Session+cookie+token

最新推荐文章于 2023-06-10 16:35:38 发布
最新推荐文章于 2023-06-10 16:35:38 发布
阅读量811 收藏 1
点赞数 1
分类专栏: 面试 文章标签: 前端 服务器 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59102081/article/details/126473775
版权

Session :

特色:

        1. 存在于服务端,所以它比较安全

        2. session 的传输无限制

        3. 当访问增大时,会加大服务器的压力、集群 sql 问题(redis 缓存解决)

应用场景:跟踪会话可用于 存储用户的信息、拦截器、购物车等

        小提示:浏览器关闭 SessionID 会被清除,这才导致 session 失效

流程

        用户请求 ——> 验证用户信息成功则创建 session——> 响应会返回 sessionID

        ——> 用户请求携带 sessionID——> 进行验证是否存在

常用方法

      例: HttpServletRequest.setAttrirequest.getSession().setAttribute("user",data);

  1. setAttribute ()     // 设置 session
  2. getAttribute ()    // 获取 session  
  3. removeAttribute ()     // 清除 session
  4. setMaxInactiveInterval(60*60*24)// 更改 Session 时长
  5. getMaxInactiveInterval // 获取 Session 时长
  6. Invalidate ()             // 销毁会话

Cokies:

特色:

  1. cokie 存在于客户端:,有安全隐患
  2. 有传输限制,最多为 4k
  3. 但是响应速度快

应用场景

        一般用于在客户端记住账号密码、自动登入

        失效: 如果不设置时间则随着浏览器关闭而关闭,如果设置再浏览器关闭设定的时间内也可存在

    Cookie 代码: 判断记住密码是否勾选,勾选则返回设置的 Cookies

   设置 Cookies 代码

@RequestMapping(value = "/setCookies")
public String getCookies(HttpServletRequest request) {

Cookie cookie=new Cookie("sessionId","CookieTestInfo");
cookie.setMaxAge(60*60);

//cookie.setMaxAge(0);
response.addCookie(cookie);
return " 设置 cookies 信息成功 ";

}

获取 Cookies 代码 (一般不用):

@RequestMapping(value = "/getCookies")
public String getCookies(HttpServletRequest request) {


    Cookie[] cookies = request.getCookies();
    if(cookies!=null) {
        for (Cookie cookie: cookies) {
            if(cookie.getName().equals("sessionId")){
                cookie.getValue();
            System.out.println("cookieName:"+cookie.getName()+"//cookieValue:"+cookie.getValue());
            }
        }
    return " 获得 cookies 信息成功 ";
}

Token

特色:

安全、跨域、安卓设备、防表单重复登入等等

        失效:Session 或者 Token 失效(关闭浏览器)

步骤:

  1.         客户端使用用户名跟密码请求登录
  2.         服务端收到请求,去验证用户名与密码
  3.         验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4.         客户端收到 Token 以后可以把它存储起来,比如放在 localStorage 中
  5.         客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6.         服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就放行

        注意:Session 分别保存加密前、加密后的数据(token), 过滤器对 token 进行解密并和 Session 解密前的 session 进行对比  (可用 redis 缓存

session 生成方式

        浏览器第一次访问服务器,服务器会创建一个 session,然后同时为该 session 生成一个唯一的会话的 key, 也就是 sessionid,然后,将 sessionid 及对应的 session 分别作为 key 和 value 保存到缓存中,也可以持久化到数据库中,然后服务器再把 sessionid,以 cookie 的形式发送给客户端。这样浏览器下次再访问时,会直接带着 cookie 中的 sessionid。然后服务器根据 sessionid 找到对应的 session 进行匹配;
        还有一种是浏览器禁用了 cookie 或不支持 cookie,这种可以通过 URL 重写的方式发到服务器;

为什么会有 token 的出现

        首先,session 的存储是需要空间的,其次,session 的传递一般都是通过 cookie 来传递的,或者 url 重写的方式;而 token 在服务器是可以不需要存储用户的信息的,而 token 的传递方式也不限于 cookie 传递,当然,token 也是可以保存起来的;

token 的生成方式

        浏览器第一次访问服务器,根据传过来的唯一标识 userId,服务端会通过一些算法,如常用的 HMAC-SHA256 算法,然后加一个密钥,生成一个 token,然后通过 BASE64 编码一下之后将这个 token 发送给客户端;客户端将 token 保存起来,下次请求时,带着 token,服务器收到请求后,然后会用相同的算法和密钥去验证 token,如果通过,执行业务操作,不通过,返回不通过信息;

token 和 session 的区别

        token 和 session 其实都是为了身份验证,session 一般翻译为会话,而 token 更多的时候是翻译为令牌;
        session 服务器会保存一份,可能保存到缓存,文件,数据库;同样,session 和 token 都是有过期时间一说,都需要去管理过期时间;
        其实 token 与 session 的问题是一种时间与空间的博弈问题,session 是空间换时间,而 token 是时间换空间。两者的选择要看具体情况而定。

        虽然确实都是 “客户端记录,每次访问携带”,但 token 很容易设计为自包含的,也就是说,后端不需要记录什么东西,每次一个无状态请求,每次解密验证,每次当场得出合法 / 非法的结论。这一切判断依据,除了固化在 CS 两端的一些逻辑之外,整个信息是自包含的。这才是真正的无状态。 
        而 sessionid ,一般都是一段随机字符串,需要到后端去检索 id 的有效性。万一服务器重启导致内存里的 session 没了呢?万一 redis 服务器挂了呢? 

        方案 A :我发给你一张身份证,但只是一张写着身份证号码的纸片。你每次来办事,我去后台查一下你的 id 是不是有效。 
        方案 B :我发给你一张加密的身份证,以后你只要出示这张卡片,我就知道你一定是自己人。 
 

懒起来
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CookieSessionToken之间的关系
weixin_44757067的博客
08-29 899
CookieSessionToken之间的关系 Cookie cookie是保存在本地终端的数据。cookie服务器生成,发送给浏览器,浏览器把cookie以key-value形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie是存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘空间,所以每个域的cookie数量是有限的。 cookie的组成有:名称(key)、值(value)、有效域(domain)、路径(域
CookieSessionToken的区别和联系
yiqzq的博客
06-06 509
CookieSessionToken的区别和联系 文章目录CookieSessionToken的区别和联系CookieCookie的用途1) Session管理2) 个性化3) User TrackingXSS攻击Sessionsessioncookie的区别分布式session解决方案1)Session复制2)Session粘滞3)Session集中管理(推荐)4)基于Cookie管理TokenTokenSession的区别 Cookie Cookie指某些网站为了辨别用户身份而储存在用户本地
7. sessiontoken
cwtnice的博客
02-23 562
现在已经根据接口文档,编写代码, 能够对前端发来的 Customer API请求进行处理了。并且也有了用户登录处理的代码。 但是前端发来的 Customer API 请求, 我们后端代码就直接处理了,也就是说如果在浏览器中,直接输入查询客户信息的url,就能直接访问到,并没有验证这个请求是不是已经登录的管理员发出的。这显然是不合理的。 这就 需要我们在 处理 Customer API 请求前, 判断发出该请求的用户是否登录了。 对于请求消息的合法性验证, 通常有两种方案: sessiontoken
sessiontoken
weixin_46171501的博客
03-16 128
session 服务端保存用户信息 安全性一般 存在多服务器粘性问题 token 避免CSRF攻击 安全性高 多服务器粘性问题 当在应用中进行 session的读,写或者删除操作时,会有一个文件操作发生在操作系统的temp 文件夹下,至少在第一次时。假设有多台服务器并且 session 在第一台服务上创建。当你再次发送请求并且这个请求落在另一台服务器上,session 信息并不存在并且会获得一个“...
[java]关于Session&关于Token&关于JWT
最新发布
YJH000_的博客
06-10 851
从软件技术上,可以使用Session机制来识别客户端的身份,当某个客户端第1次向服务器端发起请求,服务器端会生成一个随机的Session ID(本质上是一个UUID值)并响应给客户端,后续,客户端每次请求时,都会携带这个Session ID来访问服务器端,而服务器端的内存中,使用K-V结构记录每个客户端对应的数据,使用Session ID作为Key,所以,每个客户端在服务器端都有一份属于自己的数据,这个数据就是Session。访问官网的主页,就可以看到JWT的数据表现格式 (下图红色框)。
一文必懂cookie+sessiontoken区别和用法
weixin_45629623的博客
08-16 3954
首先要明白cookie+sessiontoken。是两套东西,并且session不是前端存储的session 什么是session+cookie? seesion+cookie 举例:第一次请求时候,服务器生成一个信物,并要求客户端也定一个信物。每次请求时候你都带上信物,你我信物一比对,欧了。信物有过期时间。服务器会生成一个信物储物柜(占空间),用来存取信物(cookie),本质是空间换时间,时间即没有计算耗时。 什么是token? token 举例:一开始登录给你一个暗号,定一套密钥,下次你发起
终于有人把cookietokensession讲明白了。
分享测试知识
01-04 1222
1、HTTP的无状态协议 HTTP无状态协议是指该协议对事件的处理过程没有记忆能力,当后续的步骤需要上一步的信息时,则需要重传,即需要携带上一次的信息。 因此,对于存在依赖性的访问请求,则下一次的传递需要携带上一次传递的信息,依次不断的叠加,会导致传输的信息量会越来越大,服务器响应较慢。 HTTP无状态访问 在90年代,浏览器刚出现的时候,它的作用也仅仅是浏览一些文本而已,彼此之间不存在依赖关系(在后面的学习中,我们把这种依赖关系理解为会话)。因此,服务器不需要做任何的记录,浏览器请求什么,服务
cookiesessiontoken,为什么选择使用token?JWT使用
A-Itfuture的博客
09-22 1880
每一次请求都需要token。客户端在第一次访问服务器的时候,服务端会响应一个sessionId,并且将它存入到客户端本地的cookie中,在之后的访问会将cookie中的sessionId放入到请求头中去访问服务器,如果服务器通过这个sessionId没有找到对应的数据,那么服务器会创建一个新的sessionId并且响应给客户端。如果计算后的签名和带来的签名相同, 就知道用户已经登录过了,并且可以直接取到的user id , 如果不相同, 数据部分肯定被人篡改过, 我就告诉发送者: 对不起,没有认证。
Session不香吗,为什么还要Token
qq_30597401的博客
05-24 1439
上周我们在团队内部首次采用了 jwt(Json Web Tokentoken 这种 no-session 的方式来作用户的账号验证。 图片来自 Pexels 我发现网上很多文章对 token 的介绍有误,所以对 cookiesessiontoken 作了一下对比(文中 token 指 jwt token)相信大家看完肯定有收获! Cookie 1991 年 HTTP 0.9 诞生了,当时只是为了满足大家浏览 Web 文档的要求 ,所以只有 GET 请求,浏览完了就走了,两个连接之间是..
整合Shiro Session和JWT登录
zollty的专栏
08-26 1463
关于JWT原理和相关问题,一定要先阅读我的另一篇文章《JWT技术——基于token的鉴权机制》 根据文中的论述,JWT存在许多安全隐患,建议使用HTTPS。 但是本文以实现JWT方案为主,不考虑安全性——JWT方案是可以扩展的,为了提高安全性,可以在后期的设计中去加强。 JWT登录的原理: -> 客户端 携带认证名和密码 发起登录请求 -> 服务器端验证成功,返回 token 给客户端 -> 客户端保存 token(通常是保存在Cookie或者LocalStorage...
为什么选择 token 的方式而不用 session
Aurora.Q 的博客
12-23 3785
首先我们看一下基于 session 的登陆会遇到什么问题。 我们可能有多个后端 比如现在的 XX项目,有多个后端:3 个 django 后端,1 个 java 后端。 只有一个前端,后端都是在同一个域名下,所以前端发送给后端的 sessionid 其实都是一样的,那么为了实现共享登陆的状态,必须实现多服务器共享 session.那么如何实现多服务器共享 session? 解决 session 的共享的方案通常是把这个 sessionid 存储在 cache(对外暴露的是键值对的形式),比如第三方存
网络编程之tokensessioncookie详解
qq_30067153的博客
02-26 1517
理解cookiesessiontoken的关键在于它们三者都是为了解决web身份验证而诞生的。session保存在服务器端,cookietoken保存在客户端,从这个方面入手可以联想出很多区分点。建议不要死记硬背这三者的概念和区别,要从认证流程出发思考它们之间的关系。
Tokensession的区别
m0_53856016的博客
09-14 1万+
在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Toke n便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。二、什么是session服务器为了保存用户状态而创建的一个特殊的对象。当浏览器第一次访问服务器时,服务器创建一个session对象(该对象有一个唯一的id,一般称之为。
使用session以及在session中加入token
热门推荐
京北游戏官方
06-10 3万+
通过使用session以及在session中加入token,来验证同一个操作人员是否进行了并发重复的请求,在后一个请求到来时,使用session中的token验证请求中的token是否一致,当不一致时,被认为是重复提交,将不准许通过。 整个流程可以由如下流程来表述: 客户端申请token 服务器端生成token,并存放在session中,同时将token发送到客户端 客户端存储token,在请求提交时,同时发送token信息 服务器端统一拦截用户的所有请求,验证当前请求是否需要被验证(不是所有请求都验证重复
sessiontoken 比较,各自的优缺点, cookie进行存储
qq_43631129的博客
03-07 1328
sessiontoken 比较,各自的优缺点, cookie进行存储
一篇带你搞懂SessionToken的区别,大数据时代下为什么会产生token
qq_53999369的博客
07-10 3689
因为网络http是,这样就无法确定你的本次请求和上次请求是不是一个人发送的,所有需要session来验证信息。 浏览器第一次访问服务器服务器会创建一个session,同时为该session生成一个唯一的会话,也就是。然后将sessionid及对应的session分别作为保存到缓存中,也可以持久化到数据库或者redis中。浏览器下次在访问时,会带着cookie中的sessionid,然后服务器根据sessionid找到对应的session进行匹配。 首先,session的存储是需要空间的
JWT结合Springboot+shiro,sessiontoken同时存在来应对不同的业务场景(物联网设备管理及开放api)...
weixin_34246551的博客
12-09 2577
2019独角兽企业重金招聘Python工程师标准>>> ...
理解cookiesessiontoken
04-15 86
发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求, 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交...
认识一下 CookieSessionToken 在实际中的应用
五柳
12-15 267
前言 最近因为各种原因频繁提到 CookieSessionToken 是如何记录用户登录态的,所以,今天就略微总结一下这三者在这个场景下的应用。 Cookie 我想作为一个前端,对上述的三者中,最熟悉的就是 Cookie 了。因为前端可以自己操作 Cookie,然后实现自己想要的需求。不过,在很多时候,千万注意不要用 Cookie 存储一些隐私信息,因为一旦被 XSS (脚本注入)就 JJ。 ...
session token cookie 详细介绍
04-26
Session token cookie是一种认证机制,它通常用于在客户端和服务器之间建立会话。当用户成功登录网站时,服务器会创建一个唯一的session id,并将其存储在session token cookie中。每当用户发送请求时,cookie会在请求头中随请求一起发送到服务器服务器使用session id验证该用户是否有权限获取请求的资源。如果验证成功,服务器会提供响应并更新session的状态。 Session token cookie通常由服务器生成,并包含以下信息: 1. Session id:服务器生成的唯一标识符 2. 过期时间:指定cookie何时应该被删除 3. Domain:指定cookie可以被发送到哪个域名 4. Path:指定cookie应该是哪个路径下的URL可见 Session token cookie是一种有效的认证机制,因为它可以避免在每个请求中都要求用户重新进行身份验证。它还可以提供良好的用户体验,因为用户只需要登录一次,无需在每个请求中重新输入登录凭据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值