鉴权 cookie session token的区别

已于 2023-10-09 20:29:32 修改
阅读量1.3k 收藏 16
点赞数 4
分类专栏: 接口相关 文章标签: 功能测试
于 2022-04-19 13:59:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43844012/article/details/124271258
版权

背景

在B站看到一个up的详细解说cookie、session、token觉得讲的挺透彻的,于是就趁热记录一下。

一、鉴权是什么?

鉴权就是鉴定权限,最常见的就是鉴定该用户是否为登录状态。最开始做接口测试的时候,找了一个接口,把协议、ip、URL填好以后就以为万事大吉。一发起请求,查看响应就说登录信息错误。
为什么呢?
这就是因为没有鉴权,服务器根本就不认识你,所以就不理你,请求的数据就不会发送给你了。
说到这里,又不得不说一下http协议的工作原理。
简单来说,就是客户端(浏览器)发起请求,服务器端接收到请求,根据请求参数解析到对应的资源,再返回给客户端的过程。
这个图片估计很多人都看过了然后再来说说cookie、session、token。

二、cookie、session、token

1.cookie

cookie是鉴权的方式之一,是客户端登录后,服务器端生成后发送给客户端的。cookie可以保存很多种数据,但是他只能保存字符串,且在安全性上有隐患。
在客户端发起请求后,服务器端生成一个cookie,并发送给客户端,保存在客户端本地,下次请求的时候带上cookie。
百度上找的图片,仅做自己学习用

2.session

session是一种会话,比如我发起请求到关闭浏览器这个过程就是一个会话。session是鉴权的方式之二,在客户端发起请求后,服务器生成一个对应的session,并保存在服务器中,再把session保存到cookie里面,通过cookie发送给客户端,客户端接收到cookie过后,下一次请求时就会把cookie带上,服务器收到请求中的session后就会把它与之前保存的session做对比,如果是一样的,那就说明是已经登录过的,如果不一样,那就需要重新登录。
百度上找的图片,仅做自己学习用

3.token

token是一个令牌,是鉴权方式之三,他是由一部分固定的header、以及body组成的,在body中可以放userid+电话号码,等用户的非隐秘信息,然后再通过某种加密方式,把这两部分加密形成一个秘钥。
在客户端发起请求后,服务器会生成一个token,可以通过cookie也可以直接发送给客户端,客户端接收到token后,会把它保存在本地,在下一次请求时,会带上,服务器端收到二次请求以及带上的token后,会再根据用户的信息去加密一个token,再把两次token进行比对,如果是相同的,那就不用再登录了,如果不一样就需要再重新登录。
百度上找的图片,仅做自己学习用

总结

cookie、session、token的区别
1.生成的位置相同:cookie、session、token都是在服务器端生成;
2.保存的位置不同:cookie、token保存在客户端本地,session保存在服务器;
3.鉴权过程不同:
cookie是将请求中携带的cookie与服务器记录的cookie做对比;
session是将请求中携带的session与服务器存储的session做对比;
token是将请求中携带的token与服务器通过请求中的信息(userid、签名)生成的token作对比。

要努力的佩佩呀~
关注
  • 4
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
Tocken验证登录
weixin_43275578的博客
05-13 960
原理: 客户端第一次登陆系统,用户名密码验证通过生成tocken存到redis,并且设置过期时间。客户端请求其他功能的时候带着tocken访问,每次访问都重置tocken过期时间。退出登录,删除redis中的tocken 实现过程:springboot项目 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-start
Koa(2)之——鉴权Cookie/SessionToken和OAuth)
weixin_33722405的博客
06-12 1903
  前后端未分离以前,页面都是通过后台来渲染的,能不能访问到页面直接由后台逻辑判断。前后端分离以后,页面的元素由页面本身来控制,所以页面间的路由是由前端来控制了。当然,仅有前端做权限控制是远远不够的,后台还需要对每个接口做验证。   为什么前端做权限控制是不够的呢?因为前端的路由控制仅仅是视觉上的控制,前端可以隐藏某个页面或者某个按钮,但是发送请求的方式还是有很多,完全可以跳过操作页面来发送某个请...
接口自动化入门:登录流程中的cookieSession, Token鉴权实践
2301_76643199的博客
07-28 502
为了回馈铁杆粉丝们,我给大家整理了完整的软件测试视频学习教程,朋友们如果需要可以自行免费领取
登录鉴权方案中,sessiontokencookie三者的区别及选择
Tec Log
08-16 3006
目前web常用的登录鉴权方案主要有3种,分别是sessiontokencookie,每种方案都有其特定应用场景和局限性,本文主要针对几种方案的使用特点简单做一个对比分析。阅读本文,首先需要对以上三者的概念和基本原理有基础了解,如不然,建议先详细了解一下上述三种方案的实现原理。另除了上述三种方案外,localStroage作为前端的存储方式之一,实际可以简单理解为一个小型前端key-value数据库,由于不直接参与前后端交互且不影响登录鉴权,不在本文讨论范围内。...
前后端接口鉴权全解 Cookie/Session/Token区别
时清云的博客
05-08 1004
不知不觉也写得比较长了,一次看不完建议收藏夹!本文主要解释与请求状态相关的术语(cookiesessiontoken)和几种常见登录的实现方式,希望大家看完本文后可以有比较清晰的理解,有感到迷惑的地方可以点击阅读原文在评论区提出~ Cookie 众所周知,http 是无状态协议,浏览器和服务器不可能凭协议的实现辨别请求的上下文。 于是 cookie 登场,既然协议本身不能分辨链接,那就在请求头部手动带着上下文信息吧。 举个例子,以前去旅游的时候,到了景区可能会需要存放行李,被大包小包压着,旅游也不开心啦
鉴权 cookies、sessiontoken区别
weixin_43480575的博客
01-15 225
鉴权 cookies、sessiontoken区别
全网最全的Cookie, Session, Token鉴权详解,一定让你大饱眼福
MXB_1220的博客
04-17 2350
在Web开发中,鉴权是保护用户数据和系统安全的重要手段之一。常见的鉴权方式包括CookieSessionToken三种,下面我将详细介绍这三种鉴权方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSessionToken鉴权_哔哩哔哩_bilibili以上介绍了三种常见的鉴权方式,它们各有优缺点。Cookie鉴权简单易用,但安全性和可伪造性较差;Session鉴权相对安全可靠,但对服务器的负担较大;Token鉴权可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
前端鉴权cookiesessiontoken 3种机制,以及 jwt 和 单点登
青蛙king的博客
05-31 861
Token 是在服务端产生的。 如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。 Token 的特点: Token 完全由应用管理,所以它可以避开同源策略; Token 可以避免 CSRF 攻击; Token 可以是无状态的,可以在多个服务间共享。 参考文档: https://www.cnblogs.com/xuxinstyle/p/9675541.html ............
深入理解token
rizon886的博客
02-10 4109
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token?(无状态token开始比较有用) 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? ...
DVWA的Token机制
m0_73896875的博客
07-11 113
Tocken的生成机制比较类似于Session ID,但是更加多样化,可以任意定制而不需要依赖于应用服务器本身的约束,甚至可以完整处理无状态请求,并且还能保持请求被验证。
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
SpringBoot使用token简单鉴权的具体实现方法
08-25
主要介绍了SpringBoot使用token简单鉴权的具体实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
功能测试_分类_用例_方法
HYSliuliuliu的博客
04-27 427
测试用例编写方法-等价类划分法。
Phi-3-mini-4k-instruct 的功能测试
klam2020的博客
04-28 1009
Phi-3-Mini-4K-Instruct 是一个 3.8B 参数、轻量级、最先进的开放模型,使用 Phi-3 数据集进行训练,其中包括合成数据和经过过滤的公开可用网站数据,重点是 高品质和推理密集的属性。 该型号属于 Phi-3 系列,Mini 版本有 4K 和 128K 两种变体,这是它可以支持的上下文长度(以令牌为单位)。 该模型经历了训练后过程,其中结合了监督微调和针对指令遵循和安全措施的直接偏好优化。 当根据测试常识、语言理解、数学、代码、长上下文和逻辑推理的基准进行评估时,Phi-3 Min
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
最新发布
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
cookie session token区别
06-28
### 回答1: CookieSession Token 在 Web 应用中都被用来跟踪用户状态。两者的主要区别在于,Cookie 是存储在用户设备上的,而 Session Token 则是存储在服务器端的。 Cookie 是由浏览器自动创建和发送给服务器的,用户可以在浏览器的设置中查看和管理它们。Cookie 中可以存储一些键值对数据,在用户的不同请求之间共享数据。Cookie 适用于存储一些简单的数据,例如用户名和密码等。 Session Token 是在用户登录时在服务器端创建,并在用户与服务器进行交互时发送。服务器端会为每个用户维护一个唯一的 Session TokenSession Token 是在服务器端存储的,用户可以在浏览器中查看,但不能编辑或删除。Session Token 适用于存储用户身份,例如权限、购物车等。 总结,Cookie主要用来存储简单的,不太敏感的数据,且存在浏览器端;而Session token用来标识用户身份,数据都是存在服务器端。 ### 回答2: cookiesessiontoken都是现在常见的认证方式,用于保证Web应用程序的安全性和隐私性。在理解三者的区别之前,需要先了解它们的基本概念含义。 1. Cookie Cookie 是服务器发送给浏览器的小型数据文件,存储在用户的计算机中。浏览器在之后的请求中会将此文件发送到服务器,以便于验证用户的身份和记录用户的行为。 Cookie 的优点在于它可以存储比 Session 更多的信息,并且可以在浏览器关闭后仍然保持数据有效。缺点是 Cookie 可以被恶意软件或黑客轻易窃取。 2. Session Session 指的是服务器创建的一个会话过程,用于在特定时间段内记录某个用户的交互状态。通过 Session,Web应用程序可以在不同的页面之间共享数据,为用户提供个性化服务。 Session 的优点在于它存储在服务器上,保障了比 Cookie 更好的安全性和隐私性。但是, Session 也会消耗服务器的资源,因此需要谨慎管理。 3. Token Token 是一种随机生成的字符串,用于验证用户的身份和权限。在 Web 应用程序中,Token 可以被用来替代 CookieSession,因为它不会存储在用户的计算机中,也不需要服务器存储用户的状态。 Token 的优点在于它们相对更安全,因为它们没有任何销售性的信息存储在用户的浏览器中。另外, Token 机制可以支持无状态应用,也就是应用程序无需保存任何会话信息,更好的支持了分布式架构。 在以上区别基础上,三者的区别主要在于存储地点(客户端或服务器端)、存储内容(数据信息)、安全性和使用场景等。 - Cookie主要存储在客户端,并可以将更多的数据存储在客户端,Session存储于服务端提供了更好的安全性,但会占用更多服务器资源,Token能够将Session信息存储于客户端,也可以保证数据安全。 - Cookie主要用于客户端与服务端的交互;Session更注重用户身份的鉴别与用户状态的维护;Token更多地用于 API 认证。 - 一般情况下Cookie的安全性最低,Session的安全性中等,Token相对而言较为安全。 - 通常情况下,Token方式的应用程序可以跨平台、跨域和分布式部署,更加灵活多变。 综上所述,Cookiesessiontoken都是Web开发中常用的验证方式,它们在存储及应用方式上均有所差别。仔细分析自身需求,选择最适合的认证方式相比盲目跟随更为优合理。 ### 回答3: CookieSessionToken都是web应用中常见的身份认证和信息存储方式,它们之间最大的不同在于其存储的位置和方式。 Cookie是由服务器在浏览器中生成的,并存储在浏览器中的文件中。当浏览器向服务器发出请求时,会自动通过Cookie中的信息向服务器证明身份。Cookie在用户登录后会保存用户名、密码和一些其他信息,以便下次登录时自动填充,从而提高用户体验。 Session是一个服务器端的解决方案,它可以在服务器端存储用户的会话信息,并且在用户进行请求时将信息传输到客户端。Session的实现依赖于Cookie,服务器通过发送一个包含Session ID的Cookie,来记录用户的会话信息,服务器则将Session信息保存在服务器端的内存或者文件系统中,以确保用户信息的安全性。 Token是一种无状态的身份认证方式,它不同于CookieSession的保存信息方式,而是保存在客户端中。当用户登录时,服务器会生成一个Token并将其返回给客户端,客户端在后续的请求中会带上这个Token,服务器会通过验证Token的合法性来判断用户的身份。 总的来说,Cookie是一种简单且易用的Web身份认证方式,Session需要服务器支持,可以更好的保证用户信息的安全性,Token则更适合Web接口/移动端API身份认证。不同的应用场景可以选择适合的认证方式,以确保用户信息和身份的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值