Session和Token小结

已于 2022-03-21 22:30:40 修改
阅读量691 收藏 1
点赞数 1
文章标签: java
于 2022-03-21 22:30:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46497604/article/details/123648046
版权
本文详细比较了Token和Session在原理、功能和安全性上的异同,阐述了Session依赖Cookie存储会话信息,而Token通过加密并带有时效性提升安全性。讨论了两者的工作流程,并强调了Token在跨域和跨程序调用中的优势。
摘要由CSDN通过智能技术生成


Token和SessionId的原理是相同的,Session和Token在功能上是相同的,都是为了保持会话。

session
Session用于临时保存用户信息,以键值对的格式储存,要取出用户信息就需要相对应的钥匙key,这是用于让服务器知道这个请求来着谁,通过cookie存放sessionid,服务器获取请求的时候就会通过cookie(sessionid)拿到session里面存放的用户信息,这样可以让用户访问资源而不用不断的重新登录。session的生命周期是服务器启动到服务器关闭。

session大致的工作流程图:

在这里插入图片描述
Token
Token是比Session更加安全的身份验证方式,可以用于跨域跨程序调用,Token的不将用户信息存放在服务器或者session里面,Token的信息是加密的而且有时效性,过来时效就需要重新验证,而且Token是可以跨域和跨程序间使用,实现更加安全的资源共享,相比session,session是直接存放用户信息,这样很容易受到攻击,别人可以伪造信息不断访问不断发送请求,很容易拖垮服务器,并且session在跨域的资源共享不够方便。SecurityContextHolder的功能相当于session,但是不像session那样把整个用户信息存放到里面,SecurityContextHolder只有一个username信息也就是账号,由于这个特性,我们在设计数据库表的时候,表之间的关联关系要更加仔细,在和用户信息表相关联的表中添加上账号字段,使这些表更加方便关联,并且更加安全,因为一个客户端访问服务器的用户只有一个SecurityContextHolder,所以用它来进行根据用户来查询的信息更加安全和方便。

Token大致的工作流程图

在这里插入图片描述

桐人睡不醒
关注
来聊聊sessiontoken的区别
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
01-19 899
我们都知道web应用都采用HTTP协议进行通信,而HTTP协议是一种无状态协议,而用户常常因为简单业务上的操作而需要不断请求web系统的接口,为了让web系统可以感知到当前请求的是否是同一个用户,于是就有session机制。当用户第一次发起web请求时,服务端会为其生成一个唯一ID缓存在服务器上(通常会存储到内存、数据库里),然后通过响应头的方式将这个sessionId交给用户,让用户缓存到cookie中,后续的请求只需携带这个sessionId,服务器即可快速的完成用户的认证。token
【一文读懂】 Http之Cookie SessionToken
zyq8514700的博客
10-21 312
来源引用链接{本文仅用于笔记} 【WHY】Http是一个无状态协议 什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。这种无状态的的好处是快速。坏处是假如我们想要把www.zhihu.com/login.html和www.zhihu.com/index.html关联起来,必须使用某些手段和工具。 现在我们来想一个复杂的场景,如在购物网站上买...
JWT结合Springboot+shiro,sessiontoken同时存在来应对不同的业务场景(物联网设备管理及开放api)...
weixin_34246551的博客
12-09 2597
2019独角兽企业重金招聘Python工程师标准>>> ...
sessionKey/tokenKey相关知识点收集汇总
yl754980640的博客
08-31 1664
1.     sessionKey/tokenKey哪里来? 登录成功之后,后台返回.   2.     sessionKey/tokenKey生成有什么规则? 后台返回的,按照一定规则生成的(比如可以随机数生成一个24位以上的字符串)   3.     登录成功返回的sessionkey/tokenKey存到哪里? 保存到本地sp中就可以了   4.     sessionke
小程序笔记 -- 登陆与session_token
lljxk2008的博客
09-03 3118
在小程序确定一个事实: 小程序没有web那种用户与服务器的Session机制 但我们可创建一个'标识'来实现登陆态维护, 这个标识就相当于web中的Session, 用于标识用户 这个标识我命名为: session_token (见下文的第4.点 生成一个会话标识) 在微信小程序中,我们可能涉及到以下三类登录方式: 自有的账号注册和登录 使用其他第三方平台账号登录 使用微信账号登录(即...
token代替session使用
Chelio_的博客
11-17 1971
1.面临问题: session存在于服务端,分布式中多个微服务,每个微服务都是独立的服务器,session信息不同步,该怎么办? 2.解决思路 token替代session使用流程: 1.用户登录成功 生成token存入redis(key:token,value:用户信息);把token返回给前端 2.将token加入header,使用过滤器,在每个接口执行前验证token是否有效,无效返回登录页 3.微服务中如果想获取登录的用户信息,可以获取redis的key=token token + redi
Security 与token session 简单设置
MXqihang的博客
04-25 818
Security 与token session 简单设置 文章目录Security 与token session 简单设置配置文件设置session (单体)登陆 , 登陆上限后 处理方式session 集群处理 配置文件 @Configuration public class DataSecurityConfig extends WebSecurityConfigurerAdapter { //用户信息 @Autowired private UserDetailService
http中,关于cookie/session/token小结(一)含义
weixin_42976139的博客
09-26 395
我们在访问一个网站时。以登录操作为例,账号登录成功。但其实我们新打开一个页面后,由于http协议是无状态的,所以服务器无法判断,这个是登录后的用户还是未登录的用户,也无法判断是哪一个用户。 那么,就用token这个方法,就用来进行web应用程序验证,记录用户身份,携带这个身份进行登录后的操作,给服务器发送信息 对比项 cookie session token 时效性 无时效性 有时...
django之Cookie、SessionToken
Shawn派大星
04-21 484
一.Cookie、SessionToken的由来 我们知道HTTP协议无连接的, 也就是不保存用户的状态信息 早期(十几年前)的网页是静态的, 数据都是写死的, 人们访问网页只是用来查看新闻的, 没有保存用户状态的需求 而往后出现了像论坛、博客、网购这一类需要保存用户信息的网站, 如果网站不保存用户的状态信息, 意味着用户每次访问都需要重新输入用户名和密码, 这无疑对用户的体验是极其不好的 于是, 就出现了会话跟踪技术, 我们可以把它理解为客户端与服务端之间的一次会晤, 一次会晤包含的多次请求与响应, 每
跨系统如何保持Session存活和Token共享问题
纸上得来终觉浅,绝知此事要躬行
07-28 1万+
WMS系统对监管仓进行访问(监管仓内嵌于WMS系统),但是需要登录监管仓系统才能看到引入WMS系统的界面,否则看不了监管仓。这里涉及到一个监管仓访问超时的问题:如果用户一直在WMS上操作,而对监管仓不闻不问,那么一般在30minutes 之后,再次点击监管仓页面就会发现打不开了;同理,如果用户一直停在监管仓操作,那么30minutes之后,回来再次访问WMS时session已超时。
session token两种登陆方式
weixin_30824479的博客
09-08 113
SessionToken 其实SessionToken总体上还是很相似的,但是也有以下区别:1. 过期时间:Session的过期时间存在cookie的Max-age字段,Token的过期时间存在服务器2. 使用范围:Session-key的储存依赖cookie机制,不能脱离浏览器;而Token可以不依赖cookie,哪怕是在get/post请求的参数中带上来都可以,所以很多第三方的登...
SessionId认证与Token认证
菜鸟的专栏
07-06 917
传统的应用通过Session保存用户登录信息(非前后端分离) 缺点: 1.不能很好支持APP; 2.前后端分离部署架构(下面会讲),浏览器不直接访问应用,通过第三方应用(APP、Web Server)访问Application Server,需要单独编码处理Session、Cookie,开发比较繁琐 3.安全性低客户体验差,有JessionId就默认为登录了 4.有些前段技术不支持cookie,如...
登录鉴权:cookie、sessionsessionIdtoken
weixin_54018434的博客
01-22 1517
于是就有另一种解决方案:token。用户使用账号密码登录,服务端验证账号密码是否正确,若正确生成sessionId并以cookie的形式返回给前台,浏览器保存cookie,并在下次访问自动带上cookie,服务器在session中匹配前台传过来的cookie,有则不用再登录,否则提示未登录。cookie是一段存储在浏览器中的文本,它可以保存用户的信息,服务端通过设置返回头的set-cookie字段就能返回给浏览器并保存cookie,浏览器又自动设置请求头的cookie字段将cookie传递给服务器。
javasessiontoken以及token实现
qq_29950673的博客
03-01 5788
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid...
token是什么
猪肉炖白菜
11-25 526
一、我们先解释一下它的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token...
了解Cookie、sessiontoken
最新发布
kkkkk19980517的博客
04-22 777
鉴权认证方式特点优点缺点cookie1.存储在客户端。2.请求自动携带 cookie。3.存储大小 4KB。1.兼容性好,因为是比较老的技术。2.很容易实现,因为 cookie 会自动携带和存储。1.需要单独解决跨域携带问题,比如多台服务器如何共享 cookie。2.会遭受 CSRF 攻击。3.存储在客户端,不够安全。session1.存储在服务端。2.存储大小无限制。1.查询速度快,因为是个会话,相当于是在内存中操作。2.结合 cookie 后很容易实现鉴权。
微信小程序Token登录验证
热门推荐
IT成长记
02-25 2万+
上图是微信开发文档提供的图。 最近开发一款小程序,看了许久的微信文档,这里来记录一下其中的登录与授权过程。 总体流程: 前端执行wx.login()获取code传给后端 后端通过微信官方的登录凭证校验接口获取到session_key与openid,将session_key与openid保存下来。然后自定义登录状态(一开始我也先不明白这里该怎么做,后面我会介绍我的做法,欢迎大佬指正)并返回给前端。 前端以后每次请求都会携带该自定义登录状态,后端进行登录状态的判断,正常就返回业务数据,否则重新登陆,获取新的.
关于tokensessionid的一些说法
梦从这里启航,代码改变世界
02-23 3647
最近涉及到一个数据迁移的业务场景,之前对AT有一定的了解,没这么深刻,这次算是比较深的理解。摘自: bbs 作者:chendejia2012其实token就相当于sessionId,为什么app喜欢用token,而不用sessionId呢?app说他们保管cookie不方便,不好维护cookie,因为cookie是浏览器的东西,app天生不支持cookie。我觉得很奇怪,浏览器也会出现关闭cook...
sessiontoken
05-14
SessionToken都是用于维护用户会话状态的技术。 Session是一种服务端技术,用于在服务器端存储和维护用户的会话状态。当用户通过浏览器访问服务器时,服务器会创建一个唯一的Session ID,并将其存储在cookie或URL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值