cookie、session、token

最新推荐文章于 2024-05-20 17:03:02 发布
最新推荐文章于 2024-05-20 17:03:02 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: JavaEE 文章标签: 服务器 http 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52463861/article/details/130489347
版权

一、前置内容

1.1回顾HTTP协议

HTTP协议有五个特点:
在这里插入图片描述
在这里插入图片描述

1.2为什么会有这些东西

HTTP协议是无状态协议,所谓的无状态是指:客户端每次想要与服务端通信,都必须重新与服务端链接,意味着请求一次客户端和服务端就连接一次,下一次请求与上一次请求是无关的。
这种无状态的方式就会存在一个问题:如何判断两次请求是同一个人?为了解决这个问题。我们就迫切需要一种方式知道发起请求的客户端是谁?此时就有了这些东西,它们就可以解决客户端标识的问题。

二、cookie

cookie是保存在客户端或者浏览器端的一小块数据,大小限制在4KB左右。
接下来具体介绍一下,是如何通过cookie来实现用户确定或者权限确定。以网站用户登录操作为例:
在这里插入图片描述
我们可以看到大致分为以下几个步骤:
1.客户端发送请求到服务端(比如登录请求)
2.服务端收到请求后生成一个session会话
3.服务端响应客户端,并在响应头中设置Set-Cookie
4.客户端收到请求后,如果服务器给了Set-Cookie,那么下次浏览器就会在请求头中自动携带cookie
5.客户端发送其它请求,自动携带cookie,cookie中携带有用户信息等。
6.服务端接收到请求,验证cookie信息。比如通过sessionId来判断是否存在会话,存在则正常响应。

三、session

描述session:

session 由服务端创建,当一个请求发送到服务端时,服务器会检索该请求里面有没有包含 sessionId 标识,如果包含了 sessionId,则代表服务端已经和客户端创建过 session,然后就通过这个 sessionId 去查找真正的 session,如果没找到,则为客户端创建一个新的 session,并生成一个新的 sessionId 与 session 对应,然后在响应的时候将 sessionId 给客户端,通常是存储在 cookie 中。如果在请求中找到了真正的 session,验证通过,正常处理该请求。

总之每一个客户端与服务端连接,服务端都会为该客户端创建一个 session,并将 session 的唯一标识 sessionId 通过设置 Set-Cookie 头的方式响应给客户端,客户端将 sessionId 存到 cookie 中。

通常情况下,我们 cookie 和 session 都是结合着来用,当然你也可以单独只使用 cookie 或者单独只使用 session,这里我们就将 cookie 和 session 结合着来用。过程图如下:
在这里插入图片描述

四、cookie和session的区别

从前面可以看出,cookie和session之间主要是通过sesssionId关联起来的,所以:sessionId是cookie和session之间的桥梁。换个说法,session是基于cookie实现的,它们有如下特点:

  • session比cookie更加安全,因为session存在服务端,而cookie存在客户端
  • cookie只支持存储字符串数据,session可以存储任意数据
  • cookie的有效期可以设置较长时间,session有效期都比较短
  • session存储空间很大,cookie有限制

五、token

前面我们说的 sessionId 可以叫做令牌,令牌顾名思义就是确认身份的意思,服务端可以通过令牌来确认身份。

使用cookie和session有以下缺点:

  • 增加请求体积,浪费性能,因为每次请求都会携带 cookie。
  • 增加服务端资源消耗,因为每个客户端连接进来都需要生成 session,会占用服务端资源的。
  • 容易遭受 CSRF 攻击,即跨站域请求伪造。

所以就有了民间的认证方式,token方式
1.token的组成

token 其实就是一串字符串而已,只不过它是被加密后的字符串,它通常使用 uid(用户唯一标识)、时间戳、签名以及一些其它参数加密而成。我们将 token 进行解密就可以拿到诸如 uid 这类的信息,然后通过 uid 来进行接下来的鉴权操作。

2.token是如何生成的?
前面我们说 cookie 是服务端设置了 set-cookie 响应头之后,浏览器会自动保存 cookie,然后下一次发送请求的时候会自动把 cookie 携带上。但是我们说 cookie 算是一种民间的实现方式,所以说浏览器自然不会对它进行成么处理。token 主要是由服务器生成,然后返回给客户端,客户端手动把 token 存下来,比如利用 localstorage 或者直接存到 cookie 当中也行。

3.token认证流程:

  • 客户端发送请求,比如用户输入用户名和密码后登录
  • 服务器端校验用户名和密码后,将用户id和其它信息进行加密,生成token
  • 服务端将token响应给客户端
  • 客户端收到响应后将token存储下来
  • 下一次发送请求后需要将token携带上,比如放在请求头中或者其他地方
  • 服务端取到token后校验,校验通过后则正常返回数据

用图进行显示,如下:
在这里插入图片描述

六、总结

总结下来就是:session 是空间换时间,token 是时间换空间。在这里插入图片描述

努力加油鸭!
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSessionToken三者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token,三者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下三者的区别与使用
彻底理解cookiesessiontoken的使用及原理
10-16
主要介绍了彻底理解cookiesessiontoken的使用及原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
一文弄懂cookiesessiontoken是什么、生命周期与缺点
韩超的博客 (hanchao5272)
06-21 3362
1.http是无状态的 很久之前,网站的作用是只是用来文档浏览,http请求不需要记录当前用户在网站的访问状态等信息。 http协议是无状态的,自然可以满足上述需求。 随着网络发展,尤其是交互式网络的兴起,如何用户的访问信息称为了必须解决的问题。 2.cookie 2.1.起源 1994年,网景通讯的员工Lou Montulli为了解决一个购物车功能,将"Magic Cookie...
Cookie Session Token
段王爷的博客
02-01 1042
Cookie Cookie是客户端保存数据的一种机制 会话cookie 保存在浏览器内存中,浏览器关闭后就消失了,CTRL+SHIFT+DEL可以删除 持久化cookie 保存在本地磁盘上,一般会有一定的过期时间 例如chrome浏览器:C:\Users\DLZ\AppData\Local\Google\Chrome\User Data\Default\Cache Session session是服务端保存数据的一种机制,用户的一些关键信息会保存在sessionsession保存在服务
Cookie Session Token讲解及用法
weixin_59915237的博客
08-07 3407
Cookie Session Token讲解及用法
SessionCookieToken的主要区别
weixin_48016395的博客
03-23 3510
HTTP协议本身是无状态的。什么是无状态呢,即服务器无法判断用户身份,因此需要借助SessionCookieToken来确认用户身份信息。 一、什么是Cookie Cookie是由Web服务器保存在用户浏览器上的小文件(key-value格式),包含用户相关的信息。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器发送一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器服务器
浅析cookie session token
lbw_15189736971的博客
08-28 3330
概念 cookie:又称为“小甜饼”。类型为“小型文本文件”,指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密) session:(会话)是一种持久网络协议,在用户(或用户代理)端和服务器端之间创建关联,从而起到交换数据包的作用机制 token:令牌,代表执行某些操作的权利的对象 session token:交互会话中唯一身份标识符 网上...
熬夜彻底搞懂Cookie Session Token JWT
码农小胖哥
08-19 778
一切的根源就是因为 HTTP 是一个无状态的协议。HTTP 是一个无状态的协议什么是无状态呢?就是说这一次请求和上一次请求是没有任何关系的,互不认识的,没有关联的。看过电影《夏洛特烦恼》的...
Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
主要发布一些日常学习代码及理解
10-12 832
详细介绍了Drf从入门到精通九(Cookie Session Token介绍、JWT介绍、Base64解码编码、JWT快速使用与返回格式、自定义User表签发Token)
实现登录状态保持的方法:cookie session token jwt
路漫漫其修远兮,吾将上下而求索。
03-12 3538
实现登录状态保持的方法 方法一:cookiesession配合使用 首先,用户登录输入用户名和密码,浏览器发送post请求,服务器后台获取用户信息,查询数据库验证用户信息是否正确。如果验证通过,就会创建session来存储相关信息,并且生成一个cookie字符串,把sessionID放在cookie里面。然后返回给浏览器。 当用户下一次发起请求时,浏览器会自动携带cookie去请求服务器服务器...
鉴权 cookie session token的区别
qq_43844012的博客
04-19 1358
背景 在B站看到一个up的详细解说cookiesession、tocken觉得讲的挺透彻的,于是就趁热记录一下。 一、鉴权是什么? 鉴权就是鉴定权限,最常见的就是鉴定该用户是否为登录状态。最开始做接口测试的时候,找了一个接口,把协议、ip、URL填好以后就以为万事大吉。一发起请求,查看响应就说登录信息错误。 为什么呢? 这就是因为没有鉴权,服务器根本就不认识你,所以就不理你,请求的数据就不会发送给你了。 说到这里,又不得不说一下http协议的工作原理。 简单来说,就是客户端(浏览器)发起请求,服务器端接
CookieSessionToken、JWT.xmind
01-30
CookieSessionToken、JWT.xmind
一次搞明白 SessionCookieToken,面试问题全搞定.pdf
04-18
一次搞明白 SessionCookieToken,面试问题全搞定.pdf 面试中的问题一站式全搞定 在也不用头疼面试官的问题了。
cookie-session-token:cookiesessiontoken简介
04-16
cookie-session-tokencookiesessiontoken简介为了解决HTTP无状态,无法保存用户状态的问题产生了cookiesession1.服务端收到用户账号密码后,完成登录生成一个全局变量的session会话,作为所有鉴权脚本的通行证...
SessionCookieToken区别详解
weixin_46403305的博客
08-15 4783
SessionCookieToken到底有什么区别 1.Cookie cookie 是一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 2.Sessio
Terraria泰拉瑞亚服务器开服联机教程
m0_63641208的博客
05-19 383
1、进入控制面板 2、等待服务器安装 3、启动服务器 服务器启动成功后如下图所示 4、连接游戏服务器 4.1、复制服务器地址和端口 4.2、连接游戏服务器 5、预配置选项修改(可选) 6、更换游戏版本(可选) 服务器默认安装是最新稳定版,您可以点击此处跳转查看可用版本 将需要的版本信息填写到 “变量 - 泰拉瑞亚版本” ,重新安装服务器即可 7、更换游戏难度(可选) 更改游戏难度 / 模式后,需要 重新安
【学习】实验室服务器常用的Linux指令。
最新发布
qq_46110320的博客
05-20 413
ls 是英文单词 list 的简写,其功能为列出目录的内容,是用户最常用的命令之一,类似于 DOS下的 dir 命令。查看当前服务器上运行的所有进程,用于查看自己的进程有没有卡死一直占着GPU的情况。用 gzip 压缩 tar 打包后的文件,其扩展名一般用 xxx.tar.gz。tar 与 gzip 命令结合可以使用实现文件 打包和压缩。在不同操作系统中,常用的打包压缩方式是不同的选项 含义。使用 rm 命令要小心,因为文件删除后不能恢复。tar 只负责打包文件,但不压缩。Linux 下文件和目录的特点。
【Linux】-Linux文件的上传和下载、压缩和解压[9]
weixin_63106307的博客
05-16 594
在Linux系统中,文件的上传和下载、压缩和解压是非常重要的操作。下面分别简述它们的重要性:文件的上传和下载:Linux系统是一个多用户的操作系统,多个用户可以同时访问同一台服务器。通过文件的上传和下载,用户可以方便地在本地计算机与远程服务器之间进行文件的传输。这对于用户来说非常重要,可以快速地备份和恢复文件,共享文件给其他用户,或者从远程服务器下载所需的文件。文件的压缩和解压:在Linux系统中,文件的压缩和解压是非常常见的操作。
cookie session token
04-28
CookieSessionToken都是常常在web开发中涉及到的概念。 Cookie是一种用于在Web客户端中存储数据的技术,它通过在Web服务器发出的HTTP响应头中加入一个Set-Cookie头来将数据存储在客户端浏览器中。当客户端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值