录的用户操作 http协议被称为无状态的协议 访问前面的网页的http请求个访问后面页面的http请求是互不相干的,独立的 cookie就像一个容器,可以存token可以存sessionid,或者两者都不存 cookie cookie是我们访问一个网站时,通常由网站服务器返回的一种标记为cookie类型的数据 要求我...
TokenCookie 以及Session 的区分
ygz62的博客
07-29 990
Token 一、我们先解释一下他的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 3、使用Token
Session , Cookie, Token
code_lab
06-07 1042
Session , Cookie, Tokenhttp为无状态协议,用户的登录状态无法通过协议层面保存下来,因此一般使用icookie管理session一个cookie的设置以及发送过程安全手段:cookie和表头其他字段共同管理session 你可能会说,居然攻击者能获得有效的session id,那么以他的水平,伪造一个相同的User-Agent不是件难事。不错,但是我们可以说这至少给他添加了
sessiontokencookie
二阶求导的博客
10-08 569
1. 多类选择器:一个class值可能包含一个词列表,词之间用空格分开,词的顺序无关紧要 .important{font-weight:bold;} //粗体 .warning{font-style:italic;} //斜体 .important.warning{backgroung:silver;} //粗体+斜体+银色背景 // 元素的class属性只有包含多类选择器的全部词才能与之匹配,但不需要“只包含”,以下两种均可匹配 <p class="im
cookiesessiontoken
简介不重要
07-02 178
无论是cookiesession还是token,它们都是为了提高用户体验而产生的技术,都是为了保存用户登录状态与服务端建立会话。最早期先有cookie,因为保存在客户端不安全,所以有了保存在服务端的session,又因为服务器的空间存储问题(seesion保存在服务器的内存或磁盘文件中)所以又有了保存在客户端的Token。 为什么用它们? 早期访问网站的时候不会记录用户的登录信息,当我们再次...
SessionCookietoken
weixin_43870079的博客
01-16 267
SessionCookietoken 一、session 保存在服务端,可以用于记录客户状态; 比如我们经常会用 Session 保存客户的基本信息、权限信息等;用户第一次登录之后,服务器就会创建一个 Session ,并将 SessionID 返回给浏览器,浏览器通常将其写入到 Cookie 中,这种 Cookie 也叫做 SessionCookie ,浏览器再次访问时,只需要拿着 Ses...
session token cookie 详细介绍
04-26
Session token cookie是一种认证机制,它通常用于在客户端和服务器之间建立会话。当用户成功登录网站时,服务器会创建一个唯一的session id,并将其存储在session token cookie中。每当用户发送请求时,cookie会在...
CookieSessionToken三者的区别及使用
11-13
### CookieSessionToken的区别及使用详解 #### 一、Cookie **定义**: Cookie是一种用于在客户端保持状态的方案。简单来说,当你访问一个网站时,该网站可能会在你的计算机上留下一些信息(如用户名、密码等),...
session token cookie 相信介绍
04-26
Session token cookie是一种用于在Web浏览器和Web服务器之间进行身份验证的机制。当用户登录到网站时,网站将创建一个唯一的session token并将其存储在用户的浏览器中。当用户访问受保护的页面时,网站将使用该...
彻底理解cookiesessiontoken的使用及原理
10-16
当我们浏览网页或使用应用程序时,经常会遇到cookiesessiontoken这三种技术。它们是实现Web应用会话管理的关键机制。在详细探讨这三种技术之前,我们先来理解一下它们各自的概念和它们之间是如何相互协作的。 ...
sessioncookies与token
impressionw的博客
06-29 920
http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,既然HTTP协议是无状态的,使用sessioncookie是为了解决这个问题的,token也是用来解决无状态的,只是他们解决无状态的方法是不同的。 1)session认证      因为根据http协议,我们并不能知道是哪个用户发出的请求,所
cookiesessiontoken详解
凉风之魅的专栏
06-13 1229
cookie : 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的c...
TokenCookieSession详解
weixin_46418118的博客
10-22 1548
TokenCookieSession详解
sessiontokencookie区别
trigger的博客
03-01 524
目录 cookie session token 总结 cookie cookie在http请求的头部 headers cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空
cookiesession以及token的介绍
Grayan的博客
04-17 260
cookie 是由浏览器维持,存储在客户端的一小段文本信息。用户每次访问站点时,web服务都可以读取cookie中的信息 cookie根据生命周期分为会话cookie和持久cookie。//todo session 中文翻译为会话。在服务器上保存用户操作的历史信息。服务器会使用类似散列表的结构保存信息,每一个网站客户都会被分配一个唯一的标识符sessionID,它可以通过url传递,或者保存在客户...
一文读懂CookieSessionToken
时光、疏离了记忆づ童话的博客
10-05 413
本文找了几篇网上讲的不错的文章,将几着合在一起,便于直接对cookiesessiontoken一次性理解,前一部分通俗易懂地讲解了token来源,后部分对cookiesessiontoken进行书面解释。便于读者一文找到想要的答案。 1、很久很久以前,Web基本上就是文档的浏览而已,既然是浏览,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议,就是请求加响应,尤其是我不用记住是谁刚刚发了HTTP请求,每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互
sessioncookietoken的区别?
热门推荐
W-Mo-Mo的博客
07-08 1万+
今天就来理一理sessioncookietoken这三者之间的关系!cookie 有存储大小限制,4KB 左右。浏览器每次请求会携带 cookie 在请求头中。字符编码为 Unicode,不支持直接存储中文。数据可以被轻易查看。属性名称属性含义namecookie 的名称valuecookie 的值commentcookie 的描述信息domain可以访问该 cookie 的域名expirescookie 的过期时间,具体某一时间maxAge。
会话技术------CookieSessionToken(JWT)详解
最新发布
m0_74229735的博客
11-24 2236
Cookie是一种在客户端(通常是Web浏览器)和服务器之间传输的小型文本文件。它由服务器通过HTTP响应的头部设置,并存储在客户端的浏览器中。当客户端发送后续请求时,会将该Cookie信息包含在HTTP请求头中发送给服务器。Session是一种在Web应用程序中跨请求保持用户状态的机制。Session是一段服务器上的存储区域,用于存储用户信息和状态。当用户第一次访问Web应用程序时,服务器会创建一个Session,并给它分配一个唯一的标识符(session ID),然后将该标识符发送给客户端。
SessionCookieToken区别详解
weixin_46403305的博客
08-15 4963
SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2.Sessio
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值