[ web基础篇 ] session,cookie,token 那些事儿 ?

已于 2022-10-15 20:05:20 修改
阅读量2.2k 收藏 25
点赞数 16
分类专栏: 渗透测试自学篇 轮播展示专栏 文章标签: 服务器 html 运维
于 2021-12-14 16:55:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/121918757
版权
本文介绍了Web会话管理的发展历程,从请求+响应的无状态HTTP协议,到引入Session和Cookie来维持状态,再到Token的出现以解决Session带来的服务器存储压力和安全性问题。详细讲解了Cookie的起源、工作流程、限制,以及Session和Token的概念、优缺点和验证原理。最后对比了Cookie、Session与Token的区别,强调了Token在抵御CSRF攻击上的优势。
摘要由CSDN通过智能技术生成

  🍬 博主介绍  

  • 👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
  • ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
  • 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
  • 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
  • 🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

写在前面:

session ?cookie ?token ?

相信大家对这几个词并不陌生,不管是面试还是工作都会有涉及的,可想而知它的重要性。

网上关于 session、cookie、token 的文章有很多,每篇文章都有一些独特的见解。

在写文章之前,我看了很多篇 session、cookie、token 的文章,感觉很多都没有讲的很清楚,泛泛而谈。

在看了这么多的文章之后,我对这几次词又有了不一样的理解,在这里和大家分享一下。

目录

写在前面:

一、聊一下发展史

1. 第一阶段:请求+响应

2. 第二阶段:请求+下发会话标识+响应

1. http是一个无状态协议

3. 第三阶段:请求+请求会话标识+响应

1. 解释一下这里的服务器拓展能力

2. 集中session

4. 第四阶段:token代替session

1. 签名完成token验证

2. 签名形成过程:

3. 签名验证token过程:

4. cookie

5. 注意点:

5. 总结:

二、Cookie

1. 什么是Cookie

2. Cookie 起源:

3. Cookie时效性

4. Cookie使用限制

5. 执行流程:

1. HTTP Request

3. HTTP Response + Cookie

4. HTTP Response

6. 浏览器中cookie所在位置

三、Session

四、Token

1. 什么是token

1. 简介

2. 组成

3. 存放

2. 基于Token的身份验证的优势:

1. 无状态

2. 安全性

3. 可扩展性

4. 多平台跨域

3. 基于服务器验证方式暴露的一些问题

4. 基于Token的验证原理

1. 基于Token的身份验证的过程如下:

2. 实现思路:

3. 注意:

4. 总结:

五、Cookie和Session的区别:

六、Token 和 Session 的区别:

七、token可以抵抗csrf,cookie+session不行</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
_PowerShell
关注
专栏目录
订阅专栏
App后台开发运维和架构实践学习总结(11)——CookieSessionToken那点事儿
科技D人生
05-07 4956
前言:新公司项目中使用到了Cookie,在各大Android技术讨论群向前辈们取经讨论这cookiesessiontoken这仨哥们的时候,很多开发者说法不一各抒已见,所以是时候回顾下http基础以及总结开发经验了。本文重在科普分析CookieSessionToken的基本概念和应用场景;Okhttp框架下对Cookie的管理使用。文章如果写的不好请各位开发者老司机私聊或者在评论区指点提出...
3-1. SpringBoot项目集成【用户身份认证】实战 【技术选型】基于SessionToken、JWT怎么选?
天罡gg的专栏
03-29 4946
接下来开始第三章,主要做用户身份认证,主要实现一套统一鉴权的用户身份认证的机制。 我已经提前和狗哥一起讨论确定了认证机制,会采用目前流行的基于JWT的Token用户身份认证机制,主流程如下: 前端请求【用户名+密码登录】接口,后端验证通过后生成Token 返回给前端; 前端保存Token,以后每次请求API都会携带Token,后端校验Token通过就正常返回数据; 直到后端校验Token已失效,这时再从第1步重新开始。
SessionCookie以及Token的相关总结
weixin_45827905的博客
08-22 538
1.当一个请求url的**协议、域名、端口**三者之间任意一个与当前页面url不同即为跨域。六、SessionToken的区别身份认证方面,tokensession更安全。
登陆验证发展史(cookie认证->session认证->token认证->JWT,单系统登陆->多系统单点登陆)
白白胖胖充满希望
01-27 1401
登陆验证发展史有两条主线。在服务部署方式层面,早期的Web服务系统简单一般都是单系统,登陆的话就登陆这一个系统就好了,随着系统复杂性越来越高,一个大的系统往往由很多子系统组成,用户使用这个大系统时不可能一个一个地单独去登陆每个小系统,理想的是只要登陆上了这个大系统或者其中的一个小系统,其它所有小系统都不需要再输密码什么的登陆了,直接访问,所以登陆验证就从单系统登陆演进为多系统的单点登陆。而在验证方式层面,经历了cookie认证->session认证->token认证->JWT的发展史。
Web笔记-session盗用安全问题(Spring Boot获取所有session及提高安全性)
IT1995的博客
02-15 6210
此处本人的过滤代码如下: 仅仅是判断了这个session有没有被记录,有没有attribute! 某些IT论坛,就是这样的,通过session,就可以进行批量帐号操作,发取http协议。 这里演示如下,但我登录了一个号后: 我把这个sessionid放到其他机器上 也是直接被登录的(很多论坛就是这样) 这样就存在很大的安全问题。在此提供一个策略。 这里用...
关于JWT
lxk116688的博客
05-09 826
本文借鉴JWT详解 什么是JWT? 在介绍JWT之前,我们先来回顾一下token进行用户验证单的流程: 1.客户端使用用户名和密码请求登录 2.服务端收到请求,验证用户名和密码 3.验证成功后,服务端会签发一个token,在把这个token返回给客户端 4.客户端收到token后可以把他存储起来,比如放到cookie中 5.客户端每次向服务器请求资源时,需要携带服务端签发的token,可以在cookie或者header中携带 6.服务端收到请求之后,去验证客户端请求里面带着的token,如果验证成功,就向
固定SessionID漏洞
阿里巴巴B2B诚信开发部
12-13 1378
  by BoBo   一个简单的登录控制 下面是一个最常用最简单的登录控制流程,通过表单提交用户名密码,servlet判断用户名密码,正确则写一个session,然后跳转到登录后的能够看到的页面登录页面JSP /*省略头部信息*/ &lt;body&gt; &lt;form action="SessionTestServlet" method="post"&gt; 用户...
权限认证基础:区分Authentication,Authorization以及CookieSessionToken
暴君的博客
04-09 1566
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication):你是谁。 授权 (Authorization):你有权限干什么。 ...
《Python基础教程》内容总览(持续更新中)
最新发布
weixin_43178406的博客
08-26 20万+
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理解,而且能够帮助新手快速入门。个人精心开设的《Python基础课程》专栏订阅量接近900,帮助不少同学解决了Bug。
Token
kuyuguoheqi的博客
08-17 1466
而HTTP是无状态的协议。token的意思是“令牌”,是用户身份的验证方式,最简单的token组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,由token的前几位+盐以哈希算法压缩成一定长的十六进制字符串,可以防止恶意第三方拼接token请求服务器)。· 数据存储大小不同:单个Cookie 保存的数据不能超过4K,一个站点最多保存20个CookieSession对象没有对存储的数据量的限制,其中可以保存更为复杂的数据类型,根据服务器大小来定。...
cookiesessiontoken
JohnZhongJob的博客
09-07 392
首先我们需要了解,HTTP是一个无状态协议。也就是说,这一次请求和上一次请求时没有任何关联的。这种无状态的好处是快速,缺点是我们想要不两次请求联系起来必须另外的手段或者工具了。 cookiesession 由于http的无状态性,为了使某个域名下的所有网页能够共享某些数据,sessioncookie出现了。客户端访问服务器的流程如下: 首先,客户端会发送一个http请求到服务器端...
header携带token报跨域问题
weixin_46174854的博客
04-17 3108
前后端分离的项目跨域问题是避免不了的,以前遇到跨域问题用@CrossOrigin注解就可轻松搞定 现在把token放到了Header里居然还报跨域(token放到请求参数中却没事)这就有点意思, 现在发现@CrossOrigin并不是那么完美=-= 解决方式也很粗暴,既然他并不完美,那就搞一个更完美的:全局跨域 在配置类中加入如下下代码即可轻松实现全局跨域: Configuration public class Mymvc extends WebMvcConfigurationSupport { @
HttpSession与JSESSIONID的"盗用"
小郎人的博客
07-18 6378
HttpSession与JSESSIONID的”盗用”        先说一下什么是HttpSession,Http协议是一种无状态的协议,当我们从客户端发起一个浏览器请求的时候,服务器端如果说需要保留我们的登录信息的话,我们就需要通过某种方式解决这个登录问题。        在B/S模式中不可能每次访问服务器都把自己的登录信息传递到服务器端,如果说我们不考虑单点登录系统和cookie没有被禁用
php cookie管理,Session管理及Cookie应用原理
weixin_26905487的博客
03-11 104
一、基于表单认证的标准规范尚未有定论,一般会用Cookie来管理Session(会话)。基于表单认证本身是通过服务器端的WEB应用,将客户端发送过来的用户名ID和密码与之前登陆过的信息做匹配来认证的。但是,鉴于HTTP是无状态协议,之前已认证的用户状态无法通过协议层面保存下来。即无法实现状态管理,因此即使当改用户下一次继续访问,也无法区分他与其它的用户。于是,我们会使用Cookie来管理Sessi...
CookieSessionToken、Jwt的用途与区别
初心不改
09-02 507
认证 Authentication 百度百科中对于认证的解释是:身份验证(Authentication),在 .NET Framework 安全中,通过对照某些机构检查用户的凭据,发现和验证主体标识的过程。 当然,今天我们来讨论肯定不会用这么生硬的词来解释的。 通俗地讲就是 验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 常见的认证方式: 用户名密码登录 邮箱发送...
跨域post 及 使用token防止csrf 攻击
多崎巡礼的博客
11-21 2157
环境: 后台使用的python - flask 前台使用angular框架 1.一个跨域post的例子: 跨域post有多种实现方式: 1.CORS:http://blog.csdn.net/hfahe/article/details/7730944 2.利用iframe 3.server proxy:https://en.wikipedia.org/wiki/Proxy_server 例子...
Session劫持与Session-ID的安全长度
weixin_33853794的博客
01-28 442
Session劫持Session劫持从Web Session控制机制处发动***,通常是对Session令牌管理的剥夺。因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。Session令牌通常由可变长度的字符串组成,并且它可以以不同的方式存储,如在URL中,在H...
CookieSessionToken、csrf跨域请求伪造
qq_39989608的博客
01-24 1036
Http无状态,所谓无状态就是说请求之间没有关联,前1秒你刚登录完,这时你想更改用户昵称又要输入用户名和密码进行身份验证。 Cookie cookie作用流程 用户输入用户信息,点击登录,浏览器发出登录http请求 服务器校验用户身份后,响应http请求,在response中添加头部Set-Cookie Set-Cookie key=value[;expire=<time>][;path=<path>][;domain=<domain>][;secure=<sec
前后端鉴权方式总结:HTTP Basic, Session-Cookie, Token, OAuth
"这文章除了介绍前后端常见的鉴权方式外,还涉及了HTTP Basic Authentication、session-cookietoken验证以及OAuth四种鉴权方法的原理和流程。文章旨在总结和对比不同的鉴权策略,特别是在重构项目时选择合适的...
评论 25
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值