网络协议总结(三)——Cookie,Session,Token有什么区别?

最新推荐文章于 2024-04-07 12:07:53 发布
最新推荐文章于 2024-04-07 12:07:53 发布
阅读量585 收藏 1
点赞数
文章标签: Cookie Session 区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s2152637/article/details/100848982
版权

Cookie 和 Session都是用来跟踪浏览器用户身份的会话方式,但是两者的应用场景不太一样。

Cookie

Cookie 一般用来保存用户信息 比如:

  1. 我们在 Cookie 中保存已经登录过得用户信息,下次访问网站的时候页面可以自动帮你登录的一些基本信息给填了;
  2. 一般的网站都会有保持登录也就是说下次你再访问网站的时候就不需要重新登录了,这是因为用户登录的时候我们可以存放了一个 Token 在 Cookie 中,下次登录的时候只需要根据 Token 值来查找用户即可(为了安全考虑,重新登录一般要将 Token 重写);
  3. 登录一次网站后访问网站其他页面不需要重新登录

Session

Session 的主要作用就是通过服务端记录用户的状态。 典型的场景是购物车,当你要添加商品到购物车的时候,系统不知道是哪个用户操作的,因为 HTTP 协议是无状态的。服务端给特定的用户创建特定的 Session 之后就可以标识这个用户并且跟踪这个用户了。

很多时候我们都是通过 SessionID 来实现特定的用户,SessionID 一般会选择存放在 Redis 中。举个例子:用户成功登陆系统,然后返回给客户端具有 SessionID 的 Cookie,当用户向后端发起请求的时候会把 SessionID 带上,这样后端就知道你的身份状态了

  1. 用户向服务器发送用户名和密码用于登陆系统。
  2. 服务器验证通过后,服务器为用户创建一个 Session,并将 Session信息存储 起来。
  3. 服务器向用户返回一个 SessionID,写入用户的 Cookie。
  4. 当用户保持登录状态时,Cookie 将与每个后续请求一起被发送出去。
  5. 服务器可以将存储在 Cookie 上的 Session ID 与存储在内存中或者数据库中的 Session 信息进行比较,以验证用户的身份,返回给用户客户端响应信息的时候会附带用户当前的状态。

在这里插入图片描述

Cookie 数据保存在客户端(浏览器端),Session 数据保存在服务器端。
Cookie 存储在客户端中,而Session存储在服务器上,相对来说 Session 安全性更高。如果使用 Cookie 的一些敏感信息不要写入 Cookie 中,最好能将 Cookie 信息加密然后使用到的时候再去服务器端解密。

Token

我们知道 Session 信息需要保存一份在服务器端。这种方式会带来一些麻烦,比如需要我们保证保存 Session 信息服务器的可用性、不适合移动端(依赖Cookie),而且创建一个Session的占用的资源想对于一个string字符串来说大多了。

JWT (JSON Web Token) 就是这种方式的实现,通过这种方式服务器端就不需要保存 Session 数据了,只用在客户端保存服务端返回给客户的 Token 就可以了,扩展性得到提升。
JWT 本质上就一段签名的 JSON 格式的数据。由于它是带有签名的,因此接收者便可以验证它的真实性。

JWT 由 3 部分构成:

  1. Header :描述 JWT 的元数据。定义了生成签名的算法以及 Token 的类型。
  2. Payload(负载):用来存放实际需要传递的数据
  3. Signature(签名):服务器通过Payload、Header和一个密钥(secret)使用 Header 里面指定的签名算法(默认是 HMAC SHA256)生成。
  • 在基于 Token 进行身份验证的的应用程序中,服务器通过Payload、Header和一个密钥(secret)创建令牌(Token)并将 Token 发送给客户端
  • 客户端将 Token 保存在 Cookie 或者 localStorage 里面,以后客户端发出的所有请求都会携带这个令牌
  • 把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP Header 的 Authorization字段中:Authorization: Bearer Token。
  1. 用户向服务器发送用户名和密码用于登陆系统。
  2. 身份验证服务响应并返回了签名的 JWT,上面包含了用户是谁的内容。
  3. 用户以后每次向后端发请求都在Header中带上 JWT。
  4. 服务端检查 JWT 并从中获取用户相关信息。
    在这里插入图片描述
JSai
关注
cookiesessionToken区别?JWT又是什么?单点登录又是什么?头大?快进来看看,一文帮你捋清楚~
LYJbao的博客
11-06 420
JWT是JSON WEB TOKEN的缩写,它是基于RFC7519标准定义的一种可以安全传输读的JSON对象,由于使用了数字签名,所以是可信任和安全全的。之所以使用JWT,是因为Token是属于无状态的,每个人定制的规则不同,生成的的结果就会不同。所以目前,多数都是采用JWT为统一令牌标准~业务线越来越多,就会有更多业务系统分散到不同域名下,就需要「一次登录,全线通用」的能力,叫做「单点登录」。
App后台开发运维和架构实践学习总结(11)——CookieSessionToken那点事儿
科技D人生
05-07 4926
前言:新公司项目中使用到了Cookie,在各大Android技术讨论群向前辈们取经讨论这cookiesessiontoken这仨哥们的时候,很多开发者说法不一各抒已见,所以是时候回顾下http基础以及总结开发经验了。本文重在科普分析CookieSessionToken的基本概念和应用场景;Okhttp框架下对Cookie的管理使用。文章如果写的不好请各位开发者老司机私聊或者在评论区指点提出...
CookieSessionToken者的区别及使用
11-13
测试的过程中,经常会有这样的疑惑,什么是Cookie,什么是Session什么是Token者的区别又是什么,又是怎么使用的呢,这个文档跟大家详细介绍下者的区别与使用
Token转化为Authorization
cqfdcw的博客
03-30 1326
点击前往https://base64.us/,进行Base64编码,拿到用户名和Token组合编码 在Base64编码前面添加上Basic 即为Authorization BasicaGFuZ3NoYW46MTExMWVjMmUwNzI2ZjM5NDVlNjhlYTZiMGExMDJlOTA0Mw==
彻底搞懂CookieSessionToken到底是什么?
Java 架构师之路
06-30 1322
作者:不学无数的程序员来源:http://39sd.cn/DC6C6Cookie洛:大爷,楼上322住的是马冬梅家吧? 大爷:马都什么? 夏洛:马冬梅。 大爷:什么都没啊? 夏洛...
JWT格式的Token动态库封装,包括获取token,验证token,获取token中保存的内容
03-28
JWT格式的Token动态库封装,包括获取token,验证token,获取token中保存的内容,验证了Token是否正确,验证了Token的ip是否相同,验证了Token的过期时间
访问网址 token的格式_3 分钟带你深入了解 CookieSessionToken
weixin_39923572的博客
11-19 509
经常会有用户咨询,CDN 是否会传递 Cookie 信息,是否会对源站 Session 有影响,Token 的防盗链配置为什么总是配置失败?为此,我们就针对 CookieSessionToken,来谈谈它们的用处是什么。CookieCookie 虽然听起来不是技术名词,但却为互联网提供一项至关重要的功能:“记录访问过的网站或正在访问的网站。”HTTP 协议是无状态的,服务器不知道浏览器上一...
面试题:说说 CookieSessionToken、JWT?
xuxu96
12-03 543
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)互联网中的认证:用户名密码登录邮箱发送登录链接手机接收验证码只要你能收到邮箱/验证码,就默认你是账的主人用户授予第方应用访问该用户某些资源的权限你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
Cookie Session Token 与 JWT 解析
weixin_45898624的博客
06-25 1201
对登录功能的解析
sessioncookie有什么区别,分别适用什么场景?
IT修真院:初学者转行到互联网的聚集地
04-08 1059
大家好,我是IT修真院郑州分院一枚正直纯洁善良的后端程序员,今天给大家分享一下,修真院官网java(职业)任务5, 深度思考中的知识点——sessioncookie有什么区别,分别适用什么场景? 1.背景介绍 什么是sessionsession 从字面上讲,就是会话。 HTTP是无状态协议,也就是没有记忆力的协议,每个请求之间无法共享数据。 这就无法知道会话什么时...
forensic-qqtoken:QQ安全中心-动态密码的生成算法
03-21
QQ安全中心-动态密码的生成算法 遵守该App的服务群体是中文用户,故本篇文章不提供英文版。 我不会为本文提供英文版。因为该应用主要为中文的QQ用户提供服务。 1.动态密码的生成算法 动态密码的生成算法和RFC6238协议类似。 这里我们用secret代表动态密码的生成密钥,它一般是长度为32的八位位组,例如: b' \xa4 \x22 \x99 \xe1 \xce \xd4 \xe7 \x05 \x48 \x43 \x92 \x58 \x3a \xd0 \xb7 \x6a \x8d \x6e \x89 \x3c \x2d \xd1 \x98 \xbc \x39 \x9b \x4c \x9a \x4e \x34 \x21 \xeb ' 算法的大致过程如下: 将当前北京时间向下对齐到30s,并按以下的格式格式化: yyyy-MM-dd HH:mm:ss 得到一个长度为19的八位位组,记
(转)理解Keystone的四种Token
weixin_30603633的博客
01-11 585
Token 是什么 通俗的讲,token 是用户的一种凭证,需拿正确的用户名/密码向 Keystone 申请才能得到。如果用户每次都采用用户名/密码访问 OpenStack API,容易泄露用户信息,带来安全隐患。所以 OpenStack 要求用户访问其 API 前,必须先获取 token,然后用 token 作为用户凭据访问 OpenStack API。 四种 Token 的由来 D...
【网络】五分钟搞懂cookiesessiontoken
weixin_48989252的博客
11-14 281
一、会话管理 HTTP协议是一个无状态的协议,它无法区分多次请求是否发送自同一客户端。 cookiesessiontoken用来管理会话,识别用户身份。 二、cookie 1、本质 存储在浏览器的文本,随着http请求自动传递给服务器。(请求头/响应头) 2、运作流程 cookie由服务器生成发送到客户端,客户端以key-value形式保存在本地的一小块数据,在下一次请求同一网站时会把该cookie发送给服务端。 3、使用 // 引入express工具 const express =require('
访问网址 token的格式_跨域身份验证解决方案:基于JWT实现Token认证
weixin_39902472的博客
11-20 463
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案, 定义了一种紧凑且自包含的,用于在多方传递JSON对象的技术。在了解JWT之前,先了解一下目前两种主流身份验证方式:传统身份验证、基于Token的身份验证。传统身份验证HTTP 是一种无状态的协议,没有上下文会话机制,每一条HTTP请求都是相互独立的。为了识别用户和保存用户的状态,可以依靠CookieSession来处理,...
Token介绍
magic_hat的博客
08-14 8421
Token在web程序中,它是服务端生成的一串字符串,作为客户端进行请求的一个标识
JJWT-token(工具类)
DW524245的博客
05-24 1455
前言 客户端要通过操作访问服务器,第一次登录后服务器会生成一个token(用户id,失效时间...),然后把token返回给客户端留存。以后的每一次操作都可以携带token到服务端去进行验证。如果验证成功,那么继续执行,如果验证失败,不让访问或者去做其他操作(再次登录)。 一、token的格式 JJWT(Java json web token)生成的token字符串格式如下: {header}.{body}.{加密信息} header:指定当前token使用的加密算法 bod...
token详解
最新发布
qq_52758588的博客
04-07 4354
token详解
为什么在token在http请求头中的Authorization要加Bearer前缀?
TingSty小z的博客
09-22 6576
(2)分布式架构下的服务端,这种多是toC,大型服务,复杂系统,这种方式需要共享session,多个服务器都能访问,这样对于共享session的方式,可以是同步session,也可以是单独的服务做认证,类似redis集群存放认证信息,这种类似与网关的服务。(1)单服务器的服务端,这种多在小型服务中,私有化部署,toB项目的服务中。token的方式,这种完全不需要认证服务器,token自带认证功能。两种方式有什么区别呢?就能冒充身份,所以使用时必须注意网络环境,或者请使用。完全暴露在网络环境中,其他人获得。
Token相关内容简述
answer3lin的博客
01-10 6205
Token的应用 Token是一种标志用户登录,保持用户状态的一种认证方法,令牌(临时)是服务端生成的一串字符串,作为客户端进行请求的一个标识。但是和Session id不同,其是通过特殊手段生成的,不同的服务器对应token的生成是不同的。 简单token的组成:uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值