白话理解Cookie、Session与Token

最新推荐文章于 2023-06-28 18:54:58 发布
最新推荐文章于 2023-06-28 18:54:58 发布
阅读量204 收藏
点赞数 2
分类专栏: Java基础 文章标签: java cookie session tokenization
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43619459/article/details/113857716
版权

文章目录

写在前面

  1. 翻阅了很多帖子后按自己的理解写了这篇博客,引用文章附在末尾,有引用到但未出现链接的文章请联系我,我一定立即进行修改更正。
  2. 也希望各位大佬不吝赐教。

01 | 白话理解Cookie、Session、Token


  MTS是个日常生产蛋糕的公司,公司里有很多很多的员工,员工对于MTS来说都是相对独立的个体,且MTS的前台MM脸盲,即使员工的长相特征明显也判断不出来是自家的,不是自家的不给开门。那要如何判断自家员工呢?

  MTS想了个办法,每当员工下班回家时,就让他们带上MTS工作证,上面印有MTS标志以及员工姓名及所属部门,这样第二天上班时就向前台MM出示工作证,前台MM知道是自己员工就开门。

这里的工作证对应的就是网络中的网址,假设公司网址为MTS.com, 你的所属部门是material材料部,那么网址就加上 “MTS.com?dep=material” , 你的名字叫做aL,网址就会变成“MTS.com?dep=material&name=aL” , 这样服务器就能根据网址上的信息来判断你是谁,属于哪个部门,即,你的状态是什么。

​  “工作证”确实对MM脸盲的情况有所帮助,但是在这个鲜少见到纸质材料的时代,带工作证实在是太麻烦了!!!! 那可怎么办呢?

  MTS又想了个 办法,都2021年了,手机不离手的今天,我把信息记在你手机里总行了吧。于是,下班前,MTS在员工手机里留下了标志信息,上班时,前台MM只需要查看员工手机里是否有标志信息即可。这样不用带员工证方便了好多呢。

这里手机里的信息就是我们说的cookie,浏览器发送请求给服务器,服务器在浏览器中设置了cookie,然后将标志信息存放到cookie中(set-cookie),等下一次请求时,浏览器带着cookie给服务器发请求,服务器就能根据cookie中的数据内容判断出状态。

  就这样,前台MM的脸盲症解决的差不多了。但因为MTS是个有志向、积极上进、有人情味的公司, 针对加班的员工进行记录以便发放加班津贴。

  于是,MTS根据员工加班情况,在员工数据的标志信息上进行修改,如加班一天就写: 996=1,下个月结算工资时,就进行津贴结算。于是施行了一个月。一个月后老板发工资时,发现问题来了,明明员工只加班了19天,居然发出了26天的津贴??!!这还得了,估计是把 996=1改成了 996=7。

  MTS化悲愤为力量,又想到了一个办法,既然员工手机上的信息被修改了,那把信息存储到公司电脑上不就好了,奈斯。就比如说,MTS在员工手机上留下员工号:[0001], 然后在公司电脑上留下信息:[0001, 996=1], 等明天上班时,我就能通过员工号查到真实的加班信息了。这时MTS突然想到,如果有人把员工号改成别人的那不就功亏一篑了吗,既然这样,那就不用员工号进行识别了,那我设置一串随机字符作为识别码吧,这样可是很难猜到其他人的标识码。于是员工手机上的信息:[an2msa926MDJA], 公司电脑上的信息:[an2msa926MDJA, 996=1 ] .

在网络中,使用cookie来记住用户状态,但是cookie里面的东西是可以被篡改的,这时就可以跟上面一样,将cookie中的信息进行加密。有两种方法,法一,cookie中存储全部信息,然后将全部信息进行加密(要加密的内容太多了)( Cookie-based session);法二,就是上面的方法,服务器在cookie中只存识别码( Session ID),然后对识别码进行加密,其他所有信息都在服务器端。

但是注意,一旦SessionID被偷走,别人就可以伪造你的身份来登陆。

​ session的工作流程可如下所示:


在这里插入图片描述

  本质上来说,Cookie是一段文本信息。Session 就是存储员工明细表,确认员工身份的地方。

  Cookie机制是通过员工身上的员工证来确认身份,Session机制就是通过公司电脑上的员工明细表来确认员工身份。

  看完了Session验证机制,我们再来看看另一种验证机制:Token。

  老板昨天突发奇想,如果电脑宕机,数据库坏掉了,那MTS的员工数据怎么办,岂不是一夜之间所有自家人都不认识了? 于是老板又化食欲为动力,想了个办法。既然害怕公司数据存储丢失或者冗余的问题,那我干脆不存储了。当员工来上班时,老板给每个员工配了个令牌,使用特定的算法+密钥+原始数据,生成一个签名,再把数据+签名绑在一起作为令牌,等明天员工上班时,员工只需要出示他的数据,前台MM根据密钥和算法算出签名,再与员工持有的签名进行比对,如果比对成功,那就是自家员工。但这也有一个问题,如果你的令牌被偷走了,那前台MM也没办法,就会认为小偷也是自家员工。

这里的令牌就是我们说的Token,服务器根据原始数据,选定算法如MD5,以及一个特定的密钥,对客户数据进行加密生成签名,再将签名与原始数据一起绑定作为Token,返回给客户端,由于密钥别人不知道,所以无法伪造Token。下次对同一网址发送request时,就将Token进行发送,服务器使用同样的方式对原始数据进行加密,如果签名相同则放行,否则就拒绝。注意:Token跟Session id一样,都会面临这被偷走的风险。这样一来,服务器不用保存session id, 只需要生成token,验证token,这也是一种时间换空间的策略。

  Token验证流程如下图所示:


在这里插入图片描述

03 | 参考文献

  1. https://zhuanlan.zhihu.com/p/63061864
  2. https://www.jianshu.com/p/639ec8d53631
  3. https://cloud.tencent.com/developer/article/1457857
  4. https://hulitw.medium.com/session-and-cookie-15e47ed838bc
  5. https://github.com/aszx87410/blog/issues/45
  6. https://github.com/aszx87410/blog/issues/46

04 | 小tip

  • md文档图片居中方法:在图片地址末尾加上 ,#pic_center 即可
  • md文档段首缩进的问题:段首加上 
aLinxi
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
白话CookieSession
qq_34361483的博客
07-25 211
在web开发中,我们经常会接触到CookieSession,它们不仅是面试中常常被问到的问题,而且是实际项目中比较重要的模块。 想起当初,我被面试官问到CookieSession的时候,竟然被问的一脸懵,成功的被out了,可想而知如果面试javaEE方法的如 连sessionCookie都掌握不清楚,那么在大公司的面试中,基本是被out,除非你简历上有更多吸引面试官的点。本文用比较白话理解相...
大白话理解cookie
weixin_34283445的博客
06-23 318
HTTP协议是一个无状态的协议,服务器无法区分出两次请求是否发送自同一服务器。 需要通过会话控制来解决这个问题,会话控制主要有两种方式CookieSessionCookie就是一个头,Cookie由服务器创建,服务器以响应头的形式发送给客户端, 客户端收到Cookie以后,会将其自动保存,在下次向服务器发送请求时会自动将Cookie以请求的形式发出,服务器收到以后就可以检查请求头中...
大白话讲解CookieSession,什么是Cookie?什么是Session?看完你就明白了!
ZhaoSimonone的博客
04-21 737
本文用大白话的方式详细讲解了什么是Cookie,什么是Session。并配合生动的例子来进行说明,最后再总结了CookieSession的异同。
CookieToken的区别
小男孩tom的博客
11-23 1万+
两者的共同点都是用来判断用户是否“已登录”,至于判断具体是哪个用户,服务器的做法不一样: Cookie 验证是服务器在用户登录时生成 用户唯一标识 即 Sessionid 并以映射表的形式保存在该台服务器的内存上(一般做法,也可以保存在其他地方),接着将该 Sessionid 通过 set-cookie 头部传给客户端浏览器保存到 cookie,下次 同源请求 浏览器会自动带上 Sessionid 给服务器,服务器再去查对应的用户 id。 Token 验证是服务器在用户登录时使用 密钥 对用户信息进
cookietoken的区别
最新发布
qq_54247497的博客
06-28 1516
cookietoken区别:cookietoken的共同点都是用来判断用户是否“已登录”,至于判断具体是哪个用户,服务器的做法不一样
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
Cookie,Session,Token详解.pdf
07-30
Cookie,Session,Token详解
CookieToken 的区别?
a2986467829的博客
06-27 6768
说到 cookietoken 应该没有人不知道的吧,而如果说让大家说出 cookietoken 到底是什么关系,大家能说出来吗,往往这种看似简单的东西,一到关键的场面,就很容易让我们陷入尴尬,明明知道是什么,却解释不清楚,被 Pass 后一脸冤枉,因此,本篇我们就来稍微回顾下 cookie 相关的基础知识,给自己充充电吧!!!!Cookie ...
大白话理解cookiesessiontoken
NoviceZ的博客
12-22 1741
名词介绍 cookie:浏览器访问服务器,服务器返回cookie给浏览器,浏览器在本地存储cookie,下次带着cookie访问服务器,服务器返回相应的数据。 session:浏览器访问服务器,服务器会存储浏览器的数据value,并把key返回给浏览器,浏览器下次带着key(session ID)来访问服务器,服务器能根据key来获取数据。如果有负载均衡,则是session的一个痛点 。 token:浏览器访问服务器,服务器保留一份密钥并返回一个加密之后的token给浏览器,浏览器拿着token访问服
网络请求中,cookietoken的区别
Java搜索工程技术栈
06-19 1954
在平常开发中,用于用户登录校验的方法可以分为cookietoken,这两者比平常开发都有用到,那区别是什么,原先我觉得用户登录是后台的事不必多了解,用多了以后就开始好奇,为什么有些项目用cookie 有些用token?cookie之前在做存储区别的时候有说过,大小只有4kb, 往返于客户端和服务端之间。在用户校验过程中,主要还是和服务端的session配合使用。大概的使用流程是,用户请求登录接口,服务端进行用户校验,校验通过则把用户信息储存在服务端的session当中,并通过set-cookie把user
cookietoken区别
u012963112的博客
04-29 5778
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
tokencookie的区别
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie里面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
前端笔记:cookietoken的区别
NA_TSU_ME的博客
03-03 6497
cookietoken的区别cookietoken的区别是什么区别 cookietoken的区别 是什么 Cookie 是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器之后向同一服务器再次发起请求时被携带上,用于告知服务端两个请求是否来自同一浏览器。由于之后每次请求都会需要携带 Cookie 数据,因此会带来额外的性能开销(尤其是在移动环境下)。 https://leetcode-cn.com/leetbook/read/tech-interview-cookbook/or674t/
Cookietoken的区别
m0_45309753的博客
03-25 3978
文章目录前言一、基于cookie的身份验证二、基于token的身份验证 前言 HTTP是一种“无状态”协议,它的每个请求都是完全独立的,每个请求中包含了处理这个请求所需的完整的数据,发送请求不会涉及到状态变更。 举个例子:你第一次去A店买了苹果,然后你第二次去买苹果时你和老板说我上次来过,能便宜点不,他说他不认识你,并且无论你去他那买多少次苹果他都不认识你。他只知道有人来买过苹果,具体是谁他不知道。 所以在浏览器向服务端请求数据的过程中就延伸出一种严重的问题–数据泄露,许多Web应用程序的安全和正常运行都
基于 Token 的身份验证
zbuger的博客
06-08 1504
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统身份验证的方法 HTTP 是一种没
Java大白话—–Token入门案例(附demo下载)
热门推荐
a8250852的博客
05-21 1万+
Java大白话—–Token入门案例Token入门案例今天为大家介绍一下Token的基本原理(以最直白的方式)
彻底理解 cookiesessiontoken
05-11
随着互联网的发展和普及,网站和应用程序越来越多,用户也越来越多。对于这些网站和应用程序来说,如何记录用户的信息和状态是一个非常重要的问题,因为只有这样才能提供更好的服务和更好的用户体验。而cookiesessiontoken就是三种常用的记录用户信息和状态的方式。 首先,cookie是一种存储在客户端浏览器中的文本文件,用于存储用户的一些信息。当用户在浏览器中打开一个网站时,网站服务器会发送一个包含一些信息的cookie给用户的浏览器。浏览器在接收到cookie后会以键值对的形式将它们存储在本地,然后在下一次访问该网站时再将cookie发送给服务器。服务器通过读取这些cookie中的信息,就可以知道该用户的一些状态和偏好,从而提供更好的服务。 其次,session是一种服务器端技术,用于记录用户的会话状态。当用户第一次访问一个网站时,网站服务器会为该用户创建一个session,然后在服务器端存储用户的一些信息。当用户进行一些操作时,服务器端会根据该用户的session来判断其当前的状态和权限,并根据这些信息进行相应的处理。当用户关闭浏览器时,与该用户相关的session会被销毁。 最后,token是一种用于验证用户身份的令牌。当用户输入用户名和密码进行登录时,服务器会生成一个token,并将该token返回给客户端。客户端在后续的请求中需要带上该token,服务器收到请求后会根据token来验证用户身份,从而决定是否允许该请求。token不存储在客户端,而是存储在服务器端的数据库或者内存中,因此可以防止一些与cookie相关的安全问题,例如CSRF攻击和 XSS攻击。 总的来说,cookiesessiontoken可以作为不同的方式来记录用户的信息和状态,这些方式都有自己的优缺点,应该根据具体的需求来选择适合的方式。同时,为了确保安全性,应该采取一些措施来减少一些可能出现的安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值